[发明专利]一种基于多特征融合分析的应用流量识别与分类方法

说明书

一种基于多特征融合分析的应用流量识别与分类方法，通过网络爬虫和流量自动触发等方法对应用的描述特征和流量样本进行收集和提取，进而再提取应用的明文特征和密文特征以图数据的形式进行存储，并能够基于图结构融合多特征准确识别应用流量。该方法包括应用及其描述信息获取、流量自动触发与采集、明文和密文流量特征提取、基于图结构的特征存储与检索四个部分；对加密流量和非加密流量均提出相应的识别方法；对应用进行的网络活动进行细粒度的分析；通过本发明的方法，解决了传统流量识别方法依赖单一特征造成的高误报和应用行为识别粒度过粗等问题，为进一步的网络资源调度、恶意应用识别和防护、用户画像等工作提供了方法基础和技术支持。

技术领域

本发明属于网络流量管理技术领域，特别涉及一种基于多特征融合分析的应用流量识别与分类方法。

背景技术

随着互联网技术的发展，网络流量分类在网络安全，用户画像，运营商级别流量优化等方面发挥了巨大的作用。

因为互联网应用程序的快速发展以及http/https协议的大量使用，传统的基于端口的流量分类已没有意义。而随着近几年各大厂商对流量加密的重视，基于明文负载特征提取的流量识别方法已经不再有效。云计算平台的出现使得传统的基于IP的识别方法也不再适用。

新近提出的基于各类基于神经网络机器学习的流量识别方法的有效性极大地依赖于训练数据，训练数据又极大的依赖与专业人员对于流量数据的预处理工作，包括采集，特征工程，数据清洗等的工作。在现今应用程序版本快速迭代以及新应用程序不断出新的情况下，这种需求大量人力的模式已经难以适应实际情况。

同时，各类基于流量特征的识别方法均不能很好的处理第三方API调用的问题。随着各大厂商开放平台的完善，越来越多的应用选择使用第三方厂商的API来实现一些较为通用的功能(比如第三方社交账户登录，地图显示，支付等等)。单纯基于流量特征识别的流量分类方法没有考虑到这些额外的信息，在这种不同厂商接口调用的实际场景中间会出现很高的误识别率。

综上所述，传统的单纯的DPI(深度包检测)和DFI(深度流检测)采用单一特征的流量分类方法已经不再适用，已经不能在真实场景中获得较好的效率和较高的准确率。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种基于多特征融合分析的应用流量识别与分类方法，以解决因应用间互相调用API而导致的应用流量难以准确识别的问题。

为了实现上述目的，本发明采用的技术方案是：

一种基于多特征融合分析的应用流量识别与分类方法，包括如下步骤：

步骤1，采集应用的可执行文件及其描述信息。

具体可采用网络爬虫技术，在用户指定采集的应用后，在应用官网、互联网软件库检索并下载应用软件，收集应用官网、互联网软件库和应用相关的网页，所述应用相关的网页至少包括应用官网、互联网软件库的应用描述页面、下载页面以及应用使用说明页面。

步骤2，提取应用描述特征，收集应用流量样本，具体包括：

步骤2.1，在收集应用流量样本之前，解析应用并采用语义分析方法提取应用描述特征，具体步骤如下：

步骤2.1.1，使用静态分析下载得到的二进制包，获取应用描述信息。

方法为：计算文件hash，通过文件头判断其可执行文件类型，对于归档型文件，进行递归解压操作，对于APK型文件，扫描其AndroidManifest.xml文件获取其标注的版本信息，对于ELF型文件通过ELF导入表分析其运行平台和依赖库，对于PE文件依次解析其DOS头，NT头，节表以及具体的节，对于其他类型的文件，进行丢弃并标记为无法获取；获取的应用描述信息为一个软件版本信息组成的集合，包括：软件运行平台信息、软件版本信息以及软件二进制文件。