一種移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類(lèi)方法、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和終端，所述方法包括：獲取移動(dòng)終端所產(chǎn)生的網(wǎng)絡(luò)流量；對(duì)所獲取的網(wǎng)絡(luò)流量進(jìn)行預(yù)處理，生成DNS流量對(duì)應(yīng)的DNS流量記錄集合和除所述DNS流量之外的其他網(wǎng)絡(luò)流量對(duì)應(yīng)的其他網(wǎng)絡(luò)流量記錄集合；對(duì)所述DNS流量記錄集合進(jìn)行聚類(lèi)，得到所述DNS流量對(duì)應(yīng)的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)；采用所得到的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)對(duì)所述其他網(wǎng)絡(luò)流量記錄集合進(jìn)行聚類(lèi)，得到所述其他網(wǎng)絡(luò)流量對(duì)應(yīng)的多個(gè)其他網(wǎng)絡(luò)流量類(lèi)；將所述DNS流量對(duì)應(yīng)的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)與所述其他網(wǎng)絡(luò)流量對(duì)應(yīng)的多個(gè)其他網(wǎng)絡(luò)流量類(lèi)進(jìn)行合并，得到最終的移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類(lèi)結(jié)果。上述的方案，可以簡(jiǎn)易地實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用網(wǎng)絡(luò)流量的聚類(lèi)分析。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，具體地涉及一種移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類(lèi)方法、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和終端。

背景技術(shù)

隨著移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，移動(dòng)終端，如智能手機(jī)、平板Pad、智能眼鏡、智能手表等已經(jīng)成為日常社會(huì)活動(dòng)的重要輔助工具。

然而，移動(dòng)終端的廣泛使用也給網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全防護(hù)帶來(lái)了前所未有的巨大挑戰(zhàn)。例如，在某企業(yè)內(nèi)網(wǎng)中，員工個(gè)人攜帶的移動(dòng)終端安裝有惡意應(yīng)用，該應(yīng)用調(diào)用攝像頭拍攝保密信息，然后利用移動(dòng)通信網(wǎng)絡(luò)或無(wú)線網(wǎng)絡(luò)將拍攝的保密信息傳輸至攻擊者服務(wù)器，造成機(jī)密信息泄露。因而，通過(guò)網(wǎng)絡(luò)流量檢測(cè)惡意移動(dòng)應(yīng)用或者分析移動(dòng)終端的操作行為是否異常，成為當(dāng)前理論研究以及實(shí)際應(yīng)用的熱點(diǎn)問(wèn)題。

在研究如何通過(guò)網(wǎng)絡(luò)流量檢測(cè)惡意移動(dòng)應(yīng)用或者分析移動(dòng)終端的操作行為是否異常時(shí)，一個(gè)重要的前提是能夠知悉網(wǎng)絡(luò)流量與移動(dòng)應(yīng)用間的對(duì)應(yīng)關(guān)系。例如，在分析網(wǎng)絡(luò)行為以檢測(cè)惡意移動(dòng)應(yīng)用時(shí)，對(duì)于不同網(wǎng)絡(luò)流F1、F2、F3、F4，現(xiàn)有工作假定已知F1和F2由同一移動(dòng)應(yīng)用產(chǎn)生，F(xiàn)3和F4由另一移動(dòng)應(yīng)用產(chǎn)生，然后再分析{F1，F(xiàn)2}和{F3，F(xiàn)4}的網(wǎng)絡(luò)行為特征以檢測(cè)惡意移動(dòng)應(yīng)用。為那滿足上述假設(shè)條件，可以在移動(dòng)終端上安裝代理程序，由該程序確定網(wǎng)絡(luò)流量與移動(dòng)應(yīng)用間的對(duì)應(yīng)關(guān)系。但實(shí)際中，在移動(dòng)終端上直接安裝代理程序存在眾多困難，如需強(qiáng)制用戶安裝、用戶可以自行卸載等。

但是，現(xiàn)有技術(shù)中尚未出現(xiàn)對(duì)移動(dòng)應(yīng)用網(wǎng)絡(luò)流量進(jìn)行自動(dòng)聚類(lèi)的公開(kāi)研究和報(bào)道。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問(wèn)題如何簡(jiǎn)易地實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用網(wǎng)絡(luò)流量的聚類(lèi)分析。

為解決上述技術(shù)問(wèn)題，本發(fā)明實(shí)施例提供了一種移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類(lèi)方法，所述方法包括：

獲取移動(dòng)終端所產(chǎn)生的網(wǎng)絡(luò)流量；

對(duì)所獲取的網(wǎng)絡(luò)流量進(jìn)行預(yù)處理，生成DNS流量對(duì)應(yīng)的DNS流量記錄集合和除所述DNS流量之外的其他網(wǎng)絡(luò)流量對(duì)應(yīng)的其他網(wǎng)絡(luò)流量記錄集合；

對(duì)所述DNS流量記錄集合進(jìn)行聚類(lèi)，得到所述DNS流量對(duì)應(yīng)的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)；

采用所得到的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)對(duì)所述其他網(wǎng)絡(luò)流量記錄集合進(jìn)行聚類(lèi)，得到所述其他網(wǎng)絡(luò)流量對(duì)應(yīng)的多個(gè)其他網(wǎng)絡(luò)流量類(lèi)；

將所述DNS流量對(duì)應(yīng)的多個(gè)DNS網(wǎng)絡(luò)流量類(lèi)與所述其他網(wǎng)絡(luò)流量對(duì)應(yīng)的多個(gè)其他網(wǎng)絡(luò)流量類(lèi)進(jìn)行合并，得到最終的移動(dòng)應(yīng)用網(wǎng)絡(luò)流量聚類(lèi)結(jié)果。

可選地，所述DNS網(wǎng)絡(luò)流量包括DNS應(yīng)答流量和DNS查詢流量，所述生成DNS流量記錄集合，包括：

對(duì)所獲取的網(wǎng)絡(luò)流量中的DNS流量進(jìn)行逐條遍歷；

當(dāng)確定遍歷至的當(dāng)前條DNS流量為DNS應(yīng)答流量時(shí)，提取當(dāng)前DNS流量中的IP地址和域名，組成對(duì)應(yīng)的一條查詢記錄；

當(dāng)確定遍歷至的當(dāng)前條DNS流量為DNS查詢流量時(shí)，提取當(dāng)前DNS流量中的域名和捕獲時(shí)間，組成對(duì)應(yīng)的一條應(yīng)答記錄；

獲取所述網(wǎng)絡(luò)流量中的DNS流量中的下一條DNS流量，直至所述網(wǎng)絡(luò)流量中的DNS流量全部遍歷完成，生成所述DNS流量記錄集合。