[发明专利]一种基于多特征融合分析的应用流量识别与分类方法

权利要求书

1.一种基于多特征融合分析的应用流量识别与分类方法，其特征在于，包括如下步骤：

步骤1，采集应用的可执行文件及其描述信息；

步骤2，提取应用描述特征，收集应用流量样本；

步骤3，基于流量样本和应用描述特征，采用序列模式分析方法提取应用的明文特征；

步骤4，基于流量样本，使用自动编解码神经网络提取应用的密文特征；

步骤5，以图数据的形式对应用描述特征、明文特征和密文特征进行存储，其中，采用neo4j图数据库实现图结构的存储，将提取的应用描述特征、明文特征和密文特征作为图中的节点，与其所属的应用节点建立联系；

步骤6，在识别一段网络流量时，基于图结构融合多特征准确识别应用流量；其中，对于待识别流量，计算出其密文特征，然后匹配待识别流量和明文特征，并对比其密文特征和图数据库中的密文特征，若某个或某些可能的节点概率高于一个设定的阈值，则可确定其应用名称并输出与应用程序相关的信息。

2.根据权利要求1所述基于多特征融合分析的应用流量识别与分类方法，其特征在于，所述步骤1中，采用网络爬虫技术，在用户指定采集的应用后，在应用官网、互联网软件库检索并下载应用软件，收集应用官网、互联网软件库和应用相关的网页，所述应用相关的网页至少包括应用官网、互联网软件库的应用描述页面、下载页面以及应用使用说明页面。

3.根据权利要求1所述基于多特征融合分析的应用流量识别与分类方法，其特征在于，所述步骤2包括：

步骤2.1，在收集应用流量样本之前，解析应用并采用语义分析方法提取应用描述特征；

步骤2.2，在收集应用流量样本时，采用虚拟化技术和自动化测试技术自动触发应用，自动化获取应用的流量样本。

4.根据权利要求3所述基于多特征融合分析的应用流量识别与分类方法，其特征在于，所述步骤2.1包括：

步骤2.1.1，使用静态分析下载得到的二进制包，获取应用描述信息；

步骤2.1.2，使用Word2Vector算法获取应用描述特征；

所述步骤2.2利用一个在虚拟机中运行的被控模块和一个在外部运行的控制模块实现，实现步骤如下：

步骤2.2.1，控制模块结合应用运行环境相关信息，在预先准备的虚拟机快照库中查找相同平台，并启动与其平台相符合的虚拟机；

步骤2.2.2，被控模块调用相应的操作系统接口完成应用程序在虚拟机内的安装和启动，同时通知控制模块启动IP层的流量捕获；

步骤2.2.3，控制模块在外部通过虚拟用户操作，选择预定义的触发策略去模拟触发用户操作；

步骤2.2.4，在单次收集到的流量数据超过一个阈值后，控制模块关闭虚拟机并将虚拟机恢复到起始快照；

步骤2.2.5，重复以上步骤若干次以为后续分析提供足够大的数据集。

5.根据权利要求4所述基于多特征融合分析的应用流量识别与分类方法，其特征在于，所述步骤2.1.1的方法为：计算文件hash，通过文件头判断其可执行文件类型，对于归档型文件，进行递归解压操作，对于APK型文件，扫描其AndroidManifest.xml文件获取其标注的版本信息，对于ELF型文件通过ELF导入表分析其运行平台和依赖库，对于PE文件依次解析其DOS头，NT头，节表以及具体的节，对于其他类型的文件，进行丢弃并标记为无法获取；获取的应用描述信息为一个软件版本信息组成的集合，包括：软件运行平台信息、软件版本信息以及软件二进制文件；

所述步骤2.1.2的方法为：通过Word2Vector算法学习应用描述信息中描述性语句和步骤1收集的应用描述信息的向量表示，计算向量表示之间的余弦相似度，保留余弦相似度最高的20条信息向量，得到软件描述特征；

所述被控模块为平台相关设计，在不同的操作系统平台上有不同的后端；所述虚拟机快照库中包含的快照包括Windows、Linux、IOS、Android操作系统及模拟器；所述触发策略包括深度优先、广度优先及组件触发。