CN117113342A - 应用识别方法、装置、计算机设备和存储介质 - Google Patents

应用识别方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN117113342A
CN117113342A CN202310827664.4A CN202310827664A CN117113342A CN 117113342 A CN117113342 A CN 117113342A CN 202310827664 A CN202310827664 A CN 202310827664A CN 117113342 A CN117113342 A CN 117113342A
Authority
CN
China
Prior art keywords
application
identified
access
detected
page
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310827664.4A
Other languages
English (en)
Inventor
范美月
冯晓静
苑倩倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202310827664.4A priority Critical patent/CN117113342A/zh
Publication of CN117113342A publication Critical patent/CN117113342A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/40Extraction of image or video features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V10/00Arrangements for image or video recognition or understanding
    • G06V10/70Arrangements for image or video recognition or understanding using pattern recognition or machine learning
    • G06V10/74Image or video pattern matching; Proximity measures in feature spaces
    • G06V10/761Proximity, similarity or dissimilarity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Multimedia (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种应用识别方法、装置、计算机设备、存储介质和计算机程序产品,涉及大数据技术领域。所述方法包括:若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。采用本方法能够提升异常应用识别准确度。

Description

应用识别方法、装置、计算机设备和存储介质
技术领域
本申请涉及大数据技术领域,特别是涉及一种应用识别方法、装置、计算机设备、存储介质和计算机程序产品。
背景技术
随着大数据技术的发展,出现了异常应用识别技术,利用异常应用识别技术可以识别应用是否为异常应用。
传统技术中,通常是通过DPI技术获取应用类型字段,通过应用类型字段来识别应用是否为异常应用。
然而,由于异常应用通常不会严格遵循国家APP备案开发规范,因此通过DPI技术并不一定能准确获取异常应用的应用类型字段,因此基于应用类型字段识别异常应用的准确度不高,且异常应用通常会仿冒成市面上正常的应用,这无疑更进一步降低了基于应用类型字段识别异常应用的准确度。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升异常应用识别准确度的应用识别方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种应用识别方法。所述方法包括:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;
若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;
通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
在其中一个实施例中,所述对所述初始访问链接进行扩展,得到多个待检测访问链接,包括:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
在其中一个实施例中,所述从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接,包括:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
在其中一个实施例中,所述通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用,包括:
访问所述多个待检测访问链接,得到多个访问结果页面;通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
在其中一个实施例中,所述通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量,包括:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;对所述第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
在其中一个实施例中,在所述确定所述待识别应用为异常应用之后,所述方法还包括:
从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
第二方面,本申请还提供了一种应用识别装置。所述装置包括:
链接扩展模块,用于若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;
链接提取模块,用于若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;
异常应用检测模块,用于通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
上述应用识别方法、装置、计算机设备、存储介质和计算机程序产品,若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接,这样无论待识别应用是否加密,均可以准确获取到与待识别应用相关联的多个待检测访问链接,进而通过访问所述多个待检测访问链接,即可检测所述待识别应用是否为异常应用,在整个应用识别过程中,并不依赖于DPI技术,无需通过获取应用类型字段来识别异常应用,因此可以提升异常应用的识别准确度。
附图说明
图1为一个实施例中应用识别方法的流程示意图;
图2为一个实施例中对初始访问链接进行扩展的流程示意图;
图3为一个实施例中检测待识别应用是否为异常应用的流程示意图;
图4为一个实施例中检测各访问结果页面中属于待识别应用的应用页面的页面数量的流程示意图;
图5为一个实施例中应用识别装置的结构框图;
图6为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种应用识别方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现,包括以下步骤:
步骤202,若待识别应用为未加密应用,则从待识别应用对应的地址请求数据流中提取初始访问链接,对初始访问链接进行扩展,得到多个待检测访问链接。
其中,地址请求数据流可以为请求url地址的数据流,该请求url地址的数据流中可以包括get请求的请求体数据和响应体数据,从请求体数据或者响应体数据中可以提取得到待识别应用的访问链接,该访问链接可以用于访问待识别应用所在的应用页面。
作为一种示例,步骤202包括:若待识别应用为未加密应用,则获取待识别应用对应的请求url地址的数据流;从该数据流中提取用于登陆待识别应用的访问链接,得到初始访问链接;通过调整初始访问链接中的链接关键参数,将初始访问链接扩展为多个待检测访问链接。这样,在待识别应用为未加密应用时,可以直接从待识别应用的请求url地址的数据流提取访问链接,访问链接的到获取过程简单,获取效率高。
作为一种示例,链接关键参数为决定初始访问链接对应哪个页面的参数,若初始访问链接中链接关键参数发生改变,则通常初始访问链接对应的页面也会发生改变。
步骤204,若待识别应用为加密应用,则从待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接。
其中,在待识别应用为加密应用时,此时若基于get请求方式直接访问该待识别应用,则通常会返回访问失败的页面,因此需要采用PSOT请求的方式访问待识别应用。
作为一种示例,步骤204包括:若待识别应用为加密应用,则获取待识别应用基于post请求反馈的响应体数据;对post请求的响应体数据中的字符串中提取多个待检测访问链接。本实施例中针对于待识别应用是否加密,灵活选取不同的方式来获取多个待检测访问链接,可以在待识别应用未加密时保证多个待检测访问链接的获取效率,在在待识别应用加密时可以保证准确获取多个待检测访问链接。
在一个实施例中,post请求的响应体数据通常为编码之后的编码字符串,因此需要对编码字符串进行解码之后,才能从响应体数据中获取正常的访问链接。
从待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接,包括:
向待识别应用发送post请求,接收待识别应用基于post请求反馈的响应体数据;对post请求的响应体数据中的字符串进行解码,得到解码字符串,从解码字符串中提取多个待检测访问链接。
作为一种示例,编码的方式可以为URL编码,例如post请求的响应体数据中原始字符串是"Hello World!",经过URL编码后变成"Hello%20World%21",其中空格字符被编码为"%20",感叹号字符被编码为"%21",相应地,对于编码字符串"Hello%20World%21",进行URL解码后会还原回原始字符串"Hello World!"。
作为一种示例,为了增加待检测访问链接的数量,在解码字符串中提取多个待检测访问链接之后,可以继续多个待检测访问链接进行扩展,得到更多的带检测访问链接。
步骤206,通过访问多个待检测访问链接,检测待识别应用是否为异常应用。
其中,异常应用可以为违规应用。
作为一种示例,步骤206包括:通过访问多个待检测访问链接对应的页面,检测多个待检测访问链接对应的页面是否为待识别应用的应用页面,得到页面检测结果;根据页面检测结果,确定待识别应用是否非法使用动态域名;若待识别应用非法使用动态域名,则确定待识别应用为异常应用;若待识别应用未非法使用动态域名,则确定待识别应用不为异常应用。
作为一种示例,根据页面检测结果,确定待识别应用是否非法使用动态域名,包括:
根据页面检测结果,统计各待检测访问链接中为未待识别应用的应用页面访问链接的链接数量;若链接数量大于预设数量阈值,则认为待识别应用非法使用动态域名;若链接数量不大于预设数量阈值,则认为待识别应用未非法使用动态域名。
上述应用识别方法中,若待识别应用为未加密应用,则从待识别应用对应的地址请求数据流中提取初始访问链接,对初始访问链接进行扩展,得到多个待检测访问链接;若待识别应用为加密应用,则从待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接,这样无论待识别应用是否加密,均可以准确获取到与待识别应用相关联的多个待检测访问链接,进而通过访问多个待检测访问链接,即可检测待识别应用是否为异常应用,在整个应用识别过程中,并不依赖于DPI技术,无需通过获取应用类型字段来识别异常应用,因此可以提升异常应用的识别准确度。
在一个实施例中,如图2所示,对初始访问链接进行扩展,得到多个待检测访问链接,包括:
步骤302,通过监测待识别应用的访问请求,获取各目标链接关键参数。
作为一种示例,步骤302包括:通过监测待识别应用的所有访问请求,获取所有访问请求的数据流;基于预设参数类型,从所有访问请求的数据流中采集各目标链接关键参数。
作为一种示例,链接关键参数可以为platformId的值。
步骤304,分别将初始访问链接中原始链接关键参数替换为各目标链接关键参数,得到多个待检测访问链接。
作为一种示例,步骤304包括:通过将初始访问链接中原始链接关键参数分别替换为各目标链接关键参数,将初始访问链接扩展为多个待检测访问链接。
本实施例中,通过监测待识别应用的访问请求,获取各目标链接关键参数,可以实现初步筛选得到与待识别应用相关联的多个目标链接关键参数,从而分别将初始访问链接中原始链接关键参数替换为各目标链接关键参数,使得得到的多个待检测访问链接均与待识别应用相关联,这样可以保证对初始访问链接进行扩展的准确度。
目前,对于很多异常应用通常会使用动态域名,使得异常应用的访问链接可以存在多个且处于不断变化之中,这样即使将异常应用的一些访问链接加入黑名单,在很多时候也不能准确识别出异常应用。
在一个实施例中,如图3所示,通过访问多个待检测访问链接,检测待识别应用是否为异常应用,包括:
步骤402,访问多个待检测访问链接,得到多个访问结果页面。
作为一种示例,步骤402包括:通过遍历多个待检测访问链接,访问多个待检测访问链接的页面,得到多个访问结果页面。
步骤404,通过遍历各访问结果页面,检测各访问结果页面中属于待识别应用的应用页面的页面数量。
作为一种示例,步骤404包括:获取待识别应用的原始应用页面;通过遍历各访问结果页面,分别检测各访问结果页面是否与原始应用页面一致,若访问结果页面与原始应用页面一致,则确定访问结果页面为属于待识别应用的应用页面;若访问结果页面与原始应用页面不一致,则确定访问结果页面不为属于待识别应用的应用页面;统计与原始应用页面一致的访问结果页面的页面数量。
步骤406,若页面数量大于预设数量阈值,则确定待识别应用为异常应用。
步骤408,若页面数量不大于预设数量阈值,则确定待识别应用不为异常应用。
作为一种示例,步骤406至步骤408包括:若页面数量大于预设数量阈值,则认为待识别应用使用大量的动态域名,即确定识别应用非法使用动态域名,从而确定待识别应用为异常应用;若页面数量不大于预设数量阈值,则认为待识别应用未使用大量的动态域名,即确定识别应用未非法使用动态域名,从而确定待识别应用不为异常应用。
上述实施例中,通过访问多个待检测访问链接,得到多个访问结果页面;通过遍历各访问结果页面,检测各访问结果页面中属于待识别应用的应用页面的页面数量;若页面数量大于预设数量阈值,则确定待识别应用为异常应用;若页面数量不大于预设数量阈值,则确定待识别应用不为异常应用。本实施例可以通过检测待识别应用所使用的访问链接数量,来确定待识别应用是否非法使用动态域名,从而来确定待识别应用是否为异常应用,这样即使异常应用使用动态域名,也可以准确识别出异常应用,提升异常应用的识别准确度。
目前,异常应用除了会使用动态域名之外,还存在使用多个不同登陆页面的情况,例如设置一部分访问链接对应登陆页面A,设置另一部分访问链接对应的登陆页面B,但是无论是登陆页面A还是登陆页面B均可以登陆异常应用的应用内容页面。
在一个实施例中,如图4所示,通过遍历各访问结果页面,检测各访问结果页面中属于待识别应用的应用页面的页面数量,包括:
步骤502,获取待识别应用对应的第一应用页面图像以及各访问结果页面的第二应用页面图像。
其中,第一应用页面图像为待识别应用的原始应用图像,例如可以为第一次登陆待识别应用时的登陆页面图像等;第二应用页面图像为各访问结果页面的页面图像。
步骤504,对第一应用页面图像进行特征提取,得到第一页面图像特征。
步骤506,分别对各第二应用页面图像进行特征提取,得到各第二页面图像特征。
作为一种示例,步骤504至步骤506包括:对第一应用页面图像进行图像特征提取,得到第一原始图像特征,将第一原始图像特征映射至预设特征维度,得到第一页面图像特征;分别对第二应用页面图像进行图像特征提取,得到各第二原始图像特征,将各第二原始图像特征映射至预设特征维度,得到各第二页面图像特征。
作为一种示例,第一页面图像特征和第二页面图像特征均可以为特征向量,例如可以为embedding向量。
步骤508,确定各第二页面图像特征和第一页面图像特征之间的特征相似度。
步骤510,根据各特征相似度,检测各访问结果页面中属于待识别应用的应用页面的页面数量。
作为一种示例,步骤508至步骤510包括:分别计算各第二页面图像特征和第一页面图像特征之间的特征相似度,其中,特征相似度可以使用向量距离进行标示,向量距离越大,则特征相似度越低,向量距离越小,则特征相似度越高;若特征相似度大于预设特征相似度阈值,则认为访问结果页面为属于待识别应用的应用页面;若特征相似度不大于预设特征相似度阈值,则认为访问结果页面为不属于待识别应用的应用页面;统计属于各访问结果页面中属于待识别应用的应用页面的页面数量。
上述实施例中,通过获取待识别应用对应的第一应用页面图像以及各访问结果页面的第二应用页面图像;对第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各第二页面图像特征和第一页面图像特征之间的特征相似度;根据各特征相似度,检测各访问结果页面中属于待识别应用的应用页面的页面数量。这样即使异常应用存在多个不同的登陆页面,也可以准确识别这些不同的登陆页面均属于异常应用的应用页面,从而可以准确确定各访问结果页面中属于待识别应用的应用页面的页面数量,从而基于该页面数量可以准确确定待识别应用是否非法使用动态域名,提升了判别待识别应用是否非法使用动态域名的准确度。
在一个实施例中,在确定待识别应用为异常应用之后,方法还包括:
从各访问结果页面的待检测访问链接中筛选目标访问链接,其中,目标访问链接的访问结果页面中属于待识别应用的应用页面;将目标访问链接加入预设域名规则,其中,预设域名规则用于标识目标访问链接指向异常应用页面。
其中,本实施例中还维护了预设域名规则,该预设域名规则包括多个黑名单访问链接,这些黑名单访问链接均指向异常应用页面。
具体地,若访问结果页面为属于待识别应用的应用页面,则将高访问结果页面对应的待检测访问链接作为目标访问链接;将目标访问链接加入预设域名规则,以标识该目标访问链接指向异常应用页面。
上述实施例中还设置了预设域名规则,在确定待识别应用为异常应用之后,将指向待识别应用的应用页面的所有待检测访问链接均加入预设域名规则,这样可以保证预设域名规则是实时更新的,即使异常应用使用动态域名,也可以利用预设域名规则准确识别出异常应用。
在一个实施例中,若待识别应用为未加密应用,通过监测待识别应用的所有访问请求,获取所有访问请求的数据流;基于预设参数类型,从所有访问请求的数据流中采集各目标链接关键参数;通过将初始访问链接中原始链接关键参数分别替换为各目标链接关键参数,将初始访问链接扩展为多个待检测访问链接,这样可以扩展得到均与待识别应用相关联的多个待检测访问链接,从而保证对初始访问链接进行扩展的准确度;若待识别应用为加密应用,则获取待识别应用基于post请求反馈的响应体数据;对post请求的响应体数据中的字符串中提取多个待检测访问链接,这样可以实现针对于待识别应用是否加密,灵活选取不同的方式来获取多个待检测访问链接,可以在待识别应用未加密时保证多个待检测访问链接的获取效率,在在待识别应用加密时可以保证准确获取多个待检测访问链接。
在获取到多个待检测访问链接之后,通过遍历多个待检测访问链接,访问多个待检测访问链接的页面,得到多个访问结果页面;获取待识别应用的原始应用页面;通过遍历各访问结果页面,分别检测各访问结果页面是否与原始应用页面一致,若访问结果页面与原始应用页面一致,则确定访问结果页面为属于待识别应用的应用页面;若访问结果页面与原始应用页面不一致,则确定访问结果页面不为属于待识别应用的应用页面;统计与原始应用页面一致的访问结果页面的页面数量;若页面数量大于预设数量阈值,则认为待识别应用使用大量的动态域名,即确定识别应用非法使用动态域名,从而确定待识别应用为异常应用;若页面数量不大于预设数量阈值,则认为待识别应用未使用大量的动态域名,即确定识别应用未非法使用动态域名,从而确定待识别应用不为异常应用,这样即使异常应用使用动态域名,也可以通过检测待识别应用所使用的访问链接数量,来确定待识别应用是否非法使用动态域名,从而来确定待识别应用是否为异常应用,提升了异常应用识别的准确度。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的应用识别方法的应用识别装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个应用识别装置实施例中的具体限定可以参见上文中对于应用识别方法的限定,在此不再赘述。
在一个实施例中,如图5所示,提供了一种应用识别装置,包括:链接扩展模块602、链接提取模块604和异常应用检测模块606,其中:
链接扩展模块602,用于若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接。
链接提取模块604,用于若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接。
异常应用检测模块606,用于通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
在其中一个实施例中,所述链接扩展模块602还用于:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
在其中一个实施例中,所述链接提取模块604还用于:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
在其中一个实施例中,所述异常应用检测模块606还用于:
访问所述多个待检测访问链接,得到多个访问结果页面;通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
在其中一个实施例中,所述异常应用检测模块606还用于:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;对所述第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
在其中一个实施例中,所述应用识别装置还包括:
域名规则维护模块,用于从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
上述应用识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种应用识别方法。
本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
访问所述多个待检测访问链接,得到多个访问结果页面;通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;对所述第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
访问所述多个待检测访问链接,得到多个访问结果页面;通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;对所述第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
访问所述多个待检测访问链接,得到多个访问结果页面;通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;对所述第一应用页面图像进行特征提取,得到第一页面图像特征;分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种应用识别方法,其特征在于,所述方法包括:
若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;
若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;
通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
2.根据权利要求1所述的方法,其特征在于,所述对所述初始访问链接进行扩展,得到多个待检测访问链接,包括:
通过监测所述待识别应用的访问请求,获取各目标链接关键参数;
分别将所述初始访问链接中原始链接关键参数替换为各所述目标链接关键参数,得到多个待检测访问链接。
3.根据权利要求1所述的方法,其特征在于,所述从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接,包括:
向所述待识别应用发送post请求,接收所述待识别应用基于所述post请求反馈的响应体数据;
对所述响应体数据进行解码,得到解码数据,从所述解码数据中提取多个待检测访问链接。
4.根据权利要求1所述的方法,其特征在于,所述通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用,包括:
访问所述多个待检测访问链接,得到多个访问结果页面;
通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量;
若所述页面数量大于预设数量阈值,则确定所述待识别应用为异常应用;
若所述页面数量不大于预设数量阈值,则确定所述待识别应用不为异常应用。
5.根据权利要求4所述的方法,其特征在于,所述通过遍历各所述访问结果页面,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量,包括:
获取所述待识别应用对应的第一应用页面图像以及各所述访问结果页面的第二应用页面图像;
对所述第一应用页面图像进行特征提取,得到第一页面图像特征;
分别对各所述第二应用页面图像进行特征提取,得到各第二页面图像特征;
确定各所述第二页面图像特征和所述第一页面图像特征之间的特征相似度;
根据各所述特征相似度,检测各所述访问结果页面中属于所述待识别应用的应用页面的页面数量。
6.根据权利要求4所述的方法,其特征在于,在所述确定所述待识别应用为异常应用之后,所述方法还包括:
从各所述访问结果页面的待检测访问链接中筛选目标访问链接,其中,所述目标访问链接的访问结果页面中属于所述待识别应用的应用页面;
将所述目标访问链接加入预设域名规则,其中,所述预设域名规则用于标识所述目标访问链接指向异常应用页面。
7.一种应用识别装置,其特征在于,所述装置包括:
链接扩展模块,用于若待识别应用为未加密应用,则从所述待识别应用对应的地址请求数据流中提取初始访问链接,对所述初始访问链接进行扩展,得到多个待检测访问链接;
链接提取模块,用于若所述待识别应用为加密应用,则从所述待识别应用基于post请求反馈的响应体数据中提取多个待检测访问链接;
异常应用检测模块,用于通过访问所述多个待检测访问链接,检测所述待识别应用是否为异常应用。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202310827664.4A 2023-07-06 2023-07-06 应用识别方法、装置、计算机设备和存储介质 Pending CN117113342A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310827664.4A CN117113342A (zh) 2023-07-06 2023-07-06 应用识别方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310827664.4A CN117113342A (zh) 2023-07-06 2023-07-06 应用识别方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN117113342A true CN117113342A (zh) 2023-11-24

Family

ID=88810015

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310827664.4A Pending CN117113342A (zh) 2023-07-06 2023-07-06 应用识别方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN117113342A (zh)

Similar Documents

Publication Publication Date Title
Zhou et al. Coverless image steganography using partial-duplicate image retrieval
JP6099793B2 (ja) 1つ以上の画像処理アルゴリズムの自動選択のための方法およびシステム
CN113489713A (zh) 网络攻击的检测方法、装置、设备及存储介质
CN114244603A (zh) 异常检测及对比嵌入模型训练、检测方法、装置及介质
CN112199344A (zh) 一种日志分类的方法和装置
US20230222762A1 (en) Adversarially robust visual fingerprinting and image provenance models
CN115391188A (zh) 一种场景测试用例生成方法、装置、设备及存储介质
Bian et al. Abnormal detection in big data video with an improved autoencoder
CN117113342A (zh) 应用识别方法、装置、计算机设备和存储介质
CN115297104B (zh) 文件上传方法、装置、电子设备和存储介质
CN116186708A (zh) 类别识别模型生成方法、装置、计算机设备和存储介质
WO2020206662A1 (zh) 浏览器反劫持方法、装置、电子设备及存储介质
CN117710100B (zh) 基于区块链的数据分析方法及计算服务器
CN114969732B (zh) 恶意代码的检测方法、装置、计算机设备和存储介质
CN114826726B (zh) 网络资产脆弱性检测方法、装置、计算机设备和存储介质
CN115396687B (zh) 处理媒体资源中业务数据的方法、装置、直播系统、设备和介质
CN117113304A (zh) 资源交互方法、装置、计算机设备和存储介质
CN117235722A (zh) 对抗反沙箱程序的方法、装置、计算机设备和存储介质
CN117118727A (zh) 命令注入攻击检测方法、装置、计算机设备和存储介质
CN117201078A (zh) 恶意流量检测方法、装置、计算机设备和存储介质
CN116860491A (zh) 系统异常定位方法、装置、计算机设备和存储介质
CN117112305A (zh) 测试数据恢复方法、装置、设备、介质和产品
CN117131488A (zh) 人脸识别攻击的预警方法、装置、计算机设备、存储介质
CN117034283A (zh) 容器风险检测方法、装置、设备、介质和程序产品
CN117319007A (zh) 告警结果的修正方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination