应用流量关联系统构建方法、识别方法、存储介质及终端与流程

1.本发明涉及移动应用识别技术领域，尤其涉及一种应用流量关联系统构建方法、识别方法、存储介质及终端。


背景技术：

2.随着移动设备的普及和移动应用的繁荣发展，各种移动应用也深入人们的生活和学习，成为人们最常使用的上网方式。而数量庞大的青少年也成为各种移动应用的使用对象，但在各种社交学习等正常应用中也可能会夹杂着某些影响青少年健康成长，或防止青少年沉迷的应用，因此需要对移动设备上应用的使用情况进行识别。
3.目前，常用的识别方法是通过人工提取网络流量规则来识别移动设备上应用的使用情况，但由于多个应用可能存在一些公共特征，且应用独有的网络特征规则并不能很容易发现，因此人工提取的网络流量规则粒度粗，容易产生误报，并且存在耗费长的问题。


技术实现要素：

4.本发明实施例提供了一种应用流量关联系统构建方法、识别方法、存储介质及终端，通过应用维度信息和流量维度信息，建立应用与流量之间的关联关系，可通过某一应用维度信息或流量维度信息识别其对应的流量维度信息或应用维度信息，提高识别的精准度和效率。
5.第一方面，本发明实施例提供了一种应用流量关联系统构建方法，包括：
6.获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；
7.基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
8.第二方面，本发明实施例提供了一种应用流量识别方法，包括：
9.根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；
10.所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；
11.所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系；
12.所述应用流量关联系统通过上述应用流量关联系统构建方法得到。
13.第三方面，本发明实施例提供一种计算机可读存储介质，其上存储有计算机程序，上述计算机程序被处理器执行时实现上述第一个方面或第二方面所述的方法步骤。
14.第四方面，本发明实施例提供一种终端，包括存储器、处理器以及存储在所述存储
器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面或第二方面所述的方法步骤。
15.本发明的实施例提供的应用流量关联系统构建方法、识别方法、存储介质及终端，具备以下技术效果：
16.本发明通过获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。本发明通过应用维度信息和流量维度信息，建立应用与流量之间的关联关系，从而构建应用流量关联系统，可通过某一应用维度信息或流量维度信息查询识别其对应的流量维度信息或应用维度信息，提高应用流量识别的精准度和效率。
附图说明
17.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1为本发明实施例提供的一种应用流量关联系统构建方法流程图；
19.图2为本发明实施例提供的一种应用流量信息表关联图；
20.图3为本发明实施例提供的一种应用流量识别方法流程图；
21.图4为本发明实施例提供的一种应用流量关联系统构建装置的结构示意图；
22.图5为本发明实施例提供的一种应用流量识别装置的结构示意图；
23.图6为本发明实施例提供的一种终端的框图。
具体实施方式
24.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
25.下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
26.在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
27.目前，对移动设备上应用的使用情况进行识别的需求不断增长，但常用的识别方法是通过人工提取网络流量规则来识别移动设备上应用的使用情况，但由于多个应用可能
存在一些公共特征，且应用独有的网络特征规则并不能很容易发现，因此人工提取的网络流量规则粒度粗，容易产生误报，并且存在耗费长的问题。
28.针对上述问题，本发明提供了一种应用流量关联系统构建方法、识别方法、存储介质及终端。下面，将结合附图及实施例对本发明实施例中的应用流量关联系统构建方法、识别方法的各个步骤进行更详细的说明。
29.图1为本发明实施例提供的一种应用流量关联系统构建方法流程图。如图1所示，本发明实施例的所述方法可以包括以下步骤：
30.s101，获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息。
31.本发明实施例中，首选需确定一个或多个应用作为样本，由于本发明的目的是识别应用在终端设备上的使用情况，因此尽可能选取多范围内的应用作为样本，如社交类应用、学习类应用、游戏类应用等等，具体的数量和选取的应用可根据情况自由设置，此处不作限定。确定一个或多个应用后，获取该一个或多个应用的应用维度信息和流量维度信息，其中，应用维度信息包括应用基本信息和应用开发者信息，流量维度信息包括域名信息和网络特征信息。具体步骤包括：
32.s101.1，对一个或多个应用进行静态分析，获取所述一个或多个应用的静态常量信息，从而得到应用维度信息；所述应用维度信息包括应用基本信息和应用开发者信息。
33.可选的，每个应用包括的信息可分为静态信息和动态信息，静态信息即应用未运行处于静止状态时包括的信息，而动态信息是应用在运行过程中产生的信息。因此，针对应用不同的状态，可采用不同的方法获取应用处于不同状态时的信息，从而得到应用的应用维度信息和流量维度信息。
34.可选的，首先对一个或多个应用进行静态分析，获取应用的静态常量信息，即应用的基本信息和应用的开发者信息，组成应用维度信息，具体步骤包括：
35.(1)利用静态沙箱技术对一个或多个应用进行逆向分析，获取所述一个或多个应用的应用基本信息；所述应用基本信息包括应用的包名和应用的版本；
36.(2)根据所述一个或多个应用的开发者归属关系，获取一个或多个应用开发者信息；所述应用开发者信息包括应用开发者的名称和应用开发者的备案域名。
37.可选的，首先利用静态沙箱技术(apktool等逆向工具)对一个或多个应用进行逆向分析，得到该一个或多个应用的应用基本信息。而在获取应用的基本信息时，由于可能有多个应用，因此需要对每个应用进行唯一标识，而在应用的基本信息中，包名可以对不同的应用进行区分，但包名相同的应用可能因为更新或限定活动存在多个不同的版本，如淘宝因为更新或双十一等活动存在多个版本。因此可采用包名和版本对每个应用进行唯一标识，所以应用基本信息包括应用的包名和应用的版本。优选的，应用基本信息还可包括应用的其他信息，如应用的应用名、应用的大小以及应用对应的域名/ip/端口等网络常量信息，用以对应用进行更全面的分析和展示。
38.可选的，每个应用都有其对应的开发者，因此可进一步查询每个应用对应的开发者归属关系确定其对应的应用开发者，查询方式可自由选择，如通过应用商店查询、通过网络查询等，此处不作限定。优选的，由于通过网络查询等方式无法准确获取每个应用归属的应用开发者，可能会造成信息的缺失和错误，而通过应用商店可以准确的获取每个应用归
属的应用开发者，因此可选取应用商店作为固定渠道，得到每个应用对应的应用开发者。由于应用商店一般存在于终端上，而终端存在不同的品牌和型号，通过不同品牌终端上的应用商店得到的同一应用对应的应用开发者也可能不同，比如在华为、小米、oppo、vivo等不同品牌终端的应用商店中，同一应用对应的应用开发者可能不同，因此一个应用可能有一个或多个开发者归属关系。
39.可选的，获取每个应用的开发者归属关系，确定一个或多个应用开发者后，可利用应用商店查询、通过网络查询等方式获取每个应用开发者的信息，由于应用开发者一般为公司，因此可用应用开发者的名称对每个应用开发者进行唯一标识，并且为了在网络通信中对每个应用开发者进行区分，每个应用开发者会设置对应的备案域名，用于在网络中进行唯一标识，如淘宝的备案域名可设为tao.bao.com，因此应用开发者信息包括应用开发者的名称和应用开发者的备案域名。优选的，应用开发者信息还可包括应用开发者的其他信息，如应用开发者开发的应用信息、应用开发者的股权信息等。
40.s101.2，对一个或多个应用进行动态分析，获取所述一个或多个应用在运行过程中产生的网络流量信息，从而得到流量维度信息；所述流量维度信息包括域名信息和网络特征信息。
41.可选的，通过静态分析获取应用的应用基本信息和应用开发者信息后，可对一个或多个应用进行动态分析，获取应用在运行过程中产生的网络流量信息。具体可将应用投入动态沙箱，模拟应用安装、启动、运行的过程，记录整个过程中应用产生的网络流量信息并存储为pcap文件。但不同的应用，或应用在不同的环境中产生的网络流量信息可能不同，因此需对每个应用的网络流量信息进行分析提取，从而得到应用的流量维度信息。具有步骤包括：
42.(1)对所述一个或多个应用的网络流量信息进行http协议或https协议解析，提取地址信息，从而得到域名信息；所述域名信息包括域名的名称；
43.(2)对所述一个或多个应用的网络流量信息进行tcp/udp协议解析，提取数据包载荷，从而得到网络特征信息；所述网络特征信息包括网络特征的名称。
44.可选的，信息在网络中传输时都有其对应的传输协议，目前常用的传输协议有http/https协议和tcp/udp协议，而基于不同的传输协议，信息的传输格式可能会有所不同，因此针对不同的传输协议可采用不同的分析提取方式，获取应用的流量信息。
45.可选的，若应用的网络流量信息基于http或https协议进行传输，可对应用的网络流量信息，即pcap文件进行解析，提取其地址信息，从而得到域名信息。具体的，应用的信息基于http协议在网络中进行传输时，每一个目的地都会有一个对应的ip地址，如一个ip地址为http://cnipa.gensee.com/training/site/s/37761404，其中http:则表明该ip地址使用的为http协议，cnipa.gensee.com则为该ip地址对应的域名的名称，一般为字符串形式，用以表明目的对象，是每条ip地址必须包括的内容，因此域名信息包括域名的名称。当然域名信息还可包括其他信息，ip地址中从域名后的第一个/开始到最后一个/为止，是虚拟目录的部分，即training/site/s；从域名最后一个/开始到？为止，或到#为止，或到结束是文件名部分都是文件名部分，即37761404。上述域名后的虚拟目录和文件名是对访问内容进一步的描述，可统称为url参数，所以域名信息还可包括url参数。https协议和http协议相似，区别在于https协议在http协议的基础上添加了加密层，但可采用相同的方法提取
https协议的地址信息，从而得到对应的域名信息。
46.可选的，若应用的网络流量信息是基于tcp/udp协议进行传输，则可对应用的网络流量信息，即pcap文件进行解析，提取数据包载荷，从而得到网络特征信息。具体的，不同于http/https协议，基于tcp/udp协议的网络流量数据通过端口进行传输，如从源端口传输到目的端口，并且数据以payload包(有效载荷数据)进行传输，payload包以字节形式存储数据。因此可对pcap文件中的payload包进行解析，提取payload特征即网络信息特征和端口，其中payload特征可对payload包进行唯一标识，因此网络特征信息包括网络特征的名称，当然网络特征信息还可包括对应的端口。
47.优先的，在对payload包进行解析时，由于应用的网络流量信息通过多个端口进行传输，大部分端口可能只有少量流量传输，为了提高效率，可只选取传输量靠前的端口，如排序前10的特定端口的流量数据，并接着依据这些特定端口解析tcp/udp协议payload包得到共同特征，由于payload包以字节形式存储，如前5字节16进制数据1020304050，因此可对在一定阈值范围内相同(如前5-10个字节相同)的payload包提取端口和payload特征，提高处理效率。
48.基于上述任一可选实施例，s102，基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
49.在本发明实施例中，获取一个或多个应用的应用维度信息和流量维度信息后，可基于应用维度信息和流量维度信息建立应用和流量之间的关联关系，从而构建应用流量关联系统。由于应用维度信息包括应用基本信息和应用开发者信息，流量维度信息包括域名信息和网络特征信息，因此应用和流量之间的关联关系也包括多方面，具体包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。具体步骤包括：
50.s102.1，基于所述应用维度信息和所述流量维度信息，建立应用维度信息表和流量维度信息表；所述应用维度信息表包括应用基本信息表、应用开发者信息表，所述流量维度信息表包括域名信息表和网络特征信息表。
51.可选的，基于应用维度信息和流量维度信息建立应用和流量之间的关联关系时，由于各个维度信息是分别孤立保存的，因此需要通过一些方法将应用维度信息和流量维度信息联系起来，可基于应用维度信息和流量维度信息，建立对应的应用维度信息表和流量维度信息表，通过表的特性建立应用维度信息和流量维度信息之间的联系，从而构建应用和流量之间的关联关系。具体步骤包括：
52.s102.1.1，基于所述应用基本信息、所述应用开发者信息、域名信息和网络特征信息，分别通过应用id、应用开发者id、域名id和网络特征id对每个应用、每个应用开发者、每个域名和每个网络特征进行唯一标识。
53.可选的，首先可将应用维度信息和流量维度信息进行处理，过滤重复和无效的数据，分别存入对应的信息表中，而在将每条数据存入对应的信息表中时，会生成一个对应的id用以对该条数据进行唯一标识，便于查找和处理。id可随机生成，也可自由设置，此处不作限定。
54.可选的，由于应用维度信息包括应用基本信息和应用开发者信息，流量维度信息包括域名信息和网络特征信息，因此可基于应用基本信息、应用开发者信息、域名信息和网络特征信息包括的数据，分别通过应用id、应用开发者id、域名id和网络特征id对每个应用、每个应用开发者、每个域名和每个网络特征进行唯一标识。
55.s102.1.2，基于所述应用基本信息和所述应用id，获取每个应用对应的应用开发者id、域名id和网络特征id，建立应用基本信息表；
56.s102.1.3，基于所述应用开发者信息和所述应用开发者id，并获取每个应用开发者的备案域名id，建立应用开发者信息表；
57.s102.1.4，基于所述域名信息和所述域名id，建立域名信息表；
58.s102.1.5，基于所述网络特征信息和所述网络特征id，建立网络特征信息表。
59.可选的，在本发明实施例中应用维度信息和流量维度信息均是围绕应用进行获取的，因此应用基本信息是应用维度信息和流量维度信息中的核心与基础。在通过应用id对每个应用进行唯一标识后，以应用基本信息为核心，结合应用开发者信息、域名信息和网络特征信息，获取每个应用对应的应用开发者id、域名id和网络特征id，建立应用基本信息表。
60.可选的，通过应用开发者id对每个应用开发者进行唯一标识后，基于应用开发者信息，可获取每个应用对应的备案域名，备案域名本质上也是域名，也有其对应的id，因此可获取每个应用开发者对应的备案域名id，建立应用开发者信息表。
61.可选的，基于每个域名对应的域名id和域名信息，可构建域名信息表；同理基于每个网络特征对应的网络特征id和网络特征信息，可构建网络特征信息表。
62.可选的，虽然分别通过应用id、应用开发者id、域名id和网络特征id对每个应用、每个应用开发者、每个域名和每个网络特征进行唯一标识，但在信息表中对每个信息进行搜索和处理时，一般不会通过id进行，而是通过信息的名称进行搜索。因此应用基本信息表还包括应用的包名，由于相同包名的应用可能存在多个版本，因此还包括应用的版本，当然为了对应用进行更全面的展示，还可包括应用的应用名、应用的大小等；同理，应用开发者信息表还包括应用开发者的名称，用于对应用开发者信息进行检索和处理，为了对应用开发者进行更全面的展示，还可包括应用开发者开发的应用、应用开发者的股权信息等；同理，域名信息表还包括域名的名称；网络特征信息表还包括网络特征的名称，由于网络特征信息是通过特定的端口获取，因此还可包括端口。
63.s102.2，基于所述应用基本信息表和所述应用开发者信息表、所述域名信息表以及所述网络特征信息表分别构建应用和应用开发者之间的关联关系、应用和域名之间的关联关系以及应用和网络特征之间的关联关系；基于所述应用开发者信息表和所述域名信息表构建应用开发者之间和域名之间的关联关系。
64.可选的，基于应用维度信息和流量维度信息构建应用维度信息表和流量维度信息表后，可根据表之间的特性建立应用维度信息和流量维度信息之间的联系，从而构建应用和流量之间的关联关系。可参考图2，图2为本发明实施例提供的一种应用流量信息表关联图。
65.由图2可看出，应用基本信息表和应用开发者信息表均包括应用开发者id，并且每个应用都有其对应的应用开发者id，因此可通过应用开发者id可将应用基本信息表和应用
开发者信息表联系起来，从而构建了应用和应用开发者之间的关联关系。
66.同理，通过域名id可将应用基本信息表和域名信息表联系起来，从而构建了应用和域名之间的关联关系；通过网络特征id可将应用基本信息表和网络特征信息表联系起来，从而构建了应用和网络特征之间的关联关系。
67.可选的，基于应用开发者信息，可获取每个应用对应的备案域名，备案域名本质上也是域名，也有其对应的id，因此可获取每个应用开发者对应的备案域名id，建立应用开发者信息表。由图2可看出，通过应用开发者信息表包括的备案域名id和域名信息表包括的域名id可将应用开发者信息表和域名信息表联系起来，从而构建应用开发者和域名之间的关联关系。
68.综上所述，本发明实施例提供了一种应用流量关联系统构建方法，获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。本发明实施例通过应用维度信息和流量维度信息，建立应用与流量之间的关联关系，从而构建应用流量关联系统，可通过某一应用维度信息或流量维度信息查询识别其对应的流量维度信息或应用维度信息，提高应用流量识别的精准度和效率。
69.通过上述方法构建应用流量关联系统后，可通过系统查询某一应用维度信息或流量维度信息的关联维度信息。以下为本发明提供的应用流量识别方法的实施例。图3为本发明实施例提供的一种应用流量识别方法流程图。如图3所示，本发明实施例的所述方法可以包括以下步骤：
70.s301，根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；
71.所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；
72.所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系；
73.所述应用流量关联系统通过上述应用流量关联系统构建方法得到。
74.本发明实施例中，待查询数据为应用维度信息或流量维度信息，而应用维度信息包括应用基本信息和应用开发者信息，流量维度信息包括域名信息和网络特征信息，因此具体来说，待查询数据可为应用基本信息、应用开发者信息、域名信息和网络特征信息中的一种。
75.可选的，在实际使用时，将待查询数据输入应用流量关联系统进行查询时，通常会采用即明确又能对数据进行唯一标识的信息，如应用的包名、应用开发者的名称、域名的名称以及网络特征的名称等。确定待查询数据后，可将待查询数据输入应用流量关联系统，获取待查询数据的关联关系，从而确定待查询数据关联的维度信息。具体步骤包括：
76.s301.1，根据待查询数据，定位所述待查询数据对应的信息表；所述待查询数据为
应用维度信息或流量维度信息；
77.s301.2，根据所述待查询数据对应的信息表，获取所述待查询数据对应id；
78.s301.3，基于所述待查询数据对应id，获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息。
79.可选的，将待查询数据输入应用流量关联系统，可定位待查询应用
80.根据待查询数据，可定位其对应的信息表，若待查询数据为应用基本信息，则其对应的信息表为应用基本信息表；若待查询数据为应用开发者信息，则其对应的信息表为应用开发者信息表；若待查询数据为域名信息，则其对应的信息表为域名信息表；若待查询数据为网络特征信息，则其对应的信息表为网络特征信息表。
81.确定待查询数据对应的信息表后，可获取待查询数据对应的id。并根据待查询数据对应的id，获取待查询数据的关联关系，从而确定待查询数据关联的维度信息。由于待查询数据可能为应用基本信息、应用开发者信息、域名信息和网络特征信息，其对应的id和关联关系也包括多种情况，因此其关联的维度信息也会根据情况有所不同。
82.在一个可选的实施例中，待查询数据关联的维度信息的具体获取步骤如下：
83.若所述待查询数据为应用基本信息，基于所述待查询数据对应的应用id，获取所述待查询数据在应用基本信息表中对应的域名id或/和网络特征id，从而获取所述待查询数据关联的域名信息或/和网络特征信息。
84.可选的，若待查询数据为应用基本信息，如应用的包名、应用的包名和应用的版本，则待查询数据对应的信息表为应用基本信息表，可通过查询获取待查询数据对应的应用id。
85.本发明实施例中是为了获取待查询数据关联的维度信息，当待查询数据为应用基本信息时，属于应用维度信息，其关联的维度信息即为流量维度信息，而流量维度信息包括域名信息和网络特征信息。因此可通过待查询数据的应用id，获取待查询数据对应的域名id、网络特征id，由于每个应用在运行过程中可能产生多条网络流量数据，其中可能包括http/https协议的流量数据，也可能包括tcp/udp协议的流量数据，因此每个应用可能对应一个或多个域名id，或一个或多个网络特征id，或同时对应一个或多个域名id和一个或多个网络特征id。
86.可选的，获取待查询数据对应的域名id或/和网络特征id后，可根据域名id可获取域名信息表中该域名id对应的域名信息，可根据网络特征id可获取网络特征信息表中该网络特征id对应的网络特征信息。
87.在另一个可选的实施例中，待查询数据关联的维度信息的具体获取步骤如下：
88.若所述待查询数据为应用开发者信息，基于所述待查询数据对应的应用开发者id，获取所述待查询数据应用开发者信息表中对应的备案域名id，从而获取所述待查询数据关联的域名信息。
89.可选的，若待查询数据为应用开发者信息，如应用开发者的名称，则待查询数据对应的信息表为应用开发者信息表，可通过查询获取待查询数据对应的应用开发者id和对应的备案域名id。
90.本发明实施例中是为了获取待查询数据关联的维度信息，当待查询数据为应用开发者信息时，属于应用维度信息，其关联的维度信息即为流量维度信息，而流量维度信息包
括域名信息和网络特征信息。根据前文可知，通过应用开发者信息表包括的备案域名id和域名信息表包括的域名id可将应用开发者信息表和域名信息表联系起来，构建了应用开发者和域名之间的关联关系。
91.因此获取待查询数据对应的备案域名id后，可根据备案域名id可获取域名信息表中该备案域名id对应的域名信息，即获取与备案域名id相同的域名id对应的域名信息。
92.在另一个可选的实施例中，待查询数据关联的维度信息的具体获取步骤如下：
93.若所述待查询数据为域名信息或网络特征信息，根据所述待查询数据对应的域名id或网络特征id获取所述待查询数据关联的应用基本信息，并通过所述应用基本信息获取所述待查询数据关联的应用开发者信息。
94.可选的，若待查询数据为域名信息或网络特征信息，如域名的名称或网络特征的名称，则待查询数据对应的信息表为域名信息表或网络特征信息表，则可通过查询获取待查询数据对应的域名id或网络特征id。由于域名信息和网络特征信息均属于流量维度信息，其关联的维度信息为应用维度信息。因此可通过待查询数据对应的域名id或网络特征id获取其对应的流量维度数据，
95.根据前文可知，通过域名id可将应用基本信息表和域名信息表联系起来，构建了应用和域名之间的关联关系，通过网络特征id可将应用基本信息表和网络特征信息表联系起来，构建了应用和网络特征之间的关联关系。
96.因此若待查询数据为域名信息，可通过其对应的域名id获取其在应用基本信息表中对应的应用基本信息，如应用id、应用的包名和应用的版本等，并根据其对应的应用id获取待查询数据对应的应用开发者信息。
97.若待查询数据为网络特征信息，可通过其对应的网络特征id获取其在应用基本信息表中对应的应用基本信息，如应用id、应用的包名和应用的版本等，并根据其对应的应用id获取待查询数据对应的应用开发者信息。
98.综上所述，本发明实施例提供了一种应用流量识别方法，根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。本发明实施例通过不同的维度信息，通过每个维度信息对应的关联关系情况，获取其对应的关联维度信息，大大提高了应用流量关联识别的效率。
99.下述为本发明装置实施例，可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节，请参照本发明方法实施例。
100.请参见图4，为本发明实施例提供的一种应用流量关联系统构建装置的结构示意图。
101.本发明实施例中的应用流量关联系统构建装置400包括：信息获取模块401和系统构建模块402。
102.信息获取模块，用于获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网
络特征信息；
103.系统构建模块，用于基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
104.需要说明的是，上述实施例提供的应用流量关联系统构建装置在执行应用流量关联系统构建方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的应用流量关联系统构建装置与应用流量关联系统构建方法实施例属于同一构思，因此对于本发明系统实施例中未披露的细节，请参照本发明上述的应用流量关联系统构建方法的实施例，这里不再赘述。
105.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
106.请参见图5，为本发明实施例提供的一种应用流量识别装置的结构示意图。
107.本发明实施例中的应用流量识别装置500包括：数据查询模块501。
108.数据查询模块，用于根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；
109.所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；
110.所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系；
111.所述应用流量关联系统通过上述应用流量关联系统构建方法得到。
112.需要说明的是，上述实施例提供的应用流量识别装置在执行应用流量识别方法时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的应用流量识别装置与应用流量识别方法实施例属于同一构思，因此对于本发明系统实施例中未披露的细节，请参照本发明上述的应用流量识别方法的实施例，这里不再赘述。
113.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
114.本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述任一实施例方法的步骤。其中，计算机可读存储介质可以包括但不限于任何类型的盘，包括软盘、光盘、dvd、cd-rom、微型驱动器以及磁光盘、rom、ram、eprom、eeprom、dram、vram、闪速存储器设备、磁卡或光卡、纳米系统(包括分子存储器ic)，或适合于存储指令和/或数据的任何类型的媒介或设备。
115.本发明实施例还提供了一种终端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时实现上述任一实施例方法的步骤。
116.图6为本发明实施例提供了的一种终端的框图。请参见图6，本发明实施例提供一种终端600，包括：处理器(processor)601、通信接口(communications interface)602、存储器(memory)603和通信总线604，其中，处理器601，通信接口602，存储器603通过通信总线
604完成相互间的通信。处理器601可以调用存储器603中的逻辑指令，以执行如下方法，包括：获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
117.或执行如下方法，包括：根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
118.本发明实施例中示出的终端结构框图并不构成对终端600的限定，终端600可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。
119.本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
120.或包括：根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。
121.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

技术特征：
1.一种应用流量关联系统构建方法，其特征在于，包括：获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。2.根据权利要求1所述方法，其特征在于，所述获取一个或多个应用的应用维度信息和流量维度信息，包括：对一个或多个应用进行静态分析，获取所述一个或多个应用的静态常量信息，从而得到应用维度信息；所述应用维度信息包括应用基本信息和应用开发者信息；对一个或多个应用进行动态分析，获取所述一个或多个应用在运行过程中产生的网络流量信息，从而得到流量维度信息；所述流量维度信息包括域名信息和网络特征信息。3.根据权利要求2所述方法，其特征在于，所述对一个或多个应用进行静态分析，获取所述一个或多个应用的静态常量信息，从而得到应用维度信息，包括：利用静态沙箱技术对一个或多个应用进行逆向分析，获取所述一个或多个应用的应用基本信息；所述应用基本信息包括应用的包名和应用的版本；根据所述一个或多个应用的开发者归属关系，获取一个或多个应用开发者信息；所述应用开发者信息包括应用开发者的名称和应用开发者的备案域名。4.根据权利要求2或3所述方法，其特征在于，所述对一个或多个应用进行动态分析，获取所述一个或多个应用在运行过程中产生的网络流量信息，从而得到流量维度信息，包括：对所述一个或多个应用的网络流量信息进行http协议或https协议解析，提取地址信息，从而得到域名信息；所述域名信息包括域名的名称；对所述一个或多个应用的网络流量信息进行tcp/udp协议解析，提取数据包载荷，从而得到网络特征信息；所述网络特征信息包括网络特征的名称。5.根据权利要求4所述方法，其特征在于，所述基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，包括：基于所述应用维度信息和所述流量维度信息，建立应用维度信息表和流量维度信息表；所述应用维度信息表包括应用基本信息表、应用开发者信息表，所述流量维度信息表包括域名信息表和网络特征信息表；基于所述应用基本信息表和所述应用开发者信息表、所述域名信息表以及所述网络特征信息表分别构建应用和应用开发者之间的关联关系、应用和域名之间的关联关系以及应用和网络特征之间的关联关系；基于所述应用开发者信息表和所述域名信息表构建应用开发者之间和域名之间的关联关系。6.根据权利要求5所述方法，其特征在于，所述基于所述应用维度信息和所述流量维度信息，建立应用维度信息表和流量维度信息表，包括：基于所述应用基本信息、所述应用开发者信息、域名信息和网络特征信息，分别通过应用id、应用开发者id、域名id和网络特征id对每个应用、每个应用开发者、每个域名和每个网络特征进行唯一标识；
基于所述应用基本信息和所述应用id，获取每个应用对应的应用开发者id、域名id和网络特征id，建立应用基本信息表；基于所述应用开发者信息和所述应用开发者id，并获取每个应用开发者的备案域名id，建立应用开发者信息表；基于所述域名信息和所述域名id，建立域名信息表；基于所述网络特征信息和所述网络特征id，建立网络特征信息表。7.一种应用流量识别方法，其特征在于，包括：根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息；所述待查询数据为应用维度信息或流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；所述关联关系为如下至少一种：应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系；所述应用流量关联系统通过权利要求1-6任一项所述的方法得到。8.根据权利要求7所述方法，其特征在于，所述根据待查询数据，利用应用流量关联系统获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息，包括：根据待查询数据，定位所述待查询数据对应的信息表；所述待查询数据为应用维度信息或流量维度信息；根据所述待查询数据对应的信息表，获取所述待查询数据对应id；基于所述待查询数据对应id，获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息。9.根据权利要求8所述方法，其特征在于，所述基于所述待查询数据对应id，获取所述待查询数据的关联关系，从而确定所述待查询数据关联的维度信息，包括：若所述待查询数据为应用基本信息，基于所述待查询数据对应的应用id，获取所述待查询数据在应用基本信息表中对应的域名id或/和网络特征id，从而获取所述待查询数据关联的域名信息或/和网络特征信息；若所述待查询数据为应用开发者信息，基于所述待查询数据对应的应用开发者id，获取所述待查询数据应用开发者信息表中对应的备案域名id，从而获取所述待查询数据关联的域名信息；若所述待查询数据为域名信息或网络特征信息，根据所述待查询数据对应的域名id或网络特征id获取所述待查询数据关联的应用基本信息，并通过所述应用基本信息获取所述待查询数据关联的应用开发者信息。10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述方法或如权利要求7至9中任一项所述方法。11.一种终端，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述方法如权利要求7至9中任一项所述方法。

技术总结
本发明实施例提供一种应用流量关联系统构建方法、识别方法、存储介质及终端，所述方法包括：获取一个或多个应用的应用维度信息和流量维度信息；所述应用维度信息包括应用基本信息和应用开发者信息，所述流量维度信息包括域名信息和网络特征信息；基于所述应用维度信息和所述流量维度信息，建立应用和流量之间的关联关系，构建应用流量关联系统；所述应用和流量之间的关联关系包括应用与应用开发者之间的关联关系、应用与域名之间的关联关系、应用与网络特征之间的关联关系和应用开发者与域名之间的关联关系。本发明通过应用维度信息和流量维度信息，建立应用与流量之间的关联关系，可查询某一维度信息关联的维度信息，提高应用流量识别效率。应用流量识别效率。应用流量识别效率。


技术研发人员：潘宣辰 章康 张传学 陈家林
受保护的技术使用者：武汉安天信息技术有限责任公司
技术研发日：2023.05.15
技术公布日：2023/8/9