[发明专利]App应用特征码库的构建方法及构建系统

权利要求书

1.一种App应用特征码库的构建方法，其特征在于，包括以下步骤：

获取并运行apk文件生成流量数据，进行抓包，按预定义第一规则对apk文件的所有数据包进行协议解析，提取预设的关键协议字段；

利用预定义第二规则将提取的关键协议字段生成与App应用对应的各条特征码规则；

将满足预设条件的特征码规则识别为相应App应用的特征码，并加入现有特征码库；

根据预设时间按照预定义第三规则对特征码库进行机器学习训练，实现特征码库的更新；

其中，预定义第三规则对特征码库进行机器学习训练的方法包括：

将特征码库中的特征码分为三类，第一类为自定义高可信度的特征码，所述自定义高可信度的特征码包括种子规则和高可信规则表征的正样本；第二类为自定义低可信度的特征码，所述自定义低可信度的特征码包括失效规则和冲突规则表征的负样本；第三类为自定义不确定的特征码；

利用第一类特征码的正样本和第二类特征码的负样本进行机器学习得到关于可信度的分类规则；

利用所述分类规则对所述第三类特征码进行分类，实现特征码库的定期更新。

2.一种App应用特征码库的构建系统，其特征在于，包括：数据包解析模块、特征码规则生成模块、特征码识别模块、机器学习模块，其中：

所述数据包解析模块，用于获取并运行apk文件生成流量数据，进行抓包，按预定义第一规则对apk文件的所有数据包进行协议解析，提取预设的关键协议字段；

所述特征码规则生成模块，用于利用预定义第二规则将提取的关键协议字段生成与App应用对应的各条特征码规则；

所述特征码识别模块，用于将满足预设条件的特征码规则识别为相应App应用的特征码，并加入现有特征码库；

所述机器学习模块，用于根据预设时间按照预定义第三规则对特征码库进行机器学习训练，实现特征码库的更新；

其中，预定义第三规则对特征码库进行机器学习训练的方法包括：

将特征码库中的特征码分为三类，第一类为自定义高可信度的特征码，所述自定义高可信度的特征码包括种子规则和高可信规则表征的正样本；第二类为自定义低可信度的特征码，所述自定义低可信度的特征码包括失效规则和冲突规则表征的负样本；第三类为自定义不确定的特征码；

利用第一类特征码的正样本和第二类特征码的负样本进行机器学习得到关于可信度的分类规则；

利用所述分类规则对所述第三类特征码进行分类，实现特征码库的定期更新。

3.如权利要求1所述的构建方法或如权利要求2所述的构建系统，其特征在于：

所述预定义第一规则包括：对应用层Http协议和/或传输层TCP/UDP协议进行解析,若对数据包进行HTTP协议解析，则预设的关键协议字段为url、host、X-Online-Host、URI、User-Agent、Referer、content-type中的至少一种;若对数据包进行TCP/UDP协议解析，则预设的关键协议字段为：服务器IP地址、服务器端口、传输层协议中的至少一种。

4.如权利要求1所述的构建方法或如权利要求2所述的构建系统，其特征在于：

所述预定义第二规则包括：针对一种协议提取的至少一种关键协议字段构成一特征码规则；或者组合针对多个协议提取的关键协议字段构成一特征码规则。

5.如权利要求1所述的构建方法或如权利要求2所述的构建系统，其特征在于：

所述将满足预设条件的特征码规则识别为相应App应用的特征码的方法包括：统计apk文件对应的所有数据包中的各关键协议字段命中特征码规则的次数，被命中次数最高的特征码规则即为该App应用的特征码；或者，

对进行数据包解析的协议进行优先级设置，级别最高的协议对应的特征码规则即为该App应用的特征码。