[发明专利]应用识别方法、装置及存储介质

权利要求书

1.一种应用识别方法，其特征在于，所述方法包括：

对多条数据流分别提取特征，得到流表和域名表，所述流表包括多个流表项，所述多个流表中的每个流表项包括五元组和流起始时间，所述域名表包括多个域名表项，所述多个域名表项中的每个域名表项包括源互联网协议IP地址、目的域名、目的IP地址和域名类型；

根据所述流表进行流行为特征的分析，得到多个服务，每个服务由一个IP地址和一个端口标识构成；

根据所述流表和所述域名表，对所述多个服务进行聚类，得到多个应用类型；

确定所述多个应用类型中每个应用类型对应的标签，所述标签用于识别数据流所属的应用。

2.如权利要求1所述的方法，其特征在于，所述根据所述流表进行流行为特征的分析，得到多个服务，包括：

根据所述流表确定具有环路的端口，得到环路端口集；

基于所述环路端口集，根据所述流表确定单客户端访问服务集和第一多客户端访问服务集，所述单客户端访问服务集中的每个服务被单客户端访问、服务的IP地址和端口属于同一端、且端口不属于所述环路端口集，所述第一多客户端访问服务集中的每个服务被多客户端访问、服务的IP地址和端口属于同一端、且端口不属于所述环路端口集；

基于所述环路端口集和所述第一多客户端访问服务集，根据所述流表确定第二多客户端访问服务集，所述第二多客户端访问服务集中的每个服务被多客户端访问、服务的IP地址和端口属于不同端、且端口不属于所述环路端口集；

将所述第一多客户端访问服务集、所述第二多客户端访问服务集和所述单客户端访问服务集进行合并，得到所述多个服务。

3.如权利要求2所述的方法，其特征在于，所述根据所述流表确定具有环路的端口，包括：

对于所述流表中的每个端口，根据所述流表获取所述端口的同端IP地址集合和对端IP地址集合；

确定所述端口的同端IP地址集合和对端IP地址集合的交集，得到多个IP地址；

根据所述流表，确定经由所述端口的所有数据流中所述多个IP地址对应的数据流的总流数，将确定的总流数作为第一总流数；

如果所述第一总流数大于第一阈值，则确定经由所述端口的所有数据流的总流数，将确定的总流数作为第二总流数；

如果所述第一总流数与所述第二总流数之间的比值大于第二阈值，则确定所述端口为具有环路的端口。

4.如权利要求2所述的方法，其特征在于，所述基于所述环路端口集，根据所述流表确定单客户端访问服务集和第一多客户端访问服务集，包括：

根据所述流表确定被单客户端访问且IP地址和端口属于同一端的服务，以及被多客户端访问且IP地址和端口属于同一端的服务，得到单客户端访问潜在服务集和第一多客户端访问潜在服务集；

从所述单客户端访问潜在服务集中过滤所述环路端口集中的端口所在的服务，得到所述单客户端访问服务集，从所述第一多客户端访问潜在服务集中过滤所述环路端口集中的端口所在的服务，得到所述第一多客户端访问服务集。

5.如权利要求4所述的方法，其特征在于，所述根据所述流表确定被单客户端访问且IP地址和端口属于同一端的服务，以及被多客户端访问且IP地址和端口属于同一端的服务，包括：

根据所述流表确定多个目标服务，每个目标服务对应一个流表项中属于同一端的IP地址和端口，且每个目标服务对应多条数据流；

对于所述多个目标服务中的每个目标服务，确定所述目标服务的端口是否为随机产生的；

如果所述目标服务的端口是随机产生的，则确定所述目标服务的IP地址对应的同侧端口数量是否大于第三阈值；

如果所述目标服务的IP地址对应的同侧端口数量大于所述第三阈值，则确定所述目标服务对应的对端数量是否大于第四阈值；

如果所述目标服务对应的对端数量大于所述第四阈值，则确定所述目标服务为被多客户端访问且IP地址和端口属于同一端的服务；

如果所述目标服务对应的对端数量不大于所述第四阈值，则确定所述目标服务的对端IP地址是否唯一；

如果所述目标服务的对端IP地址唯一，则确定所述目标服务为被单客户端访问且IP地址和端口属于同一端的服务。