本发明专利技术实施例公开了一种网络流量识别方法及装置,方法包括:根据具有卷积神经网络特征的区域R‑CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到应用程序的动态操作行为信息;根据当前的操作行为类型和动态操作行为信息,对应用程序的操作行为进行分类触发,监听分类触发后的流量,并对分类触发后的流量进行流量标定,得到样本流量;将样本流量输入字符级循环神经网络char‑RNN模型进行训练,得到目标模型,根据目标模型对网络流量进行识别。弥补了代码静态分析获取操作行为的不足;根据操作行为类型有针对性地触发并监听流量,省时省力;通过目标模型来识别网络管道中的混杂用户流量,以挖掘用户所使用的应用程序中的操作行为信息。
A Method and Device for Network Traffic Recognition
【技术实现步骤摘要】
一种网络流量识别方法及装置
本专利技术实施例涉及通信网络
,具体涉及一种网络流量识别方法及装置。
技术介绍
随着移动终端设备的普及和移动互联网的发展,智能移动终端设备及其衍生的移动终端应用程序(APP),在人们的生产生活中扮演着越来越重要的角色,成为人们上网、购物和娱乐的主要途径。因此,通过深度分析移动互联网流量,学习用户的画像和网络行为信息,对诸如广告推荐系统和网络管理等应用程序有着重要的作用。网络运营商分析网络管道中的混杂流量(大量用户的网络数据混杂在一起),学习到移动网络用户某时(网络流量中包含时间戳)某地(GPS以及基站可以提供位置信息)所使用的APP名称、具体的按键操作等有价值信息。例如:通过某种方法,网络运营商可以知道,某用户在北京市西城区,在美团APP中点击了酒店按键,浏览附近的酒店信息,那么网络运营商就可以针对该用户定向投放附近酒店的广告信息。目前,流量特征识别方法主要有:基于预定义或特殊端口的流量特征提取方法、基于DPI(DeepPacketInspection,深度包检测)的流量特征提取方法和基于机器学习的流量分类方法。其中,基于预定义或特殊端口的流量特征提取方法为根据通用的网络协议端口来提取识别网络流量,或根据预定义的特殊端口,提取识别网络流量;基于DPI的流量特征提取方法为根据确定经验和规则,从流量内容中提取符合指定条件的特征字/指纹/序列,作为流量特征;基于机器学习的流量分类方法为根据预先训练好的机器学习模型对流量进行分类。在实现本专利技术实施例的过程中,专利技术人发现现有的流量特征识别方法存在如下问题:基于预定义或特殊端口的流量识别方法对于非标准端口或新定义的端口不适用,且识别粒度不够,无法精准定位具体的应用操作;基于DPI的流量特征提取方法的特征提取过程为监督或半监督方式,确定特征字/指纹/序列的过程耗时耗力,且APP操作流量类型和内容复杂多变,无法找到通用化的特征关键字定位及提取方法;基于机器学习的流量分类方法的分类粒度不够,只能用于流量协议类型的分类问题,无法识别用户具体使用的APP操作行为。
技术实现思路
由于现有方法存在上述问题,本专利技术实施例提出一种网络流量识别方法及装置。第一方面,本专利技术实施例提出一种网络流量识别方法,包括:根据具有卷积神经网络特征的区域R-CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到所述应用程序的动态操作行为信息;根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量;将所述样本流量输入字符级循环神经网络char-RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别。可选地,所述根据具有卷积神经网络特征的区域R-CNN模型对所述应用程序运行过程中的界面进行对象识别,得到所述应用程序的动态操作行为信息,具体包括:根据所述R-CNN模型的卷积层对所述应用程序运行过程中的界面进行多层卷积,获得所述界面的抽象特征图;根据所述R-CNN模型的区域识别网络对所述抽象特征图进行卷积操作,提取得到待分类的特征区域;根据所述R-CNN模型的分类器对所述特征区域进行分类,并识别得到所述特征区域内各对象的类型及各对象对应的文字描述信息;其中,所述应用程序的动态操作行为信息包括各对象的类型及各对象对应的文字描述信息。可选地,所述根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量,具体包括:根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量。可选地,所述根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量,具体包括:根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,根据所述触发顺序或所述时间戳对所述分类触发后的流量进行分割,并对分割后的流量进行流量标定,得到样本流量。可选地,所述将所述样本流量输入字符级循环神经网络char-RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别,具体包括:对所述样本流量进行分析,得到所述样本流量的关键字段内容、频繁字段和最长公共子序列;对所述样本流量的结构进行分析,得到所述样本流量的包长序列、时间窗序列数据包之间的时间间隔序列和流量协议类型序列;根据所述样本流量的关键字段内容、频繁字段、最长公共子序列、包长序列、时间窗序列数据包之间的时间间隔序列和流量协议类型序列,构建得到字符向量对应表;将所述字符向量对应表中的字符输入所述char-RNN模型,根据多层感知机对输入的字符进行特征学习,得到目标模型;根据所述目标模型对网络流量进行识别。可选地,所述根据具有卷积神经网络特征的区域R-CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到所述应用程序的动态操作行为信息之前,还包括:对应用程序的安装包文件进行反编译和静态分析,得到所述应用程序的所述静态操作行为信息;相应地,所述根据预设的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量,具体包括:根据预设的操作行为类型、所述静态操作行为信息和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量。可选地,所述操作行为类型包括划窗、按键或内容输入。第二方面,本专利技术实施例还提出一种网络流量识别装置,包括:对象识别模块,用于根据具有卷积神经网络特征的区域R-CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到所述应用程序的动态操作行为信息;行为触发模块,用于根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量;模型训练模块,用于将所述样本流量输入字符级循环神经网络char-RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别。第三方面,本专利技术实施例还提出一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法。第四方面,本专利技术实施例还提出一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机程序,所述计算机程序使所述计算机执行上述方法。由上述技术方案可知,本专利技术实施例通过深度学习方法中R-CNN模型对应用程序的界面进行动态分析获取动态操作行为信息,弥补了代码静态分析获取操作行为的不足;根据操作行为类型不同,有针对性地触发,监听本文档来自技高网...
【技术保护点】
1.一种网络流量识别方法,其特征在于,包括:根据具有卷积神经网络特征的区域R‑CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到所述应用程序的动态操作行为信息;根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量;将所述样本流量输入字符级循环神经网络char‑RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别。
【技术特征摘要】
1.一种网络流量识别方法,其特征在于,包括:根据具有卷积神经网络特征的区域R-CNN模型对运行在纯净模拟器环境中的应用程序的界面进行对象识别,得到所述应用程序的动态操作行为信息;根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量;将所述样本流量输入字符级循环神经网络char-RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别。2.根据权利要求1所述的方法,其特征在于,所述根据具有卷积神经网络特征的区域R-CNN模型对所述应用程序运行过程中的界面进行对象识别,得到所述应用程序的动态操作行为信息,具体包括:根据所述R-CNN模型的卷积层对所述应用程序运行过程中的界面进行多层卷积,获得所述界面的抽象特征图;根据所述R-CNN模型的区域识别网络对所述抽象特征图进行卷积操作,提取得到待分类的特征区域;根据所述R-CNN模型的分类器对所述特征区域进行分类,并识别得到所述特征区域内各对象的类型及各对象对应的文字描述信息;其中,所述应用程序的动态操作行为信息包括各对象的类型及各对象对应的文字描述信息。3.根据权利要求1所述的方法,其特征在于,所述根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量,具体包括:根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量。4.根据权利要求3所述的方法,其特征在于,所述根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,并对所述分类触发后的流量进行流量标定,得到样本流量,具体包括:根据当前的操作行为类型和所述动态操作行为信息,对所述应用程序的操作行为进行分类触发,记录操作行为的触发顺序和时间戳信息,监听分类触发后的流量,根据所述触发顺序或所述时间戳对所述分类触发后的流量进行分割,并对分割后的流量进行流量标定,得到样本流量。5.根据权利要求1所述的方法,其特征在于,所述将所述样本流量输入字符级循环神经网络char-RNN模型进行训练,得到目标模型,根据所述目标模型对网络流量进行识别,具体包...
【专利技术属性】
技术研发人员:孙昌清,熊龙,
申请(专利权)人:中国移动通信集团上海有限公司,中国移动通信有限公司研究院,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。