[发明专利]从应用程序生成的加密流量中识别上网行为的方法

权利要求书

1.一种从应用程序生成的加密流量中识别上网行为的方法，其特征在于，具体步骤如下：

1)获取需要识别的目标应用程序的网络流量数据样本，网络流量数据样本有正样本、负样本两类，其获取方法为：

统计用户在移动终端上操作目标应用程序的各种上网行为，并为每一种上网行为设定一个行为标签，并从中选取几种上网行为定义为目标上网行为，并将剩下的其它上网行为定义为非目标上网行为；

选取一台计算机作为群控主机，并在群控主机上安装用于操控目标应用程序的各种上网行为的目标应用上网行为脚本，在移动终端上安装目标应用程序，并将群控主机及移动终端连接到同一个网络上，使得群控主机与移动终端能进行通信；

群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为，并采集移动终端在此过程中所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的正样本；

群控主机采用以下方式之一来采集负样本：

采集负样本的方式一，群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的非目标上网行为，并采集移动终端的在此过程中所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的负样本；

采集负样本的方式二，群控主机采集移动终端上除目标应用程序之外的其它应用程序所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的负样本；

2)从正样本中选取两个以上的载荷字段，将所选的载荷字段归入一个负面载荷知识库；

3)对所采集的网络流量数据进行预处理，预处理方式为：

先剔除掉网络流量数据中的明文数据，再从网络流量数据中按时序提取出操作目标应用程序时的上网行为动作所产生的网络流量数据报文；

4)从步骤3)处理后的网络流量数据报文中提取出加密载荷，并从加密载荷中去除报头及被纳入负面载荷知识库的载荷字段，从而得到各个上网行为动作的加密载荷提纯字段；

5)为每个上网行为动作创建一个一维数组，并将每个上网行为动作的加密载荷提纯字段归入该上网行为动作的一维数组，并利用该一维数组为该上网行为动作构建一个灰度图像；

6)将正样本、负样本中的各种上网行的行为标签及步骤5)构建的灰度图像，归入一个标签文件；

7)构建一个能从图片中提取隐藏特征的深度神经网络骨干网络模型；

8)将标签文件中的各个上网行为所对应的行为标签、灰度图像随机分成Train和Val两个数据集，将Train数据集导入到深度神经网络骨干网络模型中进行训练，并在训练过程中利用Val数据集对每一轮的训练结果进行验证，从而在训练结束后得到训练后的深度神经网络骨干网络模型；

9)采集用户在移动终端上的各种真实上网行为所产生的网络流量数据作为Test数据集；

10)采用步骤3)至步骤5)的方法为Test数据集中的每个上网行为动作构建一个灰度图像，并将Test数据集中的每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型，利用深度神经网络骨干网络模型识别出各个灰度图像所对应的行为标签，并将识别结果与Test数据集中的各个真实上网行为进行比对，从中选出识别精度达到预定要求的行为标签，并将所选出的行为标签定义为合格标签；

11)利用训练后的深度神经网络骨干网络模型中的合格标签对移动终端所产生的实时网络流量数据进行识别，识别方法为：

群控主机采集移动终端所产生的实时网络流量数据，并将所采集的实时网络流量数据实施流量聚类，再对聚类后的实时网络流量数据，采用步骤3)至步骤5)的方法为实时网络流量数据中的每个上网行为动作构建一个灰度图像，并将每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型，利用深度神经网络骨干网络模型识别出每个灰度图像所对应的合格标签，将灰度图像所对应的上网行为识别为合格标签所代表的上网行为。