本發明公開了一種移動應用私有加密協議的用戶行為精細化分類方法及系統。本方法為：1)采集移動應用的流量，然后根據設置的私有加密協議特征從采集的流量中識別出私有加密協議流量；2)從識別出的私有加密協議流量中采集設定用戶行為類別的流量數據并標注；3)根據步驟2)采集并標注的流量數據生成訓練集、驗證集以及測試集；4)對三集合中的流量數據進行特征提取，將其轉換為特征向量；5)設置所選分類器的超參數，訓練所選分類器；6)利用驗證集對應的特征向量驗證訓練分類器；7)對分類器在測試集上進行分類，如果滿足設定標準，則利用該分類器對待處理移動應用流量進行分類。本發明能對用戶的不同操作產生的流量進行精細化的分類。

技術領域

本發明涉及一種移動應用私有加密協議的用戶行為精細化分類方法及系統，屬于計算機軟件技術領域。

背景技術

隨著互聯網的蓬勃發展，用戶為企業帶來巨大的利潤。在互聯網時代，用戶行為的分析有助于企業對用戶訪問進行優化，定制化，提供更好的服務，還可以用于構建行為模型，區分不同類型用戶，甄別惡意，異常用戶。

用戶行為分類是一種基于被動采集流量的網絡測量方法。用戶行為分類方法按應用場景可以劃分為明文協議流量和加密協議流量。明文協議流量的用戶行為分類主流的方案是首先利用深度包檢測技術(DPI技術)進行流量分析，對結果進行統計分析，匹配行為特征庫，或者進行聚類來分類用戶行為。例如，通過對HTTP協議的深度解析，獲得HTTP協議Host頭部字段和reference頭部字段刻畫用戶訪問網站軌跡。通過對用戶所使用的VoIP協議、流媒體協議、郵件協議等的識別推斷用戶使用的網絡服務。

針對加密流量的用戶行為分類方法通常是采集加密協議的明文握手信息和網絡流統計信息。在加密流量場景，應用層協議由SSL/TLS加密協議進行封裝。例如，分析SSL/TLS協議的Server Name Identification(SNI)擴展字段獲得用戶訪問網站，分析SSL/TLS協議的Application Layer Protocol Negotiation(ALPN)擴展字段獲得被加密的協議如http/1.1，http/2.0。

在移動和云環境下，問題變得更為復雜，SNI字段無法區分不同服務甚至沒有該擴展字段。在這種情況下，需要使用機器學習方案進行補充，對加密流量指紋特征。很多通信軟件、社交應用軟件常常采用的私有加密協議對上層應用協議進行封裝。這種封裝的優勢是不必遵循SSL/TLS復雜的標準，優化網絡性能，采用高強度的加密算法，預防服務因公有加密協議及對應服務器實現的漏洞受到攻擊的情況。通過流量分析的方法進行用戶行為精細化分類是一種重要手段，當前的尚未對私有加密流量場景提出有效解決方案。

現有的明文協議用戶行為分類的方法不適用于私有加密協議的場景。基于深度包檢測的流量識別方法無法從私有協議中提取有效信息，導致行為特征庫匹配和特征聚類等方法失效。基于SSL/TLS握手信息和指紋的方法同樣不適用于私有加密協議場景。基于統計機器學習方法提取流信息，主要是網絡流統計量(上下行包數、上下行字節數)和網絡流時間序列信息(包到達時間，包長序列信息等)。基于統計機器學習的方法是處理加密流量的未來的發展趨勢，但是目前的方法存在數據集要求較高，對集外的樣本普適性不高，分類器的效果調優復雜等問題。現有的機器學習方法主要用在網站的識別，不夠精細化。

發明內容

本發明旨在提供一種對采用私有協議加密的移動應用的用戶行為精細化的分類方法及系統。在不對私有協議解密的條件下，本發明對用戶的不同操作產生的流量進行精細化的分類，既保護了用戶隱私，又滿足了網絡安全審計，移動運營商、服務提供商的服務質量優化業務需求。本發明提出一種用戶行為數據集生成和標注方法，提高機器學習模型的分類效果。本發明實現了一種用戶行為精細化分類原型系統，設計了的模塊間信息交互接口，可以替換模塊化的機器學習模型，以適應不同應用場景的流量分析工作。

本發明的技術方案為：

一種移動應用私有加密協議的用戶行為精細化分類方法，其步驟包括：