本發明公開了一種基于分組分域的移動應用指紋自動化提取方法及系統，屬于網絡安全技術領域。本發明系統包括數據預處理模塊、流量分組模塊、流量分域模塊、指紋提取模塊以及指紋提純模塊。本發明方法包括：對采集的HTTP流量解析提取HTTP流量樣本；依據Host字段和path一級目錄對流量樣本進行簇劃分；對每個簇內的流量樣本進行負載分域；對每個簇提取候選指紋；對候選指紋進行停用詞和隨機值過濾獲得應用指紋；對待識別樣本提取數據塊域形成指紋，基于應用指紋庫計算相似度，識別所屬應用。本發明可對輸入的移動應用流量自動提取結構化的應用指紋，可自動化識別未知流量所屬應用，解決現有技術中有效性差和覆蓋率低的問題。

技術領域

本發明屬于網絡安全技術領域，涉及指紋提取與識別技術，特別涉及一種基于分組分域的移動應用指紋自動化提取方法及系統。

背景技術

在大規模的互聯網流量環境下，網絡管理和安全任務面臨著更高的速度、精度等方面的要求，尤其是對基于網絡流量進行應用識別有著迫切需求。一方面，網絡安全管理人員希望及時地了解流量來自于哪些應用，針對不同的應用合理分配管理資源，實現精細化的監管；另一方面，某些任務中可能需要對所關注的特定應用流量進行分析。而如何從海量的數據中分離出特定應用的流量或識別出特定的應用，成為了安全人員和研究人員關注的重點。涉及到的具體場景如網絡流量識別系統、入侵檢測與防御系統、網絡安全事件監測、威脅情報分析系統等。

目前主流的應用識別技術是采用基于內容指紋(如字符串、正則表達式等)的方法進行識別，指紋提取與維護更新主要依賴人工分析。所述內容指紋是通過對目標應用的大量流量樣本進行分析之后，從負載內容字面本身所歸納形成的能夠用于標識該應用的指紋。然而，在實際工程任務的實踐中，依靠人工分析提取應用指紋主要存在以下問題：

(1)指紋提取速度慢、效率低、擴展性差，人工靠肉眼分析應用的大量報文提取可能的指紋串，已難以應付當前的需求，同時隨著應用數量的增長以及現有應用的不斷更新，保持指紋庫的同步更新也成為迫切的需求。

(2)提取的指紋質量嚴重依賴專家經驗，不同人員提取出的指紋實際應用效果可能差別很大，影響識別效果。

(3)提取指紋的要求變高、難度加大。目前，無論在PC端還是移動端，產生的非加密流量主要是以HTTP(Hyper Text Transfer Protocol，超文本傳輸協議)協議為主，且受云服務和第三方服務等發展的影響，傳統的基于IP地址、端口號、域名等方法已不再適用，必須對協議內容進行深入分析獲取應用指紋。

目前隨著Web技術、移動互聯網技術的飛速發展，HTTP在各類應用業務中廣泛應用，適用領域不斷拓寬，且在承載不同應用時其流量中體現出的特性也不盡相同，應用指紋在HTTP流量中出現的位置并非完全固定，呈現較弱的規律性，必須對應用的HTTP流量進行全面分析，經綜合研判后才能提取出有效的應用指紋。

發明內容

針對目前移動應用指紋提取和流量識別中，現有應用指紋提取方法存在有效性差和覆蓋率低的問題，本發明公開了一種基于分組分域的移動應用指紋自動化提取方法及系統，通過流量劃分、負載分域、指紋篩選以及指紋生成等多個階段操作實現了指紋提取，并在基于相似度匹配的應用識別引擎上進行了指紋應用和評估。