[发明专利]从应用程序生成的加密流量中识别上网行为的方法

说明书

一种从应用程序生成的加密流量中识别上网行为的方法，涉及网络信息安全技术领域，该方法先采集正负样本，将样本数据中的加密载荷转换为灰度图像，利用灰度图像对深度神经网络骨干网络模型进行训练，再采集真实样本对深度神经网络骨干网络模型进行校验，从中选出合格的行为标签，再利用深度神经网络骨干网络模型对实时网络流量数据中的上网行为进行识别。本发明提供的方法，能精准的识别出网络流量数据中的上网行为。

技术领域

本发明涉及物理领域，尤其涉及网络信息技术，特别是一种从应用程序生成的加密流量中识别上网行为的方法。

背景技术

随着个人移动终端的普及，人们每天在移动终端上消耗的时间迅速增加，而人们在移动终端上消耗的时间中主要集中在一些热门的应用上，这些热门应用已经覆盖了人们日常生活的方方面面。热门应用的流量和真实世界的行为已经高度关联和相互映射，如何通过分析用户在移动终端上热门应用产生的流量来得到用户的实际行为，特别是金融相关的行为成为近年来研究经济犯罪的热点。在网络流量分类的传统方法中，应用最广的是基于知名端口号的流量分类算法、基于特征字匹配的流量分类算法、基于传输层行为模式的流量分类算法。但随着端口伪造、明文加密、二次加密等技术的使用，上述几种分类方法在现阶段已经无法满足对分类的精度要求，对上网行为的识别精度较差。

发明内容

针对上述现有技术中存在的缺陷，本发明所要解决的技术问题是提供一种上网行为的识别精度较好的从应用程序生成的加密流量中识别上网行为的方法。

为了解决上述技术问题，本发明所提供的一种从应用程序生成的加密流量中识别上网行为的方法，其特征在于，具体步骤如下：

1）获取需要识别的目标应用程序的网络流量数据样本，网络流量数据样本有正样本、负样本两类，其获取方法为：

统计用户在移动终端上操作目标应用程序的各种上网行为，并为每一种上网行为设定一个行为标签，并从中选取几种上网行为定义为目标上网行为，并将剩下的其它上网行为定义为非目标上网行为；

选取一台计算机作为群控主机，并在群控主机上安装用于操控目标应用程序的各种上网行为的目标应用上网行为脚本，在移动终端上安装目标应用程序，并将群控主机及移动终端连接到同一个网络上，使得群控主机与移动终端能进行通信；

群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为，并采集移动终端在此过程中所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的正样本；

群控主机采用以下方式之一来采集负样本：

采集负样本的方式一，群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的非目标上网行为，并采集移动终端的在此过程中所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的负样本；

采集负样本的方式二，群控主机采集移动终端上除目标应用程序之外的其它应用程序所产生的网络流量数据，并将所采集的网络流量数据作为目标应用程序的负样本；

2）从正样本中选取两个以上的载荷字段，将所选的载荷字段归入一个负面载荷知识库；

3）对所采集的网络流量数据进行预处理，预处理方式为：

先剔除掉网络流量数据中的明文数据，再从网络流量数据中按时序提取出操作目标应用程序时的上网行为动作所产生的网络流量数据报文；

4）从步骤3）处理后的网络流量数据报文中提取出加密载荷，并从加密载荷中去除报头及被纳入负面载荷知识库的载荷字段，从而得到各个上网行为动作的加密载荷提纯字段；

5）为每个上网行为动作创建一个一维数组，并将每个上网行为动作的加密载荷提纯字段归入该上网行为动作的一维数组，并利用该一维数组为该上网行为动作构建一个灰度图像；

6）将正样本、负样本中的各种上网行的行为标签及步骤5）构建的灰度图像，归入一个标签文件；

7）构建一个能从图片中提取隐藏特征的深度神经网络骨干网络模型；