[发明专利]一种移动应用私有加密协议的用户行为精细化分类方法及系统

说明书

本发明公开了一种移动应用私有加密协议的用户行为精细化分类方法及系统。本方法为：1)采集移动应用的流量，然后根据设置的私有加密协议特征从采集的流量中识别出私有加密协议流量；2)从识别出的私有加密协议流量中采集设定用户行为类别的流量数据并标注；3)根据步骤2)采集并标注的流量数据生成训练集、验证集以及测试集；4)对三集合中的流量数据进行特征提取，将其转换为特征向量；5)设置所选分类器的超参数，训练所选分类器；6)利用验证集对应的特征向量验证训练分类器；7)对分类器在测试集上进行分类，如果满足设定标准，则利用该分类器对待处理移动应用流量进行分类。本发明能对用户的不同操作产生的流量进行精细化的分类。

技术领域

本发明涉及一种移动应用私有加密协议的用户行为精细化分类方法及系统，属于计算机软件技术领域。

背景技术

随着互联网的蓬勃发展，用户为企业带来巨大的利润。在互联网时代，用户行为的分析有助于企业对用户访问进行优化，定制化，提供更好的服务，还可以用于构建行为模型，区分不同类型用户，甄别恶意，异常用户。

用户行为分类是一种基于被动采集流量的网络测量方法。用户行为分类方法按应用场景可以划分为明文协议流量和加密协议流量。明文协议流量的用户行为分类主流的方案是首先利用深度包检测技术(DPI技术)进行流量分析，对结果进行统计分析，匹配行为特征库，或者进行聚类来分类用户行为。例如，通过对HTTP协议的深度解析，获得HTTP协议Host头部字段和reference头部字段刻画用户访问网站轨迹。通过对用户所使用的VoIP协议、流媒体协议、邮件协议等的识别推断用户使用的网络服务。

针对加密流量的用户行为分类方法通常是采集加密协议的明文握手信息和网络流统计信息。在加密流量场景，应用层协议由SSL/TLS加密协议进行封装。例如，分析SSL/TLS协议的Server Name Identification(SNI)扩展字段获得用户访问网站，分析SSL/TLS协议的Application Layer Protocol Negotiation(ALPN)扩展字段获得被加密的协议如http/1.1，http/2.0。

在移动和云环境下，问题变得更为复杂，SNI字段无法区分不同服务甚至没有该扩展字段。在这种情况下，需要使用机器学习方案进行补充，对加密流量指纹特征。很多通信软件、社交应用软件常常采用的私有加密协议对上层应用协议进行封装。这种封装的优势是不必遵循SSL/TLS复杂的标准，优化网络性能，采用高强度的加密算法，预防服务因公有加密协议及对应服务器实现的漏洞受到攻击的情况。通过流量分析的方法进行用户行为精细化分类是一种重要手段，当前的尚未对私有加密流量场景提出有效解决方案。

现有的明文协议用户行为分类的方法不适用于私有加密协议的场景。基于深度包检测的流量识别方法无法从私有协议中提取有效信息，导致行为特征库匹配和特征聚类等方法失效。基于SSL/TLS握手信息和指纹的方法同样不适用于私有加密协议场景。基于统计机器学习方法提取流信息，主要是网络流统计量(上下行包数、上下行字节数)和网络流时间序列信息(包到达时间，包长序列信息等)。基于统计机器学习的方法是处理加密流量的未来的发展趋势，但是目前的方法存在数据集要求较高，对集外的样本普适性不高，分类器的效果调优复杂等问题。现有的机器学习方法主要用在网站的识别，不够精细化。

发明内容

本发明旨在提供一种对采用私有协议加密的移动应用的用户行为精细化的分类方法及系统。在不对私有协议解密的条件下，本发明对用户的不同操作产生的流量进行精细化的分类，既保护了用户隐私，又满足了网络安全审计，移动运营商、服务提供商的服务质量优化业务需求。本发明提出一种用户行为数据集生成和标注方法，提高机器学习模型的分类效果。本发明实现了一种用户行为精细化分类原型系统，设计了的模块间信息交互接口，可以替换模块化的机器学习模型，以适应不同应用场景的流量分析工作。

本发明的技术方案为：

一种移动应用私有加密协议的用户行为精细化分类方法，其步骤包括：