The invention discloses a refined classification method and system for user behavior of mobile application private encryption protocol. The method is as follows: 1) collecting the traffic of mobile applications, and then identifying the private encryption protocol traffic from the collected traffic according to the characteristics of the set private encryption protocol; 2) collecting and labeling the traffic data of user behavior categories from the identified private encryption protocol traffic; 3) generating training set, verification set and test set according to step 2) collecting and labeling the traffic data; Traffic data in the set are extracted and transformed into feature vectors. 5) Super parameters of the selected classifier are set to train the selected classifier. 6) The classifier is trained by using the corresponding feature vectors of the verification set. 7) The classifier is classified on the test set. If the set criteria are met, the classifier is used to classify the traffic of mobile applications. The invention can fine classify the flow generated by different operations of users.
【技术实现步骤摘要】
一种移动应用私有加密协议的用户行为精细化分类方法及系统
本专利技术涉及一种移动应用私有加密协议的用户行为精细化分类方法及系统,属于计算机软件
技术介绍
随着互联网的蓬勃发展,用户为企业带来巨大的利润。在互联网时代,用户行为的分析有助于企业对用户访问进行优化,定制化,提供更好的服务,还可以用于构建行为模型,区分不同类型用户,甄别恶意,异常用户。用户行为分类是一种基于被动采集流量的网络测量方法。用户行为分类方法按应用场景可以划分为明文协议流量和加密协议流量。明文协议流量的用户行为分类主流的方案是首先利用深度包检测技术(DPI技术)进行流量分析,对结果进行统计分析,匹配行为特征库,或者进行聚类来分类用户行为。例如,通过对HTTP协议的深度解析,获得HTTP协议Host头部字段和reference头部字段刻画用户访问网站轨迹。通过对用户所使用的VoIP协议、流媒体协议、邮件协议等的识别推断用户使用的网络服务。针对加密流量的用户行为分类方法通常是采集加密协议的明文握手信息和网络流统计信息。在加密流量场景,应用层协议由SSL/TLS加密协议进行封装。例如,分析SSL...
【技术保护点】
1.一种移动应用私有加密协议的用户行为精细化分类方法,其步骤包括:1)采集移动应用的流量,然后根据设置的私有加密协议特征从采集的流量中识别出私有加密协议流量;2)从识别出的私有加密协议流量中采集设定用户行为类别的流量数据并对采集的流量数据标注对应的用户行为类别;其中同一用户行为类别对应的数据流是指使用相同的IP对、端口对和传输层协议,且在时间上连续的数据包的数据流;3)根据步骤2)采集并标注的流量数据生成训练集、验证集以及测试集;其中,训练集和验证集是仅包含步骤2)采集并标注的流量数据,测试集包含步骤2)采集并标注的流量数据以及其他用户行为流量;4)对所述训练集、验证集以及...
【技术特征摘要】
1.一种移动应用私有加密协议的用户行为精细化分类方法,其步骤包括:1)采集移动应用的流量,然后根据设置的私有加密协议特征从采集的流量中识别出私有加密协议流量;2)从识别出的私有加密协议流量中采集设定用户行为类别的流量数据并对采集的流量数据标注对应的用户行为类别;其中同一用户行为类别对应的数据流是指使用相同的IP对、端口对和传输层协议,且在时间上连续的数据包的数据流;3)根据步骤2)采集并标注的流量数据生成训练集、验证集以及测试集;其中,训练集和验证集是仅包含步骤2)采集并标注的流量数据,测试集包含步骤2)采集并标注的流量数据以及其他用户行为流量;4)对所述训练集、验证集以及测试集中的流量数据进行特征提取,并将提取的特征转换为特征向量;5)设置所选分类器的超参数,将归一化后的所述特征向量输入到所选分类器进行训练;6)利用所述验证集对应的特征向量验证训练所得分类器,如果分类器度量高于设定阈值执行步骤7),否则调整分类器的超参数重新训练所选分类器;7)对分类器在测试集上进行分类,如果分类结果不满足设定标准,则重新选取分类器并利用归一化后的所述特征向量进行训练;如果满足设定标准,则利用该分类器对待处理移动应用流量进行分类。2.如权利要求1所述的方法,其特征在于,所述私有协议特征包括但不限于以下一种或几种特征:协议端口列表、服务器IP地址列表、非随机的载荷特征、传输层的协议标识。3.如权利要求2所述的方法,其特征在于,识别出私有加密协议流量的方法为:31)从采集的流量中识别出与设定的所述服务器IP地址列表中的服务器IP地址和所述协议端口列表中的协议端口信息匹配的流量;32)利用私有协议的请求特征对31)识别出的流量进行匹配,得到私有加密协议流量。4.如权利要求1所述的方法,其特征在于,根据对移动应用的不同功能进行操作并记录操作执行的时间戳,结合实际业务需求和行为可分性设定若干用户行为类别;所述用户行为可分性是指在时空上能够区分不同的两个用户操作的TCP/UDP流。5.如权利要求1所述的方法,其特征在于,提取的特征包括私有协议的常用公共信息和专有信息。6.如权利要求5所述的方法,...
【专利技术属性】
技术研发人员:熊刚,康翠翠,王炳旭,侯承尚,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。