[发明专利]流量识别方法、装置、电子设备、及存储介质

权利要求书

1.一种流量识别方法，其特征在于，包括：

获取网络中未确定所属应用程序的数据流作为未知数据流；

回溯多个不包含域名信息且已确定所属应用程序的数据流作为多个参考数据流；

分别计算所述多个参考数据流与所述未知数据流之间的相似度，以确定最大相似度、以及所述最大相似度对应的参考数据流；

若所述最大相似度大于或等于预定相似度阈值，则确定所述未知数据流的所属应用程序，与所述最大相似度对应的参考数据流的所属应用程序相同；

若所述最大相似度小于所述预定相似度阈值，则：回溯多个DNS应答记录，若所述多个DNS应答记录中包含以未知流的IP地址为目的地址的至少一个DNS记录，获取所述至少一个DNS记录对应的至少一个域名；回溯多个包含所述至少一个域名的已确定所属应用程序的数据流，分别计算所回溯的数据流与所述未知数据流之间的域名文本相似度，若域名文本相似度大于第二预定相似度阈值，则根据所述数据流的所属应用程序，以及所述多个参考数据流的所属应用程序，确定所述未知数据流的所属应用程序；

其中，所述根据所述数据流的所属应用程序，以及所述多个参考数据流的所属应用程序，确定所述未知数据流的所属应用程序包括：

若所述多个参考数据流中存在至少一个参考数据流的所属应用程序，为所述数据流的所属应用程序，且所述至少一个参考数据流中包含至少一个参考数据流，与所述未知数据流之间的相似度大于第二预定相似度阈值，则确定所述未知数据流的所属应用程序为所述数据流的所属应用程序，其中所述第二预定相似度阈值小于所述预定相似度阈值。

2.根据权利要求1所述的方法，其特征在于，获取网络中未确定所属应用程序的数据流作为未知数据流包括：

获取网络中数据流，根据预定的硬编码规则确定所述数据流的所属应用程序，若确定成功则为所述数据流标记所述所属应用程序，若确定失败则获取所述数据流作为所述未知数据流。

3.根据权利要求1所述的方法，其特征在于，计算参考数据流与所述未知数据流之间的相似度包括：

计算所述参考数据流与所述未知数据流之间的流特征距离向量；

将所述流特征距离向量输入至预先训练的流相似度计算模型，获取所述流相似度计算模型输出的相似度，所述相似度用于表示输入的流特征距离向量对应的两个数据流属于相同应用程序的概率。

4.根据权利要求3所述的方法，其特征在于，计算所述参考数据流与所述未知数据流之间的流特征距离向量包括：

根据数据流的预定流特征计算所述参考数据流与所述未知数据流之间的流特征距离向量，其中所述数据流的预定流特征包括如下至少一种：

数据流的上行包长序列的中位数、数据流的时间间隔序列的标准差、数据流的下行包长序列的中位数、数据流的流前N个包的包长、以及数据流的预定字段的域名特征。

5.根据权利要求3-4任一项所述的方法，其特征在于，所述流相似度计算模型通过如下步骤训练得到：

获取训练样本集合，其中，训练样本包括两个数据流之间的流特征距离向量，和用于表示所述两个数据流是否属于相同应用程序的标注信息，标注信息为1表示属于相同应用程序，标注信息为0表示不属于相同应用程序；

确定初始化的流相似度计算模型，其中所述初始化的流相似度计算模型包括用于输出两个数据流属于相同应用程序的概率的目标层；

利用机器学习的方法，将所述训练样本集合中的训练样本中的流特征距离向量作为初始化的流相似度计算模型的输入，将与输入的流特征距离向量对应的标注信息作为初始化的流相似度计算模型的期望输出，训练得到所述流相似度计算模型。