CN115037572B - 一种应用请求的识别方法和装置 - Google Patents

Abstract

本发明公开了一种应用请求的识别方法和装置，涉及计算机技术领域。该方法的具体实施方式包括：拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。该实施方式能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度。

Description

一种应用请求的识别方法和装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种应用请求的识别方法和装置。

背景技术

VPN的全称为Virtual Private Network，是指虚拟专用网络，属于公用网络上构建的用于加密通讯的专用网络，可以通过服务器、硬件、软件等多种方式实现远程访问。

现有的终端在访问远程资源时，通常需要通过系统vpn发起访问请求，然而，终端的应用多种多样，系统vpn虽然可以对访问远程资源的各个应用提供服务，但是无法区分出访问流量具体归属哪个应用。导致vpn服务的管理混乱，开发人员无法基于vpn服务反馈的应用模拟用户兴趣画像，进而提升应用服务，使得用户体验较差。

发明内容

有鉴于此，本发明实施例提供一种应用请求的识别方法和装置，能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度。

为实现上述目的，根据本发明实施例的一个方面，提供了一种应用请求的识别方法，包括：

拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；

根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；

获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；

确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

可选地，所述根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，包括：

确定与所述访问请求的传输协议对应的目标传输文件夹；其中，所述传输协议包括TCP传输协议和UDP传输协议，所述目标传输文件夹为TCP传输文件夹或者UDP传输文件夹；

查找所述目标传输文件夹，将与所述识别端口对应的应用标识作为所述访问请求的应用标识。

可选地，所述终端的系统属性还包括网络连接管理服务接口；在所述API等级不小于预设等级阈值情况下，还包括：

调用所述网络连接管理服务接口，将获取的应用标识作为所述访问请求的应用标识。

可选地，所述根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口，包括：

获取所述访问请求的请求数据包中的第一源地址和第一目的地址；

根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，将所述改写信息发送至所述通信server；

所述通信server对所述改写信息进行解析，确定所述识别端口。

可选地，所述根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，包括：

交换所述第一源地址的IP地址和所述第一目的地址的IP地址；

根据交换后的所述第一源地址的IP地址，确定第二源地址；

根据交换后的所述第一目的地址的IP地址和所述通信server的端口信息，确定第二目的地址；

将所述第二源地址和所述第二目的地址组成所述改写信息。

可选地，所述对所述改写信息进行解析，确定所述识别端口，包括：

解析所述改写信息，确定第二源地址的端口信息；

将所述第二源地址的端口信息作为所述识别端口。

可选地，还包括：

确定所述访问请求的目标目的地址；

根据所述访问请求的应用标识，对所述数据请求包进行修改，以生成目标数据请求包；

将目标请求包发送给与所述目标目的地址对应的代理服务器。

可选地，所述确定所述访问请求的目标目的地址，包括：

根据所述第二源地址的端口信息，确定目标目的地址的端口信息；

交换所述第二源地址的IP地址和所述第二目的地址的IP地址，根据交换后的所述第二目的地址的IP地址，确定目标目的地址的IP地址；

将所述目标目的地址的IP地址和所述目标目的地址的端口信息组合为目标目的地址。

根据本发明实施例的再一个方面，提供了一种应用请求的识别装置，包括：

拦截模块，用于拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；

数据处理模块，用于根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；

获取模块，用于获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；

识别模块，用于确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

根据本发明实施例的另一个方面，提供了一种应用请求的识别的电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明提供的应用请求的识别方法。

根据本发明实施例的还一个方面，提供了一种计算机可读介质，其上存储有计算机程序，所述程序被处理器执行时实现本发明提供的应用请求的识别方法。

上述发明中的一个实施例具有如下优点或有益效果：因为采用自建vpnSDK以拦截终端的各种vpn应用的访问请求，确定访问请求的传输协议和识别端口；根据终端系统框架的API等级，从与传输协议对应的传输文件夹定位访问请求的应用标识，或者调用网络连接管理服务接口获取访问请求的应用标识，以识别所述访问请求对应的应用的技术手段，所以克服了现有的终端在访问远程资源时，无法区分出访问流量具体归属哪个应用，导致vpn服务的管理混乱，开发人员无法基于vpn服务反馈的应用模拟用户兴趣画像，进而提升应用服务，使得用户体验较差的技术问题，进而达到能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度的技术效果。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的应用请求的识别方法的主要流程的示意图；

图2是根据本发明实施例的识别端口的确定方法的主要流程的示意图；

图3是根据本发明实施例的改写信息的生成方法的主要流程的示意图；

图4是根据本发明实施例的应用标识的确定方法的主要流程的示意图；

图5是根据本发明实施例的目标目的地址的确定方法的主要流程的示意图；

图6是根据本发明实施例的代理服务器的访问方法的主要流程的示意图；

图7是根据本发明实施例的应用请求的识别装置的主要模块的示意图；

图8是根据本发明实施例的应用请求的识别系统的示意图；

图9示出了适于应用于本发明实施例的应用请求的识别方法或应用请求的识别装置的示例性系统架构图；

图10是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明实施例的应用请求的识别方法的主要流程的示意图，如图1所示，本发明的应用请求的识别方法包括如下步骤：

目前用户在访问远程资源时，通常需要先添加系统vpn服务，再通过浏览器等各种应用进行访问。然而，虽然系统vpn服务可以拦截使用vpn服务的各种流量信息，却只能根据流量信息确定访问流量的来源和目的地址，无法区分对应的访问流量属于哪个应用，也即，无法过滤出单个应用的流量。

通过本发明的应用请求的识别方法，可以对使用VPN服务的流量信息进行标定，确定流量信息的应用标识，区分各种应用的流量信息，从而根据区分后的流量信息模拟用户画像，定位用户兴趣所在以提升用户服务。

步骤S101，拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用。

在本发明实施例中，利用终端的sdk自定义一个全局Vpn服务vpnSdk，通过预设于终端的vpnSDK执行本发明的应用请求的识别方法。vpnSdk会创建一个虚拟网卡用于拦截、转发全局流量或者部分应用流量等，比如，虚拟网卡tun0。虚拟网卡又称虚拟网络适配器，通过软件模拟网络环境，用于建立远程计算机间的局域网。

在本发明实施例中，开启vpnSDK，监听终端的各个待识别应用的访问请求。

进一步地，设置虚拟网卡的IP地址，比如，虚拟网卡的IP地址为10.0.0.5。终端的各个待识别应用通过虚拟网卡的各个端口发出访问请求，比如，待识别应用通过虚拟网卡的44804端口发出访问请求，对应的访问请求的源地址为10.0.0.5:44804。vpnSDK通过虚拟网卡的通信端口提供通信server，比如，通信端口为3398，开启vpnSDK后，在虚拟网卡的3398端口启动通信server，通信server对应的IP地址即为10.0.0.5:3398。其中，通信server为TCP/UDP Server，对应的数据协议为TCP/UDP协议。

更进一步地，本发明的应用请求的识别方法应用于安卓系统的终端时，利用Android的Sdk自定义一个Vpn服务，Sdk会创建一个虚拟网卡用于拦截、转发流量。

步骤S102，根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口。

在本发明实施例中，请求数据包指示了访问请求的传输协议、IP协议版本，传输协议可以是TCP传输协议、UDP传输协议，IP协议版本可以是IPv4(Internet Protocolversion 4，即网际协议版本4，又称互联网通信协议第四版)、IPv4(Internet ProtocolVersion 6，即互联网协议第6版)。开启vpnSDK后，vpnSDK的虚拟网卡对请求数据包的第一源地址和第一目的地址进行改写，生成包括第二源地址和第二目的地址的改写信息并发送给vpnSDK的通信server，存储端口对应关系记录。vpnSDK的通信server对改写信息进行解析，根据第二源地址的端口信息确定识别端口。

在本发明实施例中，如图2所示，本发明的识别端口的确定方法包括如下步骤：

步骤S201，获取所述访问请求的请求数据包中的第一源地址和第一目的地址。

在本发明实施例中，根据监听到的访问请求，vpnSDK的虚拟网卡拦截访问请求的请求数据包，对请求数据包进行解析，确定访问请求指示的第一源地址和第一目的地址。比如，第一源地址src为10.0.0.5:44804，第一目的地址为des为172.30.3.38:80。

步骤S202，根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，将所述改写信息发送至所述通信server。

在本发明实施例中，通信server的端口信息对应启动时的虚拟网卡的IP地址的通信端口，比如，通信server为TCP/UDP Server，TCP/UDP Server的端口信息对应启动时的虚拟网卡的IP地址的通信端口3398，也即，TCP/UDP Server的端口信息为3398。

在本发明实施例中，vpnSDK的虚拟网卡交换第一源地址的IP地址和第一目的地址的IP地址，并根据交换后的IP地址和通信server的端口信息，生成包括第二源地址和第二目的地址的改写信息并发送至通信server。

在本发明实施例中，如图3所示，本发明的改写信息的生成方法包括如下步骤：

在本发明实施例中，本发明的改写信息的生成方法由vpnSDK的虚拟网卡执行。

步骤S301，交换所述第一源地址的IP地址和所述第一目的地址的IP地址。

在本发明实施例中，比如，vpnSDK的虚拟网卡交换第一源地址10.0.0.5:44804的IP地址和第一目的地址172.30.3.38:80的IP地址，交换后的第一源地址的IP地址为172.30.3.38、第一目的地址的IP地址为10.0.0.5。

步骤S302，根据交换后的所述第一源地址的IP地址，确定第二源地址。

在本发明实施例中，vpnSDK的虚拟网卡根据交换后的第一源地址的IP地址和交换前的第一源地址的端口信息，生成并确定第二源地址。比如，根据交换后的第一源地址的IP地址172.30.3.38和交换前的第一源地址的端口信息44804，生成并确定第二源地址为172.30.3.38:44804。

步骤S303，根据交换后的所述第一目的地址的IP地址和所述通信server的端口信息，确定第二目的地址。

在本发明实施例中，vpnSDK的虚拟网卡根据交换后的第一目的地址的IP地址和通信server的端口信息，生成并确定第二目的地址。比如，根据交换后的第一目的地址的IP地址10.0.0.5和通信server的端口信息3398，生成并确定第二目的地址为10.0.0.5:3398。

步骤S304，将所述第二源地址和所述第二目的地址组成所述改写信息。

在本发明实施例中，vpnSDK的虚拟网卡根据将第二源地址和第二目的地址组成进行组合，生成改写信息。比如，改写信息包括第二源地址和第二目的地址，其中，第二源地址为172.30.3.38:44804，第二目的地址为10.0.0.5:3398。

步骤S305，记录第一源地址的端口信息和第一目的地址的端口信息的对应关系。

在本发明实施例中，vpnSDK的虚拟网卡将与第一源地址的端口信息对应的第一目的地址的端口信息存储至虚拟网卡，生成端口对应关系记录。比如，将与第一源地址的端口信息44804对应的第一目的地址的端口信息80存储至虚拟网卡，生成端口对应关系记录44804—>80。

在本发明实施例中，通过本发明的改写信息的生成方法，能够利用vpnSDK的虚拟网卡对请求数据包的第一源地址和第一目的地址进行改写，从而提高请求数据包的安全性，提升待识别应用访问的保密性，保证用户访问的数据安全。

步骤S203，所述通信server对所述改写信息进行解析，确定所述识别端口。

在本发明实施例中，vpnSDK的通信server对改写信息进行解析，得到其中的第二源地址和第二目的地址。比如，vpnSDK的通信server解析改写信息得到的第二源地址为172.30.3.38:44804，第二目的地址为10.0.0.5:3398。

进一步地，vpnSDK的通信server根据第二源地址确定第二源地址的端口信息。比如，vpnSDK的TCP/UDP Server根据第二源地址172.30.3.38:44804确定第二源地址的端口信息为44804。

更进一步地，vpnSDK将第二源地址的端口信息作为识别端口。比如，vpnSDK的通信server将第二源地址的端口信息44804作为识别端口。

在本发明实施例中，通过本发明的识别端口的确定方法，能够对访问请求的请求数据包中的第一源地址和第一目的地址进行改写，生成改写信息，利用通信server对改写信息进行解析，将改写信息包括的第二源地址的端口信息作为识别端口，以便于后续访问请求的应用标识的确定，提高访问请求的保密性，保证用户访问的数据安全。

步骤S103，获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级。

在本发明实施例中，vpnSDK的通信server获取所述终端的系统属性，终端的系统属性包括终端系统框架的API等级、网络连接管理服务接口等。

进一步地，终端的系统为安卓系统，终端系统框架的API等级为安卓系统的API等级，与安卓系统的系统版本相对应。比如，安卓系统的Android8.0版本的API等级为26级。安卓系统的网络连接管理服务接口为系统的CONNECTIVITY_SERVICE。

步骤S104，确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

在本发明实施例中，vpnSDK的通信server确定终端系统框架的API等级是否小于预设等级阈值。预设等级阈值根据终端的系统版本确定。比如，终端的系统为安卓系统，安卓系统框架的系统版本为Android9，对应的预设等级阈值为28级。

或者，根据终端系统框架的系统文件，确定预设等级阈值。比如，终端的系统为安卓系统，安卓系统框架的系统版本Android9以前的系统文件包括/proc/net/tcp文件夹和/proc/net/udp文件夹，故而设置预设等级阈值为28级。

在本发明实施例中，传输文件夹包括TCP传输文件夹和UDP传输文件夹，TCP传输文件夹即路径/proc/net/tcp对应的文件夹、UDP传输文件夹即路径/proc/net/udp对应的文件夹。vpnSDK的通信server根据访问请求的传输协议和识别端口，定位访问请求的应用标识。

在本发明实施例中，如图4所示，本发明的应用标识的确定方法包括如下步骤：

在本发明实施例中，本发明的应用标识的确定方法由vpnSDK的通信server执行。

步骤S401，获取所述终端系统框架的API等级。

步骤S402，确定所述终端系统框架的API等级是否小于预设等级阈值，如果是，转至步骤S403；如果否，转至步骤S406。

步骤S403，确定与所述访问请求的传输协议对应的目标传输文件夹。

在本发明实施例中，vpnSDK的通信server在终端系统框架的API等级小于预设等级阈值的情况下，根据访问请求的传输协议，确定目标传输文件夹。比如，在访问请求的传输协议为TCP传输协议的情况下，vpnSDK的TCP/UDP Server确定目标传输文件夹为系统文件的/proc/net/tcp；在访问请求的传输协议为UDP传输协议的情况下，vpnSDK的TCP/UDPServer确定目标传输文件夹为系统文件的/proc/net/udp。

步骤S404，根据所述识别端口，查找所述目标传输文件夹。

在本发明实施例中，vpnSDK的通信server查找目标传输文件夹。比如，vpnSDK的TCP/UDP Server查找/proc/net/tcp；或者，vpnSDK的通信server查找/proc/net/udp。

进一步地，vpnSDK的通信server根据访问请求的IP协议版本、识别端口、目标目的地址的端口信息和目标目的地址，查找目标传输文件夹。

在本发明实施例中，如图5所示，本发明的目标目的地址的确定方法包括如下步骤：

在本发明实施例中，本发明的目标目的地址的确定方法由vpnSDK的通信server执行。

步骤S501，根据第二源地址的端口信息，查询端口对应关系记录，确定目标目的地址的端口信息。

在本发明实施例中，vpnSDK的通信server根据第二源地址的端口信息，查询端口对应关系记录，确定端口对应关系记录中与第二源地址的端口信息对应的端口信息为目标目的地址的端口信息。比如，vpnSDK的TCP/UDP Server根据第二源地址的端口信息44804，查询端口对应关系记录，确定端口对应关系记录中与第二源地址的端口信息44804对应的端口信息80为目标目的地址的端口信息。

步骤S502，交换所述第二源地址的IP地址和所述第二目的地址的IP地址。

在本发明实施例中，vpnSDK的通信server交换第二源地址的IP地址和第二目的地址的IP地址。比如，vpnSDK的TCP/UDP Server交换第二源地址172.30.3.38:44804的IP地址和第二目的地址10.0.0.5:3398的IP地址，交换后的第二源地址的IP地址为10.0.0.5、第二目的地址的IP地址为172.30.3.38。

步骤S503，根据交换后的所述第二目的地址的IP地址，确定目标目的地址的IP地址。

在本发明实施例中，vpnSDK的通信server根据交换后的第二目的地址的IP地址，确定目标目的地址的IP地址。比如，vpnSDK的TCP/UDP Server根据交换后的第二目的地址的IP地址172.30.3.38，确定目标目的地址的IP地址为172.30.3.38。

步骤S504，将所述目标目的地址的IP地址和所述目标目的地址的端口信息组合为目标目的地址。

在本发明实施例中，vpnSDK的通信server将目标目的地址的IP地址和端口信息进行组合，生成目标目的地址。比如，vpnSDK的TCP/UDP Server将目标目的地址的IP地址172.30.3.38和端口信息80进行组合，生成的目标目的地址为172.30.3.38:80。

在本发明实施例中，通过本发明的目标目的地址的确定方法，能够对改写信息进行解析，根据查询端口对应关系记录确定访问请求的目标目的地址的端口信息；交换第二源地址的IP地址和第二目的地址的IP地址，根据交换后的第二目的地址的IP地址确定访问请求的目标目的地址的IP地址；将目标目的地址的IP地址和端口信息组合为目标目的地址，以便后续将访问请求发送至对应的目的代理服务器以进行访问，提高了访问请求的安全性和保密性，保证用户数据安全。

步骤S405，确定与所述识别端口对应的应用标识。

在本发明实施例中，vpnSDK的通信server确定与识别端口对应的应用标识；其中，应用标识可以用uid表示，一个uid对应一个应用或者一个应用组，该应用组下包括的多个应用对应同一uid。比如，vpnSDK的TCP/UDP Server确定/proc/net/tcp中与识别端口44804对应的应用标识；或者，vpnSDK的TCP/UDP Server确定/proc/net/udp中与识别端口44804对应的应用标识。

进一步地，vpnSDK的通信server根据访问请求的IP协议版本、本地端口、识别端口和目标目的地址，查找目标传输文件夹中与访问请求的IP协议版本、本地端口、识别端口和目标目的地址匹配的应用标识；其中，vpnSDK的通信server在查找目标传输文件夹的过程中，必须保证访问请求的IP协议版本、本地端口、识别端口和目标目的地址匹配的应用标识四者同时匹配。比如，vpnSDK的TCP/UDP Server根据访问请求的IP协议版本IPV4、识别端口44804、目标目的地址的端口信息3398、目标目的地址10.0.0.5，查找/proc/net/tcp中与IP协议版本IPV4、识别端口44804、目标目的地址的端口信息3398、目标目的地址10.0.0.5匹配的应用标识；或者，vpnSDK的TCP/UDP Server根据访问请求的IP协议版本IPV4、识别端口44804、目标目的地址的端口信息3398、目标目的地址10.0.0.5，查找/proc/net/udp中与IP协议版本IPV4、识别端口44804、目标目的地址的端口信息3398、目标目的地址10.0.0.5匹配的应用标识。

步骤S406，将与所述识别端口对应的应用标识作为所述访问请求的应用标识。

在本发明实施例中，比如，vpnSDK的TCP/UDP Server将与识别端口44804对应的应用标识作为访问请求的应用标识。

步骤S407，调用所述网络连接管理服务接口，将获取的应用标识作为所述访问请求的应用标识。

在本发明实施例中，在终端系统框架的API等级不小于预设等级阈值情况下，vpnSDK的通信server调用系统的网络连接管理服务接口，将获取的应用标识作为访问请求的应用标识。比如，vpnSDK的TCP/UDP Server调用系统的CONNECTIVITY_SERVICE，将获取的应用标识作为访问请求的应用标识。

在本发明实施例中，通过本发明的应用标识的确定方法，能够根据终端系统框架的API等级，从不同的路径获取待识别应用的应用标识，可以区分访问请求的应用标识，对各个vpn应用的流量进行区分，以便于后续对访问请求进行标记，有利于开发人员形成用户画像以提升用户服务。

进一步地，vpnSDK的通信server根据第二源地址的端口信息和已存储的端口对应关系记录，确定目标目的地址，得到访问请求真正访问的目的地址，以将访问请求发送给对应的代理服务器，实现各个vpn应用的数据访问。

在本发明实施例中，如图6所示，本发明的代理服务器的访问方法包括如下步骤：

步骤S601，确定所述访问请求的目标目的地址。

步骤S602，根据所述访问请求的应用标识，对所述数据请求包进行修改，以生成目标数据请求包。

在本发明实施例中，将访问请求的应用标识添加至访问请求的数据请求包，以生成目标数据请求包。

步骤S603，将目标请求包发送给与所述目标目的地址对应的代理服务器。

在本发明实施例中，比如，vpnSDK的TCP/UDP Server将目标请求包发送给与目标目的地址172.30.3.38:80对应的代理服务器172.30.3.11:10000，从而获取对应的应用服务。

进一步地，终端的系统为安卓系统，vpnSDK的TCP/UDP Server通过Android vpn的保护socket发送到本地的代理服务器。

在本发明实施例中，通过本发明的代理服务器的访问方法，能够在对数据请求包进行数据处理的同时标记各种流量的应用标识，区分vpn应用的流量，实现对待识别应用的访问数据的保护、防止用户数据泄露、对流量进行区分，提高用户数据的保密性，保证用户数据安全并且标定流量归属，有利于开发人员的用户服务提升。

在本发明实施例中，通过拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用等步骤，能够能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度。

图7是根据本发明实施例的应用请求的识别装置的主要模块的示意图，如图7所示，本发明的应用请求的识别装置700包括：

拦截模块701，用于拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用。

在本发明实施例中，vpnSDK的虚拟网卡的所述拦截模块701拦截一个或者多个待识别应用的访问请求。

数据处理模块702，用于根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口。

在本发明实施例中，请求数据包指示了访问请求的传输协议，传输协议包括TCP传输协议和UDP传输协议。开启vpnSDK后，vpnSDK的虚拟网卡的所述数据处理模块702对请求数据包的第一源地址和第一目的地址进行改写，生成包括第二源地址和第二目的地址的改写信息并发送给vpnSDK的通信server，存储端口对应关系记录。vpnSDK的通信server对改写信息进行解析，根据第二源地址的端口信息确定识别端口。

获取模块703，用于获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级。

在本发明实施例中，vpnSDK的通信server的所述获取模块703获取所述终端的系统属性，终端的系统属性包括终端系统框架的API等级、网络连接管理服务接口等。

识别模块704，用于确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

在本发明实施例中，vpnSDK的通信server的所述识别模块704确定终端系统框架的API等级是否小于预设等级阈值。预设等级阈值根据终端的系统版本确定。传输文件夹包括TCP传输文件夹和UDP传输文件夹，vpnSDK的通信server的所述识别模块704根据访问请求的传输协议和识别端口，定位访问请求的应用标识。

在本发明实施例中，通过拦截模块、数据处理模块、获取模块和识别模块等模块，能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度。

在本发明实施例中，如图8所示，本发明的应用请求的识别系统包括：

用户开启vpnSDK，设置虚拟网卡tun0的IP地址10.0.0.5，用于拦截、转发全局流量，vpnSDK运行虚拟网卡并启动TCP/UDP Server；

多个vpn应用通过对应的端口发送访问请求，vpnSDK的虚拟网卡拦截一个或者多个待识别应用的访问请求；比如，vpn应用通过vpnSDK的虚拟网卡的44804端口发送访问请求；

vpnSDK的虚拟网卡获取访问请求的请求数据包中的第一源地址10.0.0.5:44804和第一目的地址172.30.3.38:80；

vpnSDK的虚拟网卡交换第一源地址10.0.0.5:44804的IP地址和第一目的地址172.30.3.38:80的IP地址；根据交换后的第一源地址的IP地址，确定第二源地址172.30.3.38:44804；根据交换后的第一目的地址的IP地址和TCP/UDP Server的端口信息3398，确定第二目的地址10.0.0.5:3398；将第二源地址和第二目的地址组成改写信息，发送至TCP/UDP Server；

vpnSDK的虚拟网卡存储第一源地址的端口信息和第一目的地址的端口信息的端口对应关系记录44804—>80；

vpnSDK的虚拟网卡确定访问请求的传输协议；

vpnSDK的TCP/UDP Server对改写信息进行解析，确定第二源地址的端口信息44804，将第二源地址的端口信息44804作为识别端口；

vpnSDK的TCP/UDP Server获取终端系统框架的API等级；

vpnSDK的TCP/UDP Server确定终端系统框架的API等级是否小于预设等级阈值；如果是，vpnSDK的TCP/UDP Server确定与访问请求的传输协议对应的目标传输文件夹；根据识别端口，查找目标传输文件夹，将与识别端口对应的应用标识作为访问请求的应用标识；如果否，vpnSDK的TCP/UDP Server调用系统的CONNECTIVITY_SERVICE，将获取的应用标识作为访问请求的应用标识；

vpnSDK的TCP/UDP Server根据第二源地址的端口信息44804，查询端口对应关系记录44804—>80，确定目标目的地址的端口信息80；

vpnSDK的TCP/UDP Server交换第二源地址的IP地址和第二目的地址的IP地址，根据交换后的第二目的地址的IP地址172.30.3.38，确定目标目的地址的IP地址；

将目标目的地址的IP地址和目标目的地址的端口信息组合为目标目的地址172.30.3.38:80；

vpnSDK的TCP/UDP Server将访问请求的应用标识uid添加至访问请求的数据请求包，以生成目标数据请求包；

将目标请求包通过Android vpn的保护socket发送给与目标目的地址对应的代理服务器，获取目标应用服务；

接收代理服务器的返回数据并发送给vpn应用以响应其访问请求。

图9示出了适于应用于本发明实施例的应用请求的识别方法或应用请求的识别装置的示例性系统架构图，如图9所示，本发明实施例的应用请求的识别方法或应用请求的识别装置的示例性系统架构包括：

如图9所示，系统架构900可以包括终端设备901、902、903，网络904和服务器905。网络904用以在终端设备901、902、903和服务器105之间提供通信链路的介质。网络904可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备901、902、903通过网络904与服务器905交互，以接收或发送消息等。终端设备901、902、903上可以安装有各种通讯客户端应用，例如vpn应用、购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备901、902、903可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器905可以是提供各种服务的服务器，例如对用户利用终端设备901、902、903所浏览的vpn类网站提供支持的后台管理服务器。后台管理服务器可以对接收到的访问请求等数据进行分析等处理，并将处理结果(例如访问请求的应用标识)反馈给终端设备901、902、903。

需要说明的是，本发明实施例所提供的应用请求的识别方法一般由服务器905执行，相应地，应用请求的识别装置一般设置于服务器905中。

应该理解，图9中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

图10是适于用来实现本发明实施例的终端设备或服务器的计算机系统的结构示意图，如图10所示，本发明实施例的终端设备或服务器的计算机系统1000包括：

中央处理单元(CPU)1001，其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM1003中，还存储有系统1000操作所需的各种程序和数据。CPU1001、ROM1002以及RAM1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。

以下部件连接至I/O接口1005：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

特别地，根据本发明公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被中央处理单元(CPU)1001执行时，执行本发明的系统中限定的上述功能。

需要说明的是，本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括拦截模块、数据处理模块、获取模块和识别模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，识别模块还可以被描述为“确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用”。

作为另一方面，本发明还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备包括：拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

根据本发明实施例的技术方案，能够准确区分vpn服务的应用流量，对各个应用的流量进行标识，进而便于开发人员模拟用户兴趣画像，以提升用户兴趣所在的应用服务，提高用户满意度。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (10)

1.一种应用请求的识别方法，其特征在于，所述方法通过预设于终端的vpnSDK执行，包括：

拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；

根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；具体包括：获取所述访问请求的请求数据包中的第一源地址和第一目的地址；根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，将所述改写信息发送至所述通信server；以使所述通信server对所述改写信息进行解析，确定所述识别端口；

获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；

确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

2.根据权利要求1所述的方法，其特征在于，所述根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，包括：

确定与所述访问请求的传输协议对应的目标传输文件夹；其中，所述传输协议包括TCP传输协议和UDP传输协议，所述目标传输文件夹为TCP传输文件夹或者UDP传输文件夹；

查找所述目标传输文件夹，将与所述识别端口对应的应用标识作为所述访问请求的应用标识。

3.根据权利要求2所述的方法，其特征在于，所述终端的系统属性还包括网络连接管理服务接口；在所述API等级不小于预设等级阈值情况下，还包括：

调用所述网络连接管理服务接口，将获取的应用标识作为所述访问请求的应用标识。

4.根据权利要求1所述的方法，其特征在于，所述根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，包括：

交换所述第一源地址的IP地址和所述第一目的地址的IP地址；

根据交换后的所述第一源地址的IP地址，确定第二源地址；

根据交换后的所述第一目的地址的IP地址和所述通信server的端口信息，确定第二目的地址；

将所述第二源地址和所述第二目的地址组成所述改写信息。

5.根据权利要求1所述的方法，其特征在于，所述对所述改写信息进行解析，确定所述识别端口，包括：

解析所述改写信息，确定第二源地址的端口信息；

将所述第二源地址的端口信息作为所述识别端口。

6.根据权利要求5所述的方法，其特征在于，还包括：

确定所述访问请求的目标目的地址；

根据所述访问请求的应用标识，对所述请求数据包进行修改，以生成目标数据请求包；

将所述目标数据请求包发送给与所述目标目的地址对应的代理服务器。

7.根据权利要求6所述的方法，其特征在于，所述确定所述访问请求的目标目的地址，包括：

根据所述第二源地址的端口信息，确定目标目的地址的端口信息；

交换所述第二源地址的IP地址和第二目的地址的IP地址，根据交换后的所述第二目的地址的IP地址，确定目标目的地址的IP地址；

将所述目标目的地址的IP地址和所述目标目的地址的端口信息组合为目标目的地址。

8.一种应用请求的识别装置，其特征在于，预设于终端中，包括：

拦截模块，用于拦截一个或者多个待识别应用的访问请求；其中，所述待识别应用为vpn应用；

数据处理模块，用于根据所述访问请求的请求数据包，确定所述访问请求的传输协议和识别端口；具体用于：获取所述访问请求的请求数据包中的第一源地址和第一目的地址；根据所述第一源地址的IP地址、所述第一目的地址的IP地址和通信server的端口信息，改写所述第一源地址和所述第一目的地址，生成改写信息，将所述改写信息发送至所述通信server；以使所述通信server对所述改写信息进行解析，确定所述识别端口；

获取模块，用于获取所述终端的系统属性；其中，所述系统属性指示了终端系统框架的API等级；

识别模块，用于确定所述API等级是否小于预设等级阈值；如果是，根据所述识别端口，从与所述传输协议对应的传输文件夹定位所述访问请求的应用标识，以识别所述访问请求对应的应用。

9.一种应用请求的识别的电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。

10.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。