一种从应用程序生成的加密流量中识别上网行为的方法,涉及网络信息安全技术领域,该方法先采集正负样本,将样本数据中的加密载荷转换为灰度图像,利用灰度图像对深度神经网络骨干网络模型进行训练,再采集真实样本对深度神经网络骨干网络模型进行校验,从中选出合格的行为标签,再利用深度神经网络骨干网络模型对实时网络流量数据中的上网行为进行识别。本发明专利技术提供的方法,能精准的识别出网络流量数据中的上网行为。
【技术实现步骤摘要】
从应用程序生成的加密流量中识别上网行为的方法
本专利技术涉及物理领域,尤其涉及网络信息技术,特别是一种从应用程序生成的加密流量中识别上网行为的方法。
技术介绍
随着个人移动终端的普及,人们每天在移动终端上消耗的时间迅速增加,而人们在移动终端上消耗的时间中主要集中在一些热门的应用上,这些热门应用已经覆盖了人们日常生活的方方面面。热门应用的流量和真实世界的行为已经高度关联和相互映射,如何通过分析用户在移动终端上热门应用产生的流量来得到用户的实际行为,特别是金融相关的行为成为近年来研究经济犯罪的热点。在网络流量分类的传统方法中,应用最广的是基于知名端口号的流量分类算法、基于特征字匹配的流量分类算法、基于传输层行为模式的流量分类算法。但随着端口伪造、明文加密、二次加密等技术的使用,上述几种分类方法在现阶段已经无法满足对分类的精度要求,对上网行为的识别精度较差。
技术实现思路
针对上述现有技术中存在的缺陷,本专利技术所要解决的技术问题是提供一种上网行为的识别精度较好的从应用程序生成的加密流量中识别上网行为的方法。为了解决上述技术问题,本专利技术所提供的一种从应用程序生成的加密流量中识别上网行为的方法,其特征在于,具体步骤如下:1)获取需要识别的目标应用程序的网络流量数据样本,网络流量数据样本有正样本、负样本两类,其获取方法为:统计用户在移动终端上操作目标应用程序的各种上网行为,并为每一种上网行为设定一个行为标签,并从中选取几种上网行为定义为目标上网行为,并将剩下的其它上网行为定义为非目标上网行为;选取一台计算机作为群控主机,并在群控主机上安装用于操控目标应用程序的各种上网行为的目标应用上网行为脚本,在移动终端上安装目标应用程序,并将群控主机及移动终端连接到同一个网络上,使得群控主机与移动终端能进行通信;群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为,并采集移动终端在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的正样本;群控主机采用以下方式之一来采集负样本:采集负样本的方式一,群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的非目标上网行为,并采集移动终端的在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;采集负样本的方式二,群控主机采集移动终端上除目标应用程序之外的其它应用程序所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;2)从正样本中选取两个以上的载荷字段,将所选的载荷字段归入一个负面载荷知识库;3)对所采集的网络流量数据进行预处理,预处理方式为:先剔除掉网络流量数据中的明文数据,再从网络流量数据中按时序提取出操作目标应用程序时的上网行为动作所产生的网络流量数据报文;4)从步骤3)处理后的网络流量数据报文中提取出加密载荷,并从加密载荷中去除报头及被纳入负面载荷知识库的载荷字段,从而得到各个上网行为动作的加密载荷提纯字段;5)为每个上网行为动作创建一个一维数组,并将每个上网行为动作的加密载荷提纯字段归入该上网行为动作的一维数组,并利用该一维数组为该上网行为动作构建一个灰度图像;6)将正样本、负样本中的各种上网行的行为标签及步骤5)构建的灰度图像,归入一个标签文件;7)构建一个能从图片中提取隐藏特征的深度神经网络骨干网络模型;8)将标签文件中的各个上网行为所对应的行为标签、灰度图像随机分成Train和Val两个数据集,将Train数据集导入到深度神经网络骨干网络模型中进行训练,并在训练过程中利用Val数据集对每一轮的训练结果进行验证,从而在训练结束后得到训练后的深度神经网络骨干网络模型;9)采集用户在移动终端上的各种真实上网行为所产生的网络流量数据作为Test数据集;10)采用步骤3)至步骤5)的方法为Test数据集中的每个上网行为动作构建一个灰度图像,并将Test数据集中的每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型,利用深度神经网络骨干网络模型识别出各个灰度图像所对应的行为标签,并将识别结果与Test数据集中的各个真实上网行为进行比对,从中选出识别精度达到预定要求的行为标签,并将所选出的行为标签定义为合格标签;11)利用训练后的深度神经网络骨干网络模型中的合格标签对移动终端所产生的实时网络流量数据进行识别,识别方法为:群控主机采集移动终端所产生的实时网络流量数据,并将所采集的实时网络流量数据实施流量聚类,再对聚类后的实时网络流量数据,采用步骤3)至步骤5)的方法为实时网络流量数据中的每个上网行为动作构建一个灰度图像,并将每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型,利用深度神经网络骨干网络模型识别出每个灰度图像所对应的合格标签,将灰度图像所对应的上网行为识别为合格标签所代表的上网行为。本专利技术提供的从应用程序生成的加密流量中识别上网行为的方法,利用正负样本训练结合真实样本校验的方式,训练出高精度的深度神经网络骨干网络模型,再利用深度神经网络骨干网络模型对网络流量数据中的上网行为进行识别,可以在不需要人工提取热门应用流量特征,也不需要解析流量的有效载荷内容的情况下,精准的识别出网络流量数据中的上网行为。具体实施方式以下结合具体实施例对本专利技术的技术方案作进一步详细描述,但本实施例并不用于限制本专利技术,凡是采用本专利技术的相似结构及其相似变化,均应列入本专利技术的保护范围,本专利技术中的顿号均表示和的关系,本专利技术中的英文字母区分大小写。本专利技术实施例所提供的一种从应用程序生成的加密流量中识别上网行为的方法,其特征在于,具体步骤如下:1)获取需要识别的目标应用程序的网络流量数据样本,网络流量数据样本有正样本、负样本两类,其获取方法为:统计用户在移动终端上操作目标应用程序的各种上网行为(上网行为包括点击目标应用程序的按钮、浏览目标应用程序的某些内容等),并为每一种上网行为设定一个行为标签,并从中选取几种上网行为定义为目标上网行为,并将剩下的其它上网行为定义为非目标上网行为;选取一台计算机作为群控主机,并在群控主机上安装用于操控目标应用程序的各种上网行为(包括目标上网行为及非目标上网行为)的目标应用上网行为脚本,在移动终端上安装目标应用程序,并将群控主机及移动终端连接到同一个网络上,使得群控主机与移动终端能进行通信;群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为,并采集移动终端在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的正样本;群控主机采用以下方式之一来采集负样本:采集负样本的方式一,群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用本文档来自技高网...
【技术保护点】
1.一种从应用程序生成的加密流量中识别上网行为的方法,其特征在于,具体步骤如下:/n1)获取需要识别的目标应用程序的网络流量数据样本,网络流量数据样本有正样本、负样本两类,其获取方法为:/n统计用户在移动终端上操作目标应用程序的各种上网行为,并为每一种上网行为设定一个行为标签,并从中选取几种上网行为定义为目标上网行为,并将剩下的其它上网行为定义为非目标上网行为;/n选取一台计算机作为群控主机,并在群控主机上安装用于操控目标应用程序的各种上网行为的目标应用上网行为脚本,在移动终端上安装目标应用程序,并将群控主机及移动终端连接到同一个网络上,使得群控主机与移动终端能进行通信;/n群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为,并采集移动终端在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的正样本;/n群控主机采用以下方式之一来采集负样本:/n采集负样本的方式一,群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的非目标上网行为,并采集移动终端的在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;/n采集负样本的方式二,群控主机采集移动终端上除目标应用程序之外的其它应用程序所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;/n2)从正样本中选取两个以上的载荷字段,将所选的载荷字段归入一个负面载荷知识库;/n3)对所采集的网络流量数据进行预处理,预处理方式为:/n先剔除掉网络流量数据中的明文数据,再从网络流量数据中按时序提取出操作目标应用程序时的上网行为动作所产生的网络流量数据报文;/n4)从步骤3)处理后的网络流量数据报文中提取出加密载荷,并从加密载荷中去除报头及被纳入负面载荷知识库的载荷字段,从而得到各个上网行为动作的加密载荷提纯字段;/n5)为每个上网行为动作创建一个一维数组,并将每个上网行为动作的加密载荷提纯字段归入该上网行为动作的一维数组,并利用该一维数组为该上网行为动作构建一个灰度图像;/n6)将正样本、负样本中的各种上网行的行为标签及步骤5)构建的灰度图像,归入一个标签文件;/n7)构建一个能从图片中提取隐藏特征的深度神经网络骨干网络模型;/n8)将标签文件中的各个上网行为所对应的行为标签、灰度图像随机分成Train和Val两个数据集,将Train数据集导入到深度神经网络骨干网络模型中进行训练,并在训练过程中利用Val数据集对每一轮的训练结果进行验证,从而在训练结束后得到训练后的深度神经网络骨干网络模型;/n9)采集用户在移动终端上的各种真实上网行为所产生的网络流量数据作为Test数据集;/n10)采用步骤3)至步骤5)的方法为Test数据集中的每个上网行为动作构建一个灰度图像,并将Test数据集中的每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型,利用深度神经网络骨干网络模型识别出各个灰度图像所对应的行为标签,并将识别结果与Test数据集中的各个真实上网行为进行比对,从中选出识别精度达到预定要求的行为标签,并将所选出的行为标签定义为合格标签;/n11)利用训练后的深度神经网络骨干网络模型中的合格标签对移动终端所产生的实时网络流量数据进行识别,识别方法为:/n群控主机采集移动终端所产生的实时网络流量数据,并将所采集的实时网络流量数据实施流量聚类,再对聚类后的实时网络流量数据,采用步骤3)至步骤5)的方法为实时网络流量数据中的每个上网行为动作构建一个灰度图像,并将每个上网行为动作所对应的灰度图像输入到深度神经网络骨干网络模型,利用深度神经网络骨干网络模型识别出每个灰度图像所对应的合格标签,将灰度图像所对应的上网行为识别为合格标签所代表的上网行为。/n...
【技术特征摘要】
1.一种从应用程序生成的加密流量中识别上网行为的方法,其特征在于,具体步骤如下:
1)获取需要识别的目标应用程序的网络流量数据样本,网络流量数据样本有正样本、负样本两类,其获取方法为:
统计用户在移动终端上操作目标应用程序的各种上网行为,并为每一种上网行为设定一个行为标签,并从中选取几种上网行为定义为目标上网行为,并将剩下的其它上网行为定义为非目标上网行为;
选取一台计算机作为群控主机,并在群控主机上安装用于操控目标应用程序的各种上网行为的目标应用上网行为脚本,在移动终端上安装目标应用程序,并将群控主机及移动终端连接到同一个网络上,使得群控主机与移动终端能进行通信;
群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的目标上网行为,并采集移动终端在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的正样本;
群控主机采用以下方式之一来采集负样本:
采集负样本的方式一,群控主机上的目标应用上网行为脚本下发指令来操控移动终端上的目标应用程序模拟用户在移动终端上操作目标应用程序的非目标上网行为,并采集移动终端的在此过程中所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;
采集负样本的方式二,群控主机采集移动终端上除目标应用程序之外的其它应用程序所产生的网络流量数据,并将所采集的网络流量数据作为目标应用程序的负样本;
2)从正样本中选取两个以上的载荷字段,将所选的载荷字段归入一个负面载荷知识库;
3)对所采集的网络流量数据进行预处理,预处理方式为:
先剔除掉网络流量数据中的明文数据,再从网络流量数据中按时序提取出操作目标应用程序时的上网行为动作所产生的网络流量数据报文;
4)从步骤3)处理后的网络流量数据报文中提取出加密载荷,并从加密载荷中去除报头及被纳入负面载荷知识库...
【专利技术属性】
技术研发人员:顾东升,贺辉,郑宇宏,
申请(专利权)人:上海阅维科技股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。