应用程序的识别方法、装置、交换装置和存储介质与流程

本公开涉及终端应用程序技术，尤其涉及应用程序的识别方法、装置、交换装置和存储介质。

背景技术：

终端的应用程序(application，简称：app)的识别指的是依据app自身具有的特征，将无论是安卓系统还是ios系统的终端的各种各样的app识别出来。终端厂商、软件开发商或网监等可以通过app的识别洞悉用户对app的使用情况，学习用户的app使用规律，还可以基于app的识别对用户的上网行为进行管控。

相关技术中，app的识别是基于深度报文检测(deeppacketinspection，简称：dpi)技术，dpi技术是一种基于应用层的流量检测和控制技术，当网络之间互连的协议(internetprotocol，简称：ip)数据包、传输控制协议(transmissioncontrolprotocol，简称：tcp)或用户数据报协议(userdatagramprotocol，简称：udp)数据流通过基于dpi技术的带宽管理系统时，该系统通过深入读取载荷的内容来对开放系统互联(opensysteminterconnection，简称：osi)七层协议中的应用层信息进行重组，从而得到整个app的内容，然后按照系统定义的管理策略对app进行识别归类操作。

技术实现要素：

为克服相关技术中存在的问题，本公开提供一种应用程序的识别方法、装置、交换装置和存储介质。

根据本公开实施例的第一方面，提供一种应用程序的识别方法，包括：

获取与待识别应用程序对应的报文；

从所述报文中提取关键字，所述关键字用于表示所述应用程序请求访问的服务器信息；

当所述关键字与预设规则集匹配时，根据匹配信息确定所述应用程序的标识，所述规则集包括应用程序的对应信息。

可选的，所述获取与待识别应用程序对应的报文，包括：

从所述待识别应用程序对应的数据流中将与过滤条件相匹配的报文筛选出来，所述过滤条件包括：端口号信息和协议类型；

对筛选出来的报文进行解析，提取出超文本传输协议http请求报文或域名系统dns回应报文。

可选的，所述关键字包括：从所述http请求报文中提取的目标地址信息和/或客户端信息；或者，从所述dns回应报文中提取的域名信息。

可选的，所述应用程序的对应信息包括应用程序的标识与以下至少一种信息的对应关系，所述信息包括：目标地址、客户端信息、域名信息。

可选的，所述当所述关键字与预设规则集匹配时，根据匹配信息确定所述应用程序的标识，包括：

当预设规则集中包括所述关键字时，从所述规则集中确定与所述关键字对应的应用程序标识，所述对应的应用程序标识为所述应用程序的标识。

可选的，所述方法还包括：

对所述规则集进行更新和维护。

可选的，所述方法还包括：

根据所述待识别应用程序对应的数据流确定出用户终端的信息，并将所述应用程序的标识与所述用户终端的信息做关联处理。

根据本公开实施例的第二方面，提供一种应用程序的识别装置，包括：

获取模块，被配置为获取与待识别应用程序对应的报文；

提取模块，被配置为从所述报文中提取关键字，所述关键字用于表示所述应用程序请求访问的服务器信息；

查询模块，被配置为在预先存储的规则集中查询是否存在与所述关键字匹配的信息；

确定模块，被配置为当所述关键字与预设规则集匹配时，根据匹配信息确定所述应用程序的标识，所述规则集包括应用程序的对应信息。

可选的，所述获取模块，被配置为从所述待识别应用程序对应的数据流中将与过滤条件相匹配的报文筛选出来，所述过滤条件包括：端口号信息和协议类型；对筛选出来的报文进行解析，提取出超文本传输协议http请求报文或域名系统dns回应报文。

可选的，所述关键字包括：从所述http请求报文中提取的目标地址信息和/或客户端信息；或者，从所述dns回应报文中提取的域名信息。

可选的，所述规则集包括多个应用程序的对应信息，其中，每个所述应用程序的对应信息包括应用程序的标识与以下至少一种信息的对应关系，所述信息包括：目标地址、客户端信息、域名信息。

可选的，所述确定模块，被配置为当预设规则集中包括所述关键字时，从所述规则集中确定与所述关键字对应的应用程序标识，所述对应的应用程序标识为所述应用程序的标识。

可选的，所述装置还包括：维护模块；

所述维护模块，被配置为对所述规则集进行更新和维护。

可选的，所述装置还包括：关联模块；

所述关联模块，被配置为根据所述待识别应用程序对应的数据流确定出用户终端的信息，并将所述应用程序的标识与所述用户终端的信息做关联处理。

根据本公开实施例的第三方面，提供一种交换装置，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为：获取与待识别应用程序对应的报文；从所述报文中提取关键字，所述关键字用于表示所述应用程序请求访问的服务器信息；当所述关键字与预设规则集匹配时，根据匹配信息确定所述应用程序的标识，所述规则集包括应用程序的对应信息。

根据本公开实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本公开第一方面所提供的方法的步骤。

本公开的实施例提供的技术方案可以包括以下有益效果：通过从待识别app的报文中提取关键字，将该关键字与规则集进行比对，从而获取到匹配成功的关键字所对应的app的标识和名称，实现高效率的app的识别，该识别过程精简且准确，可以直接部署在交换装置上，实时性的识别出用户正在使用的应用程序，便捷易用。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种应用程序的识别方法的流程图。

图2是根据一示例性实施例示出的规则集的示意图。

图3是根据一示例性实施例示出的app识别过程示意图。

图4是根据一示例性实施例示出的一种应用程序的识别装置框图。

图5是根据一示例性实施例示出的一种应用程序的识别装置框图。

图6是根据一示例性实施例示出的一种交换装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

目前app的识别所基于的dpi技术是一种基于应用层的流量检测和控制技术，当ip数据包、tcp或udp数据流通过基于dpi技术的带宽管理系统时，该系统通过深入读取载荷的内容来对osi七层协议中的应用层信息进行重组，从而得到整个app的内容，然后按照系统定义的管理策略对app进行识别归类操作。但是，上述方法在app的识别过程中需要特定的app识别处理装置来进行获取会话、解析、提取、识别等操作，过程繁琐，复杂度高，而且功能冗余，系统资源占用率高，不能实现实时性的app识别。为了克服相关技术的不足，本公开提出了一种应用程序的识别方法和装置。

图1是根据一示例性实施例示出的一种应用程序的识别方法的流程图，如图1所示，应用程序的识别方法用于应用程序的识别装置中，该应用程序的识别装置可以是应用于交换装置(即交换机、路由器等)中的一个组件。应用程序的识别方法包括以下步骤。

在步骤101中，获取与待识别应用程序对应的报文。

通常当用户打开终端上安装的某一个app时，该app开始连接其所对应的服务器，基本上该连接过程包括以下步骤，即app发送超文本传输协议(hypertexttransferprotocol，简称：http)请求，由交换装置通过域名系统(domainnamesystem，简称：dns)查询解析该http请求中的域名从而得到服务器的ip地址；app将http请求发送至服务器的ip地址。一方面目前app多运行于ip网络上，其行为必然符合ip网络的基本过程，另一方面目前大部分app的开发商发送http请求，因此可以抽象出两点app运行时的行为特征：基于ip网络的通信过程和基于http发送请求。本公开基于此首先从待识别app发出的数据流中将包含有目标地址、客户端信息、域名等信息的有用报文筛选出来。

在步骤102中，从报文中提取关键字，该关键字用于表示应用程序请求访问的服务器信息。

不同的app开发商有自己的域名、服务器地址、客户端标识等，不同app开发商开发的app在连接服务器时，其发出的请求中所包含的域名、目标地址、客户端信息也是各不相同的，因此可以通过这些信息将app与app开发商建立起一对一的关系，进而识别出该app。本公开可以在任意一个app运行期间从其报文中提取出与app开发商相关的关键字。

例如，下面以http请求报文为例，其中有下划线的为需要提取的关键字，其表示了服务器的域名、目标地址或客户端信息。

dns(name):weibo.cn

dns(ip):180.149.139.248

dns(name):weibo.cn

dns(ip):180.149.153.216

url:

api.weibo.cn/2/users/show？wm＝3333_2001&i＝bf63912&b＝1&from＝106a293010&c＝iphone&networktype＝wifi&v_p＝36&skin＝default&v_f＝1&lang＝zh_cn&sflag＝1&ua＝iphone9,2__weibo__.

useragent:weibo.cn/1652(iphone；ios10.0.2；scale/3.00)

上述app的http请求报文中，有下划线的部分分别是dns域名、url目标地址、useragent客户端，基于这三类信息可以获知该app的服务器的dns域名为weibo.cn，其访问的url目标地址包含weibo.cn的关键字，useragent客户端也包含weibo.cn的关键字，当提取到这些关键字后可以知道上述http请求报文是由与weibo.cn相关的app开发商所开发的app。

dns(name):pdata.video.qiyi.com

dns(cname):data.video.dns.iqiyi.com

dns(name):data.video.dns.iqiyi.com

dns(ip):123.125.117.19

url:puma.api.iqiyi.com/merlin/fetch？key＝puma-{platform-[android]},vrs-{ip-[default]}

useragent:qyplayer/android/3.5.1

url:

search.video.iqiyi.com/m？if＝hotquery&p＝10&language＝0&is_qipu_platform＝1&u＝867830024128904_ac34974fb3ba2cc4_fcz64zbaz96z87zf9&aqyid＝867830024128904_ac34974fb3ba2cc4_fcz64zbaz96z87zf9&pps＝0&pu＝&cupid_uid＝867830024128904&secure_p＝gphone&lang＝zh_cn&app_lm＝cn&req_times＝0&req_sn＝1477470089573useragent:qiyivideo/7.9.1(gphone；com.qiyi.video；android5.1.1；xiaomimi-4c；aqyid867830024128904_ac34974fb3ba2cc4_fcz64zbaz96z87zf9)corejar

类似的，上述app的http请求报文中，有下划线的部分分别是dns域名、url目标地址、useragent客户端，基于这三类信息可以获知该app的服务器的dns域名为pdata.video.qiyi.com，其访问的url目标地址包含iqiyi.com的关键字，useragent客户端也包含qyplayer的关键字，当提取到这些关键字后可以知道上述http请求报文是由与qiyi相关的app开发商所开发的app。

在步骤103中，当关键字与预设规则集匹配时，根据匹配信息确定应用程序的标识，该规则集包括应用程序的对应信息。

规则集包括app的对应信息，其中，app的对应信息包括app的标识与以下至少一种信息的对应关系，该信息包括：目标地址、客户端信息、域名信息。图2是根据一示例性实施例示出的规则集的示意图，如图2所示，规则集中包含了n个app的对应信息，每个app的对应信息中都包括了app标识与以下信息：目标地址、客户端信息、域名信息中至少一个信息的对应关系，这只是作为一个示例，也可以在app的对应信息中只包含域名信息，或者只包含目标地址或客户端信息等，对此不作具体限定。

以下是规则集中某个app的规则示例，规则集采用javascript对象标记语言(javascriptobjectnotation，简称：json)格式，当对使用中的app进行识别时，从该使用中的app的报文中提取关键字，将这些关键字与规则集中的信息进行比对，如果使用中的app的目标地址、客户端、域名与下述app的规则示例均一致，那么可以确定使用中的app即为标识为5，名称为miwifi的app。

将提取出的关键字与规则集中的各条规则分别进行比对，如果规则集中包含提取出的关键字，就可以认为存在与关键字匹配的信息，此时可以从与关键字匹配的信息所属的那条规则中获取到该app的标识，进而确定该app的名称。即规则集中规则1包含目标地址和客户端信息，规则2包含域名信息，当待识别app的关键字中包含域名时，将其与规则2进行比对，当待识别app的关键字中包含目标地址和/或客户端信息时，将其与规则1进行比对，直到出现关键字与规则中的信息一致的情况时，匹配成功。

本实施例，通过从待识别app的报文中提取关键字，将该关键字与规则集进行比对，从而获取到匹配成功的关键字所对应的app的标识和名称，实现高效率的app的识别，该识别过程精简且准确，可以直接部署在交换装置上，实时性的识别出用户正在使用的应用程序，便捷易用。

进一步的，可以从待识别应用程序对应的数据流中将与过滤条件相匹配的报文筛选出来，该过滤条件包括：端口号信息和协议类型；然后对筛选出来的报文进行解析，提取出http请求报文或dns回应报文。从http请求报文中提取目标地址信息和/或客户端信息；或者，从dns回应报文中提取域名信息。

本实施例中可以在接收到app的数据流后，对其进行过滤，根据端口号信息和协议类型只保留有用的报文，例如只保留udp53端口的服务器到客户端的回应数据和tcp80端口的客户端的请求报文。然后对筛选出来的报文进行解析，提取出http请求报文或dns回应报文，其余包丢弃。这样可以减少后续app识别过程的数据量，提高识别效率。

进一步的，随着app种类和功能的开发，可以对规则集进行更新和维护，增加规则集中的app的条目，以识别出更多的app，适应app的发展。

进一步的，识别出来的app可以根据其数据流中的用户终端的信息，将app的标识与用户终端的信息相关联，从而获知用户的终端类型、属性以及app的使用习惯。

图3是根据一示例性实施例示出的app识别过程示意图，如图3所示，网络数据经过过滤器，根据端口号信息和协议类型过滤掉绝大多数数据，再进行ip协议解析、tcp/udp协议解析、http协议解析、dns协议解析等，提取出http请求报文或dns回应报文，从http请求报文中提取目标地址和客户端信息，从dns回应报文中提取域名信息，在规则1查询是否与目标地址和客户端信息一致，或者在规则2查询是否与域名信息一致，匹配成功即获取其app的标识，将该app的标识与用户终端的信息(例如终端的媒体介入控制层(mediaaccesscontrol，简称：mac)地址，国际移动设备身份码(internationalmobileequipmentidentity，简称：imei)等)相关联，进而输出用户可以识别的信息，例如，手机一在使用微信；手机二在使用微博；手机三在使用地图。

图4是根据一示例性实施例示出的一种应用程序的识别装置框图。参照图4，该装置包括获取模块11、提取模块12、查询模块13和确定模块14。

该获取模块11，被配置为获取与待识别应用程序对应的报文；

该提取模块12，被配置为从所述报文中提取关键字，所述关键字用于表示所述应用程序请求访问的服务器信息；

该确定模块13，被配置为当所述关键字与预设规则集匹配时，根据匹配信息确定所述应用程序的标识，所述规则集包括应用程序的对应信息。

进一步的，所述获取模块11，被配置为从所述待识别应用程序对应的数据流中将与过滤条件相匹配的报文筛选出来，所述过滤条件包括：端口号信息和协议类型；对筛选出来的报文进行解析，提取出超文本传输协议http请求报文或域名系统dns回应报文。

进一步的，所述关键字包括：从所述http请求报文中提取的目标地址信息和/或客户端信息；或者，从所述dns回应报文中提取的域名信息。

进一步的，所述应用程序的对应信息包括应用程序的标识与以下至少一种信息的对应关系，所述信息包括：目标地址、客户端信息、域名信息。

进一步的，所述确定模块13，被配置为当预设规则集中包括所述关键字时，从所述规则集中确定与所述关键字对应的应用程序标识，所述对应的应用程序标识为所述应用程序的标识。

图5是根据一示例性实施例示出的一种应用程序的识别装置框图。参照图5，该装置在图4所示框图基础上，还包括：维护模块14和关联模块15。

该维护模块14，被配置为对所述规则集进行更新和维护。

该关联模块15，被配置为根据所述待识别应用程序对应的数据流确定出用户终端的信息，并将所述应用程序的标识与所述用户终端的信息做关联处理。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开还提供一种计算机可读存储介质，其上存储有计算机程序指令，该程序指令被处理器执行时实现本公开提供的应用程序的识别方法的步骤。

图6是根据一示例性实施例示出的一种交换装置的框图。例如，交换装置600可以是应用于交换装置(即交换机、路由器等)中的一个组件。

参照图6，交换装置600可以包括以下一个或多个组件：处理组件602，存储器604，电力组件606，多媒体组件608，输入/输出(i/o)的接口610，以及通信组件612。

处理组件602通常控制交换装置600的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件602可以包括一个或多个处理器620来执行指令，以完成上述应用程序的识别方法的全部或部分步骤。此外，处理组件602可以包括一个或多个模块，便于处理组件602和其他组件之间的交互。例如，处理组件602可以包括多媒体模块，以方便多媒体组件608和处理组件602之间的交互。

存储器604被配置为存储各种类型的数据以支持在交换装置600的操作。这些数据的示例包括用于在交换装置600上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器604可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电力组件606为交换装置600的各种组件提供电力。电力组件606可以包括电源管理系统，一个或多个电源，及其他与为交换装置600生成、管理和分配电力相关联的组件。

多媒体组件608包括在所述交换装置600和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件608包括一个前置摄像头和/或后置摄像头。当交换装置600处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

i/o接口610为处理组件602和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

通信组件612被配置为便于交换装置600和其他设备之间有线或无线方式的通信。交换装置600可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件612经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件612还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，交换装置600可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述应用程序的识别方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器604，上述指令可由交换装置600的处理器620执行以完成上述应用程序的识别方法。例如，所述非临时性计算机可读存储介质可以是rom、随机存取存储器(ram)、cd-rom、磁带、软盘和光数据存储设备等。

本领域技术人员在考虑说明书及实践本公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。