首页 / 专利库 / 电脑编程 / 算法 / 一种基于探针的自动流量特征收集方法及系统

一种基于探针的自动流量特征收集方法及系统

阅读:121发布:2023-01-27

专利汇可以提供一种基于探针的自动流量特征收集方法及系统专利检索,专利查询,专利分析的服务。并且本 发明 提出了一种基于探针的自动流量特征收集方法及系统,通过在终端部署探针进行用户、 进程 行为识别,并在网络侧部署探针进行流量捕获,并在终端行为与网络流量间建立关联,以此来进行流量特征自动提取与收集,并通过 大数据 分析得到终端侧操作与网络侧数据的联动关系,以及动态判断历史网络流量特征的有效性。本发明可实现基于终端、网络探针联合的自动化网络流量特征收集;可实现动态收集和维护特征库数据,并能充分保证特征的完整性和准确性。,下面是一种基于探针的自动流量特征收集方法及系统专利的具体信息内容。

1.一种基于探针的自动流量特征收集方法,其特征在于,包括:
分别在终端侧和网络侧部署探针;
终端侧探针监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
终端侧探针监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
终端侧探针监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
网络侧探针根据接收到的指定数据标记进行数据流的获取;
将上述终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流,发送给服务器进行联合分析,生成网络流量特征。
2.如权利要求1所述的方法,其特征在于,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针,具体为:当终端侧探针发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针,使网络侧探针做好对目标流进行获取的准备;当终端侧探针发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针,使网络侧探针明确需要获取的具体数据流,并进行获取;
当终端侧探针发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针,使网络侧探针结束相应数据流的获取。
3.如权利要求1或2所述的方法,其特征在于,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当终端侧探针发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
4.如权利要求3所述的方法,其特征在于,所述网络侧探针根据接收到的指定数据标记进行数据流的获取,还包括:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
5.如权利要求2或4所述的方法,其特征在于,所述联合分析,还包括:利用机器学习算法对终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流进行关联分析,建立终端侧数据与网络侧数据流的联系,并按照数据流的类型进行归类,对相同类型数据流及其对应的终端侧和网络侧数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
6.如权利要求5所述的方法,其特征在于,还包括对生成的网络流量特征进行评价,具体为:在服务器动态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端侧和网络侧的数据,在其所述进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同;其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。
7.一种基于探针的自动流量特征收集系统,包括终端、网络端、服务器,其特征在于,还包括部署在终端的终端侧探针模块、部署在网络端的网络侧探针模块、部署在服务器的联合分析模块;
其中,终端侧探针模块还包括API调用监控子模块、用户操作监控子模块、进程监控子模块;
具体地,
API调用监控子模块,用于监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模块信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
用户操作监控子模块,用于监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
进程监控子模块,用于监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
网络侧探针模块,用于根据接收到的指定数据标记进行数据流的获取;
联合分析模块,用于将上述终端侧探针模块获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块获取的数据流进行联合分析,生成网络流量特征。
8.如权利要求7所述的系统,其特征在于,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块,具体为:当API调用监控子模块发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针模块,使网络侧探针模块做好对目标流进行获取的准备;当API调用监控子模块发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针模块,使网络侧探针模块明确需要获取的具体数据流,并进行获取;当API调用监控子模块发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针模块,使网络侧探针模块结束相应数据流的获取。
9.如权利要求7或8所述的系统,其特征在于,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当用户操作监控子模块发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
10.如权利要求9所述的系统,其特征在于,所述网络侧探针模块,还用于:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
11.如权利要求8或10所述的系统,其特征在于,所述联合分析模块,还用于:利用机器学习算法对终端侧探针模块获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块获取的数据流进行关联分析,建立终端数据与网络端数据流的联系,并按数据流的类型进行归类,对相同类型数据流及其对应的终端和网络端数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
12.如权利要求11所述的系统,其特征在于,还包括网络流量特征评价模块,网络流量特征评价模块部署在服务器,具体用于:在联合分析模块动态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端和网络端的数据,在对其进行进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同;其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。

说明书全文

一种基于探针的自动流量特征收集方法及系统

技术领域

[0001] 本发明涉及网络流量识别技术领域,尤其涉及一种基于探针的自动流量特征收集方法及系统。

背景技术

[0002] 在下一代防火墙等流量深度识别设备得到广泛应用的今天,对流量进行深度识别具有广泛的需求。目前对流量的特征提取主要集中于人工对捕获到的流量样本及产生流量的程序进行深度分析,由于人工介入的效率较为低下、成本较高,使得网络流量特征的获取不能充分保证其时效性及准确性。

发明内容

[0003] 针对上述现有技术中存在的缺陷,本发明提出了一种基于探针的自动流量特征收集方法及系统,通过在终端部署探针进行用户、进程行为识别,并在网络侧部署探针进行流量捕获,并在终端行为与网络流量间建立关联,以此来进行流量特征自动提取与收集,并通过大数据分析得到终端侧操作与网络侧数据的联动关系,以及动态判断历史网络流量特征的有效性。
[0004] 具体发明内容包括:
[0005] 一种基于探针的自动流量特征收集方法,包括:
[0006] 分别在终端侧和网络侧部署探针;
[0007] 终端侧探针监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
[0008] 终端侧探针监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
[0009] 终端侧探针监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
[0010] 网络侧探针根据接收到的指定数据标记进行数据流的获取;
[0011] 将上述终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流,发送给服务器进行联合分析,生成网络流量特征。
[0012] 进一步地,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针,具体为:当终端侧探针发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针,使网络侧探针做好对目标流进行获取的准备;当终端侧探针发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针,使网络侧探针明确需要获取的具体数据流,并进行获取;当终端侧探针发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针,使网络侧探针结束相应数据流的获取。
[0013] 进一步地,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当终端侧探针发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
[0014] 进一步地,所述网络侧探针根据接收到的指定数据标记进行数据流的获取,还包括:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
[0015] 进一步地,所述联合分析,还包括:利用机器学习算法对终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流进行关联分析,建立终端侧数据与网络侧数据流的联系,并按照数据流的类型进行归类,对相同类型数据流及其对应的终端侧和网络侧数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
[0016] 进一步地,还包括对生成的网络流量特征进行评价,具体为:在服务器动态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端侧和网络侧的数据,在其所述进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同(同为数字、字母、汉子、符号或其组合等);其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。
[0017] 一种基于探针的自动流量特征收集系统,包括终端、网络端、服务器,还包括部署在终端的终端侧探针模块、部署在网络端的网络侧探针模块、部署在服务器的联合分析模块;
[0018] 其中,终端侧探针模块还包括API调用监控子模块、用户操作监控子模块、进程监控子模块;
[0019] 具体地,
[0020] API调用监控子模块,用于监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模块信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
[0021] 用户操作监控子模块,用于监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
[0022] 进程监控子模块,用于监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
[0023] 网络侧探针模块,用于根据接收到的指定数据标记进行数据流的获取;
[0024] 联合分析模块,用于将上述终端侧探针模块获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块获取的数据流进行联合分析,生成网络流量特征。
[0025] 进一步地,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块,具体为:当API调用监控子模块发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针模块,使网络侧探针模块做好对目标流进行获取的准备;当API调用监控子模块发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针模块,使网络侧探针模块明确需要获取的具体数据流,并进行获取;当API调用监控子模块发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针模块,使网络侧探针模块结束相应数据流的获取。
[0026] 进一步地,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当用户操作监控子模块发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
[0027] 进一步地,所述网络侧探针模块,还用于:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
[0028] 进一步地,所述联合分析模块,还用于:利用机器学习算法对终端侧探针模块获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块获取的数据流进行关联分析,建立终端数据与网络端数据流的联系,并按数据流的类型进行归类,对相同类型数据流及其对应的终端和网络端数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
[0029] 进一步地,还包括网络流量特征评价模块,网络流量特征评价模块部署在服务器,具体用于:在联合分析模块动态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端和网络端的数据,在对其进行进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同(同为数字、字母、汉子、符号或其组合等);其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。
[0030] 本发明的有益效果是:
[0031] 本发明可实现基于终端、网络探针联合的自动化网络流量特征收集;
[0032] 本发明可实现将终端行为与网络流量间建立关联,通过大数据分析得到终端侧操作与网络侧数据的联动关系,以及动态判断历史网络流量特征的有效性,以此来动态收集和维护特征库数据,并能充分保证特征的完整性和准确性。附图说明
[0033] 为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034] 图1为本发明一种基于探针的自动流量特征收集方法流程图
[0035] 图2为本发明一种基于探针的自动流量特征收集系统结构图。

具体实施方式

[0036] 为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
[0037] 本发明给出了一种基于探针的自动流量特征收集方法实施例,如图1所示,包括:
[0038] S101:分别在终端侧和网络侧部署探针;
[0039] S102:终端侧探针监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模块信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
[0040] S103:终端侧探针监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
[0041] S104:终端侧探针监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
[0042] S105:网络侧探针根据接收到的指定数据标记进行数据流的获取;
[0043] S106:将上述终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流,发送给服务器进行联合分析,生成网络流量特征。
[0044] 优选地,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针,具体为:当终端侧探针发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针,使网络侧探针做好对目标流进行获取的准备;当终端侧探针发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针,使网络侧探针明确需要获取的具体数据流,并进行获取;当终端侧探针发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针,使网络侧探针结束相应数据流的获取。
[0045] 优选地,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当终端侧探针发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
[0046] 优选地,所述网络侧探针根据接收到的指定数据标记进行数据流的获取,还包括:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
[0047] 优选地,所述联合分析,还包括:利用机器学习算法对终端侧探针获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针获取的数据流进行关联分析,建立终端侧数据与网络侧数据流的联系,并按照数据流的类型进行归类,对相同类型数据流及其对应的终端侧和网络侧数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
[0048] 优选地,还包括对生成的网络流量特征进行评价,具体为:在服务器动态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端侧和网络侧的数据,在其所述进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同(同为数字、字母、汉子、符号或其组合等);其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。
[0049] 本发明还给出了一种基于探针的自动流量特征收集系统实施例,如图2所示,包括终端、网络端、服务器,还包括部署在终端的终端侧探针模块201、部署在网络端的网络侧探针模块202、部署在服务器的联合分析模块203;
[0050] 其中,终端侧探针模块201还包括API调用监控子模块201-1、用户操作监控子模块202-2、进程监控子模块201-3;
[0051] 具体地,
[0052] API调用监控子模块201-1,用于监视终端系统中API的调用,当发现指定的API调用动作时进行对应的栈追溯,获取对应的调用进程和调用模块信息,并按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块202;所述指定的API调用动作包括:连接请求、发送数据、结束连接;
[0053] 用户操作监控子模块201-2,用于监视用户操作,当发现指定的用户操作时,获取与相应操作相关的数据,并将相关的数据保存到进程操作记录中;
[0054] 进程监控子模块201-3,用于监视系统进程操作,获取进程操作信息,并将进程操作信息保存到进程操作记录中;
[0055] 网络侧探针模块202,用于根据接收到的指定数据标记进行数据流的获取;
[0056] 联合分析模块203,用于将上述终端侧探针模块获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块获取的数据流进行联合分析,生成网络流量特征。
[0057] 优选地,所述按规定生成指定数据标记,并将指定数据标记发送给网络侧探针模块202,具体为:当API调用监控子模块201-1发现连接请求的API调用动作时,获取调用动作的目标五元组信息,并根据具体API及调用动作生成流唯一标记,将目标五元组信息和流唯一标记发送给网络侧探针模块202,使网络侧探针模块202做好对目标流进行获取的准备;当API调用监控子模块201-1发现发送数据的API调用动作时,根据具体API及调用动作生成数据隔唯一标记,将数据隔唯一标记发送给网络侧探针模块202,使网络侧探针模块202明确需要获取的具体数据流,并进行获取;当API调用监控子模块201-1发现结束连接的API调用动作时,根据具体API,将相应的流唯一标记再次发送给网络侧探针模块202,使网络侧探针模块202结束相应数据流的获取。
[0058] 优选地,所述当发现指定的用户操作时,获取与相应操作相关的数据,具体为:当用户操作监控子模块201-2发现指定的用户操作时,获取其目标进程及窗体信息;其中,所述指定的用户操作包括:点击、键盘输入,所述窗体信息包括:窗体名称、窗体属性、窗体是否有输入框、窗体输入框属性、输入框内容、用户输入内容、窗体内容文本数据。
[0059] 优选地,所述网络侧探针模块202,还用于:对于获取到的数据流,使用相应的流唯一标记作为相应数据流的流标记,使用相应的数据隔唯一标记作为相应数据流的数据包标记,并对获取到的数据流进行协议识别和解析。
[0060] 优选地,所述联合分析模块203,还用于:利用机器学习算法对终端侧探针模块201获取的信息、相应的指定数据标记、进程操作记录,以及网络侧探针模块202获取的数据流进行关联分析,建立终端数据与网络端数据流的联系,并按数据流的类型进行归类,对相同类型数据流及其对应的终端和网络端数据进行进一步分析,得到各类型数据流下网络流量特征、用户输入、界面功能的关系。
[0061] 优选地,还包括网络流量特征评价模块,具体用于:在联合分析模块动203态持续的进行联合分析过程中,对于相同类型数据流及其对应的终端和网络端的数据,在对其进行进一步分析中,判断其所得到的用户输入信息与历史记录的用户输入信息是否保持稳定,若是则视为该类型的数据流其历史得到的网络流量特征保持有效;否则对该类型的网络流量进行细化分析,判断其历史得到的网络流量特征的有效性;若后续每次得到的用户输入信息与历史记录的用户输入信息都不能保持稳定,则视为该类型的数据流其历史得到的网络流量特征为无效特征;其中,所述稳定,包括:输入内容相同、输入内容的格式相同、输入内容的类型相同(同为数字、字母、汉子、符号或其组合等);其中,所述细化分析,包括:按照所使用协议进行分类分析、按照所使用协议版本进行分类分析。
[0062] 针对目前多采用人工的方法进行网络流量特征收集使得不能确保收集特征的准确性、时效性和准确性这一技术缺陷,本发明提出了一种基于探针的自动流量特征收集方法及系统,通过在终端部署探针进行用户、进程行为识别,并在网络侧部署探针进行流量捕获,并在终端行为与网络流量间建立关联,以此来进行流量特征自动提取与收集,并通过大数据分析得到终端侧操作与网络侧数据的联动关系,以及动态判断历史网络流量特征的有效性。本发明可实现基于终端、网络探针联合的自动化网络流量特征收集;本发明可实现将终端行为与网络流量间建立关联,通过大数据分析得到终端侧操作与网络侧数据的联动关系,以及动态判断历史网络流量特征的有效性,以此来动态收集和维护特征库数据,并能充分保证特征的完整性和准确性。
[0063] 虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
高效检索全球专利

专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。

我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。

申请试用

分析报告

专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。

申请试用

QQ群二维码
意见反馈