(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111369075.3 (22)申请日 2021.11.18 (65)同一申请的已公布的文献号 申请公布号 CN 114124512 A (43)申请公布日 2022.03.01 (73)专利权人 中山大学 地址 510275 广东省广州市海珠区新港西 路135号 (72)发明人 谢逸　吴梓阳　 (74)专利代理 机构 广州三环 专利商标代理有限 公司 44202 专利代理师 许羽冬　郭浩辉 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/125(2022.01)H04L 67/141(2022.01) H04L 69/163(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) 审查员 马旗超 (54)发明名称 基于流量行为分析的微信小程序监管方法、 系统和设备 (57)摘要 本发明涉及应用程序管 理技术领域， 尤其涉 及一种基于流量行为分析的微信小程序监管方 法、 系统和设备， 包括： 主控端将其预先设置的微 信小程序管 理策略发送至云端； 受控端将其采集 到的微信小程序的运行流量数据发送至云端； 云 端对运行流量数据进行特征提取， 得到流量特 征， 并利用时空联合信息分析方法对流量特征进 行识别， 得到小程序类型； 云端根据小程序类型 和微信小程序管理策略生 成对应的管理指令； 解 决了传统的小程序监管技术缺乏有效的小程序 准入机制、 服务内容监管机制以及定制化的管理 手段， 用户体验差的问题， 本发明通过云端为受 控端与主控端建立监管关系， 将小程序类型和管 理策略进行结合， 实现了远程实时监管， 降低了 客户端的复杂度。 权利要求书2页 说明书10页 附图6页 CN 114124512 B 2022.08.05 CN 114124512 B 1.一种基于流 量行为分析的微信小程序监管 方法， 其特 征在于， 包括以下步骤： 在受控端与云端建立通信连接、 与主控端建立监控关系后， 主控端将其预先设置的微 信小程序管理策略发送至云端； 受控端将其采集到的微信小程序的运行流 量数据发送至云端； 云端对所述运行流量数据进行特征提取， 得到流量特征， 并利用时空联合信息分析方 法对所述流量特征中每个TCP连接数据的时间摘要信息与多个TCP连接数据的时空联合信 息摘要进行识别， 得到小程序类型； 云端根据 所述小程序类型和所述微信小程序 管理策略生成对应的管理指令， 并将所述 管理指令发送至受控端， 以使所述受控端执 行所述管理指令对应的操作。 2.如权利要求1所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述受控端与云端建立 通信连接的步骤 包括： 受控端发送连接请求至云端， 所述云端根据接收到的所述连接请求与 所述受控端建立 通信连接； 在受控端与云端建立通信连接后， 受控端发送应用程序标识至微信客户端， 以请求授 权认证登录； 微信客户端根据 所述应用程序标识确认是否授权， 并通过受控端将临时登录凭证发送 至云端； 所述云端接收所述临时登录凭证， 并将所述临时登录凭证、 所述应用程序标识和应用 秘钥发送至微信开 放平台； 所述微信开放平台根据 所述临时登录凭证、 所述应用程序标识和所述应用秘钥获取授 权凭证， 并将所述授权凭证发送至云端； 其中， 所述授权凭证包括用户身份标识、 接口调用 凭证以及刷新凭证； 所述云端根据用户身份标识得到用户标识， 并将用户标识和接口调用凭证发送至受控 端； 所述受控端根据所述用户标识和所述接口调用凭证完成微信授权认证登录 。 3.如权利要求2所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述受控端与云端建立 通信连接的步骤 还包括： 在受控端重新登录时， 受控端发送用户标识和接口调用凭证至云端； 云端根据接收到的用户标识在用户信息数据库中查找与所述用户标识对应的缓存接 口调用凭证， 并将接口调用凭证与缓存接口调用凭证进行对比， 若接口调用凭证和缓存接 口调用凭证相同， 则发送登录信息至受控端， 所述受控端根据登录信息 登录， 若接口调用凭 证和缓存接口调用凭证不同， 则受控端通过授权认证登录 。 4.如权利要求1所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述受控端与主控端建立 监控关系的步骤 包括： 所述受控端向云端发送预绑定的主控端用户标识， 云端对所述主控端用户标识进行验 证， 若验证通过， 则建立受控端和主控端的监控关系， 将此监控关系分别发送至受控端和主 控端。 5.如权利要求1所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述云端对所述 运行流量数据进行 特征提取， 得到流 量特征的步骤 包括：权　利　要　求　书 1/2 页 2 CN 114124512 B 2对所述运行流量数据进行TCP连接划分， 得到若干TCP连接及其数据包集 合； 依次选取一TCP连接数据包集合， 通过滑动时间窗口对此TCP连接数据包集合进行特征 提取， 得到流 量特征； 其中， 所述运行流量数据包括若干条TCP连接， 每条TCP连接由一个四元组构成， 所述四 元组为： (ips:ports‑ipd:portd) 式中， ips表示源ip地址， ports表示源端口号， ipd表示目标ip地址， portd表示目标端口 号。 6.如权利要求1所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述利用时空联合信息 分析方法对 所述流量特征中每个TCP连接数据的时间摘要信息与多个 TCP连接数据的时空联合信息摘要 进行识别， 得到小程序类型的步骤 包括： 将所述流量特征依次输入第一长短期记忆网络， 得到对应TCP连接数据包集合的时间 摘要信息； 在第一长短期记忆网络的基础上， 将预设数量的TCP连接对应的时间摘要信息输入第 二长短期记 忆网络， 得到时空联合信息摘要； 将所述时空联合信息摘要输入 全连接网络， 得到类型向量； 根据所述类型向量获取小程序类型； 其中， 所述全连接网络包括多层全连接网络层， 最后一层全连接层为输出层， 其神经元 数量等于小程序类型 数量， 且其激活函数为归一 化指数函数； 所述流量特征包括总分组数、 上 行分组数占比、 时间 间隔特征以及分组字节数 特征。 7.如权利要求1所述的一种基于流量行为分析的微信小程序监管方法， 其特征在于， 所 述受控端采集 微信小程序的运行流 量数据的步骤 包括： 根据微信小程序进程名前缀， 查找到对应的微信小程序进程目录； 根据所述 微信小程序进程目录， 得到该微信小程序进程当前持有的TCP连接集 合； 将所有微信小程序进程持有 的TCP连接集合对应的TCP连接4元组集合作为过滤规则， 构造过滤器； 将所述过 滤器设置 到网络接口， 并保存符合过 滤规则的微信小程序数据包。 8.一种基于流 量行为分析的微信小程序监管系统， 其特 征在于， 所述系统包括： 主控端， 用于在受控端与云端建立通信连接、 与主控端建立监控关系后， 主控端将其预 先设置的微信小程序管理策略发送至云端； 受控端， 用于将其采集到的微信小程序的运行流 量数据发送至云端； 云端， 用于对所述运行流量数据进行特征提取， 得到流量特征， 并利用时空联合信 息分 析方法对所述流量特征中每个TCP连接数据的时间摘要信息与多个TCP连接数据的时空联 合信息摘要 进行识别， 得到小程序类型； 云端， 还用于根据所述小程序类型和所述微信小程序管理策略生成对应的管理指令， 并将所述管理指令发送至受控端， 以使所述受控端执 行所述管理指令对应的操作。 9.一种计算机设备， 其特征在于： 包括处理器和存储器， 所述处理器与所述存储器相 连， 所述存储器用于存储计算机程序， 所述处理器用于执行所述存储器中存储的计算机程 序， 以使得 所述计算机设备 执行如权利要求1至7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114124512 B 3