[发明专利]一种基于userId的Android应用流量过滤方法与系统

说明书

一种基于userId的Android应用流量过滤方法与系统，属于网络安全技术领域。本发明包括以下步骤：步骤一、从Android设备中读取指定应用的userId；步骤二、使用iptables给指定userId打上流标签；步骤三、编写iptables规则，将带有所述流标签的userId的INPUT、OUTPUT数据包放入NFLOG消息池中，并为所述NFLOG消息池指定一个标号；步骤四、从所述NFLOG消息池中获取目标userId对应的纯净流量集。本发明解决了应用流量混杂在一个网络中导致应用网络流量无法进行准确分析的问题。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于userId的Android应用流量过滤方法与系统。

背景技术

随着互联网的迅速发展，各种各样的互联网应用不断产生，网络流量规模也随之增加，其中有很大一部分网络流量为Android应用流量，针对Android设备产生的网络流量进行识别和分析，对网络流量管理和恶意流量检测具有重要意义。

Android设备在应用运行时，所有应用产生的网络流量都放到混合到一个网络中，因此无法对混合到一个网络中的单个应用的网络流量进行准确的分析。

传统的网络应用流量过滤有一些方法。一种是基于端口的应用流量过滤，但随着各种互联网应用的迅速增加，端口过滤的方法会漏掉一些动态变化的端口上的流量。另一种是通过人工方法进行网络流量提纯，即利用人的知识和经验对数据流量进行分析，但该方法取决去人的知识结构和经验，费时费力，且对于一些私有协议或加密流量很难人为直接进行有效的分析。

因此需要对网络应用流量进行识别和检测时，这就需要获得指定网络应用的纯净流量。

发明内容

本发明研发目的是为了解决上述技术问题，在下文中给出了关于本发明的简要概述，以便提供关于本发明的某些方面的基本理解。应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分，也不是意图限定本发明的范围。

本发明的技术方案：

一种基于userId的Android应用流量过滤方法，包括以下步骤：

步骤一、从Android设备中读取指定应用的userId；

步骤二、使用iptables给指定userId打上流标签；

步骤三、编写iptables规则，将带有所述流标签的userId的INPUT、OUTPUT数据包放入NFLOG消息池中，并为所述NFLOG消息池指定一个标号；

步骤四、从所述NFLOG消息池中获取目标userId对应的纯净流量集。

优选的，步骤一中所述userId获取路径为/data/system/packages.xml。

优选的，步骤二中所述流标签，通过iptables的CONNMARK进行设置。

优选的，步骤三中所述iptables规则如下：

规则1：将入站流中带有流标签的数据包，放入指定标号的NFLOG消息池中；

规则2：将出站流中带有流标签的数据包，放入指定标号的NFLOG消息池中。

优选的，所述NFLOG消息池中的标号为指定应用的userID。

优选的，步骤四中获取纯净流量集的步骤如下：

步骤四.一：将所述NFLOG消息池中的数据发送到虚拟网卡上；

步骤四.二：通过tcpdump从步骤四.一种所述虚拟网卡上抓取数据包并保存。