[发明专利]一种基于手机客户端软件动态特征库的识别应用智能分析方法

摘要

本发明公开了一种基于手机客户端软件动态特征库的识别应用智能分析引擎，包括如下步骤：S1：抓取业务流量IP包并快速解码,S2：提取系统中进程的网络调用记录,S3：动态挖掘客户端软件流量业务,S4：智能分析引擎技术实现，本发明专利利用手机终端自动实时分析客户端软件与应用流量关系，形成动态的精准识别基础特征库，与运营商网络管道海量大数据结合进行云端侧业务流量关联识别，并在精准识别的基础上利用客户端海量大数据行为特点构建特征智能挖掘算法，动态化收敛客户端与业务流量的精准对应关系，来构建手机客户端软件应用业务分析引擎，突破传统DPI无法及时准确识别并出关联明细业务流量的缺点。

主权项

1.一种基于手机客户端软件动态特征库的识别应用智能分析方法，其特征在于：包括如下步骤：/nS1：抓取业务流量IP包并快速解码,为了能够实时对比当前进程网络记录，需要对ip数据包进行捕获并快速解码，获取数据包的内容，数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序，当一个数据包到达网络接口时，libpcap首先利用已经创建的Socket从链路层驱动程序中获得该数据包的拷贝，通过Tap函数将数据包发给BPF过滤器，BPF过滤器根据已经定义好的过滤规则对数据包进行逐一匹配，匹配成功则放入内核缓冲区，并传递给用户缓冲区，匹配失败则直接丢弃；/nS2：提取系统中进程的网络调用记录,通过libpcap编程检查获得活动tcp/udp端口，通过函数pcap_lookupdev查找活动网络设备，发现可用的网卡和端口，如果当前有多个网卡，函数就会返回一个网络设备名的指针列表，按行解析/proc/net/tcp，获取当前活跃的TCP连接情况及其inode值，/proc/net/tcp文件中存储的信息包括：本地地址，本地端口，远程地址，远程端口，链接状态，发送队列，接收队列，UID，inode信息，提取该文件中有数据传输时的inode字段值，查找数据传输对应的活动应用进程，通过inotify使文件增加、修改、删除事件实时为用户所获知，且不需要对被监视的目标打开文件描述符fd，最后，通过进程网络记录文件与IP包内容的对应比较，完成业务流的精准识别；/nS3：动态挖掘客户端软件流量业务/n1)、根据现有原始数据，获取socket类业务中未识别的IP、端口、流量统计信息，组成未识别表，/n2)、提取包含2个IP以上的IP段，在规则库中查找该ip段和端口对应的业务类型，当做该段ip的疑似业务类型，ip和端口对应1个业务、多个业务两类数据组成A表，/n3)流程3，原始数据中统计使用某个唯一规则的用户，产生该唯一规则业务的用户列表B，/n4)流程4，统计原始数据中，列表B中用户使用过的IP地址及端口，当用户量大于该类业务总用户量的1％时，生成IP地址以及端口列表C，/n5)流程5，对比列表A，列表C，提取两表交集中的IP地址、端口，生成列表D，/n6)流程6：一个IP段对应一个业务的情况，规则直接输出唯一规则即可，一个IP段对应多个业务的情况，需要将多个业务的分析数据进行汇总统计，提炼出唯一规则与公共规则，完成动态化收敛挖掘应用业务的算法；/nS4：智能分析引擎技术实现，识别引擎设计框架结构根据主架构，设计居于采集层，底端是由数据源组成的信令平台数据源，顶端是采集识别后数据输出后的KAFKA数据中心中间件后再同步到数据共享层，在采集层的设计上，分成手机客户端识别模块和特征库两大块，特征库是识别的规则基础，识别模块则是依赖于规则基础对话单数据进行递进式的识别，识别流程分别有手机客户端流量识别流程、网页门户流量识别流程、PC应用流量识别流程、后台进程开销流量识别流程和流量识别流程，在设计上考虑了不同业务的识别顺序有一定差异以及业务公用情况，涵盖终端上网行为广度与深度识别。/n