本申请涉及一种未知流量识别方法、装置、设备、存储介质和程序产品。所述方法包括:首先,获取流量日志,并根据流量日志与协议库进行匹配,查询协议库中是否存储有与流量日志对应的应用程序的标识;如果不存在,则对流量日志执行至少一次信息提取处理,每次信息提取处理提取不同类型的特征信息,并在每次信息提取处理后,确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配;如果提取到的特征信息匹配到应用程序,则停止信息提取处理,并将特征信息和特征信息匹配到的应用程序的标识存储至协议库中,若提取到的特征信息没有匹配到应用程序,则进行下一次信息提取处理。采用本方法能够实现未知流量的自动识别。采用本方法能够实现未知流量的自动识别。采用本方法能够实现未知流量的自动识别。
【技术实现步骤摘要】
流量识别方法、装置、设备、存储介质和程序产品
[0001]本申请涉及互联网应用识别
,特别是涉及一种流量识别方法、装置、设备、存储介质和程序产品。
技术介绍
[0002]对互联网应用的流量进行分析,可以实现业务精细化识别、业务流量流向分析、业务流量占比统计、以及应用层拒绝服务攻击、对病毒、木马进行过滤等功能。
[0003]随着互联网应用更新频繁,新的互联网应用在快速诞生,网络数据流量数据日益增大,流量分析的复杂度随之增加。传统的分析流程,由人工针对某个应用在实验室环境中进行人工拨测、抓包、分析并提取特征。但是人工分析需要投入大量的时间和精力,效率比较低。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够自动进行的未知流量识别方法、装置、设备、存储介质和程序产品。
[0005]第一方面,本申请提供了一种未知流量识别方法。该方法包括:获取流量日志;根据流量日志与协议库进行匹配,查询协议库中是否存在与流量日志对应的应用程序的标识;若不存在,则对流量日志执行至少一次信息提取处理,且,每次信息提取处理提取的特征信息类型不同,在每次信息提取处理后,确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配;若是,则停止信息提取处理,并将最后一次信息提取处理得到的特征信息和匹配到的应用程序的标识存储至协议库中,若否,则进行下一次信息提取处理。
[0006]在其中一个实施例中,特征信息包括:明文字符串、域名的备案信息、官网的标题信息、应用包名、数据编码特征、流量IP地址以及流量端口号中的至少一种。
[0007]上述实施例中,通过获取流量日志中的各种特征信息,根据各种特征信息进行应用程序的匹配,提高流量的识别率。
[0008]在其中一个实施例中,特征信息包括明文字符串,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将明文字符串与预设规则库进行匹配,预设规则库包括多组明文字符串与应用程序的对应关系;若明文字符串存在于预设规则库中,则将预设规则库中的明文字符串对应的应用程序确定为明文字符串相匹配的应用程序。
[0009]在其中一个实施例中,将明文字符串与预设规则库进行匹配,包括:统计流量日志中明文字符串的命中次数;将命中次数大于预设阈值的明文字符串与预设规则库进行匹配。
[0010]上述实施例中,通过提取明文字符串,将访问度高的明文字符串与匹配到的应用程序添加到协议库中,提高协议库匹配搜索的效率。
[0011]在其中一个实施例中,特征信息包括域名的备案信息,确定本次特征信息提取处
理所提取到的特征信息是否能与应用程序相匹配,包括:若能获取到域名的备案信息,则将域名的备案信息中的网站名称确定为域名的备案信息相匹配的应用程序。
[0012]上述实施例中,通过提取域名的备案信息确定匹配的应用程序,然后将域名的备案信息和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0013]在其中一个实施例中,特征信息包括官网的标题信息,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:若能获取到官网的标题信息,则将官网的标题信息中的标题信息确定为官网的标题信息相匹配的应用程序。
[0014]上述实施例中,通过提取官网的标题信息确定匹配的应用程序,然后将官网的标题信息和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0015]在其中一个实施例中,特征信息包括应用包名,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将应用包名与预设应用商店库进行匹配,预设应用商店库包括多组应用包名与应用程序的对应关系;若应用包名存在于预设应用商店库中,则将预设应用商店库中的应用包名对应的应用程序确定为应用包名相匹配的应用程序。
[0016]上述实施例中,通过提取应用包名确定匹配的应用程序,然后将应用包名和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0017]在其中一个实施例中,特征信息包括数据编码特征,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将数据编码特征进行解码;若数据编码特征解码成功,则将数据编码特征解码后的应用程序确定为数据编码特征相匹配的应用程序。
[0018]上述实施例中,通过提取数据编码特征确定匹配的应用程序,然后将数据编码特征和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0019]在其中一个实施例中,特征信息包括流量IP地址,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将流量IP地址与预设DNS日志进行匹配,预设DNS日志为IP地址与域名的对应关系表;若流量IP地址存在于预设DNS日志中,则根据预设DNS日志中流量IP地址对应的域名确定流量IP地址对应的应用程序,并确定为流量IP地址相匹配的应用程序。
[0020]上述实施例中,通过提取流量IP地址确定匹配的应用程序,然后将流量IP地址和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0021]在其中一个实施例中,特征信息包括流量端口号,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:根据流量端口号确定对应的应用程序;判断流量日志对应时间的数据是否为流量端口号确定的对应的应用程序;若是,则将流量端口号确定的对应的应用程序确定为流量端口号相匹配的应用程序。
[0022]上述实施例中,通过提取流量端口号确定匹配的应用程序,然后将流量端口号和匹配到的应用程序添加到协议库中,从而提高协议库的识别率。
[0023]在其中一个实施例中,特征信息包括流量IP地址,确定本次特征信息提取处理所提取到的特征信息是否能与应用程序相匹配,还包括:将流量IP地址与预设IP库进行匹配,预设IP库为多组IP地址与应用程序的对应关系表;若流量IP地址存在于预设IP库中,则将预设IP库中流量IP地址对应的应用程序确定为流量IP地址相匹配的应用程序。
[0024]第二方面,本申请还提供了一种未知流量识别装置。该装置包括:
[0025]获取模块,用于获取流量日志;
[0026]查询模块,根据流量日志与协议库进行匹配,查询协议库中是否存在与流量日志对应的应用程序的标识;
[0027]提取模块,用于若不存在,则对流量日志执行至少一次信息提取处理,且,每次信息提取处理提取的特征信息类型不同,在每次信息提取处理后,确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配;
[0028]存储模块,用于若是,则停止信息提取处理,并将最后一次信息提取处理得到的特征信息和匹配到的应用程序的标识存储至协议库中,若否,则进行下一次信息提取处理。
[0029]在其中一个实施例中,特征信息包括:明文字符串、域名的备案信息、官网的标题信息、应用包名、数据编码特征、流量IP地址以及流量端口号中的至少一种。
[0030]在其本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量识别方法,其特征在于,所述方法包括:获取流量日志;根据所述流量日志与协议库进行匹配,查询所述协议库中是否存在与所述流量日志对应的应用程序的标识;若不存在,则对所述流量日志执行至少一次信息提取处理,且,每次信息提取处理提取的特征信息类型不同,在每次信息提取处理后,确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配;若是,则停止信息提取处理,并将最后一次信息提取处理得到的特征信息和匹配到的应用程序的标识存储至所述协议库中,若否,则进行下一次信息提取处理。2.根据权利要求1所述的方法,其特征在于,所述特征信息包括:明文字符串、域名的备案信息、官网的标题信息、应用包名、数据编码特征、流量IP地址以及流量端口号中的至少一种。3.根据权利要求2所述的方法,其特征在于,所述特征信息包括所述明文字符串,所述确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将所述明文字符串与预设规则库进行匹配,所述预设规则库包括多组明文字符串与应用程序的对应关系;若所述明文字符串存在于所述预设规则库中,则将所述预设规则库中的所述明文字符串对应的应用程序确定为所述明文字符串相匹配的应用程序;所述将所述明文字符串与预设规则库进行匹配,包括:统计所述流量日志中所述明文字符串的命中次数;将所述命中次数大于预设阈值的明文字符串与所述预设规则库进行匹配。4.根据权利要求2所述的方法,其特征在于,所述特征信息包括所述域名的备案信息和所述官网的标题信息,所述确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:若能获取到所述域名的备案信息,则将所述域名的备案信息中的网站名称确定为所述域名的备案信息相匹配的应用程序;若能获取到所述官网的标题信息,则将所述官网的标题信息中的标题信息确定为所述官网的标题信息相匹配的应用程序。5.根据权利要求2所述的方法,其特征在于,所述特征信息包括所述应用包名,所述确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将所述应用包名与预设应用商店库进行匹配,所述预设应用商店库包括多组应用包名与应用程序的对应关系;若所述应用包名存在于所述预设应用商店库中,则将所述预设应用商店库中的所述应用包名对应的应用程序确定为所述应用包名相匹配的应用程序;所述特征信息包括所述数据编码特征,所述确定本次信息提取处理所提取到的特征信息是否能与应用程序相匹配,包括:将所述数据编码特征进行解码;若所述数据编码...
【专利技术属性】
技术研发人员:柴银平,蔡莎,季超,张思杰,陈康,张添,雷彦章,方子明,
申请(专利权)人:曙光网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。