[0001] 本发明属于网络业务管理领域，具体涉及一种网络用户行为识别系统

[0002] 随着互联网的发展和计算机的普及，网络用户的数量增长迅速，网络行为逐渐成为了人类行为中最重要的社会现象之一，互联网的深度发展使得网络业务量大量增加，用户访问网络业务的频率也急剧上升，亟需对网络用户行为进行有效的识别。网络用户行为识别是网络业务管理的重要技术，其识别结果是进行科学的网络管理的重要依据，而现有网络用户行为识别技术缺乏对网络用户实时通信数据的细粒度分析，其分析的网络数据针对性不强，且用户行为特征较宽泛，未对网络用户行为做细化分类，降低了网络用户行为识别的准确性。

[0003] 专利号为201210374292.6的中国发明专利，公开了一种网络用户行为信息分析系统及其分析方法，该系统包括依次连接的网络用户行为数据获取模块，网络用户行为数据欲处理模块，网络用户行为数据存储模块，网络用户行为数据分析模块，分析结果显示模块；方法包括数据的采集，数据的预处理，数据的转换，数据的分析和数据的显示等步骤，本发明没有对网络用户行为特征进行细化分类，在网络用户行为的分析结果方面缺乏精确性。

[0019] 下面结合附图和具体实施例对本发明的具体实施方式作进一步详细的说明。

[0020] 如图1所示，一种网络用户行为识别系统，由用户行为特征库、网络数据捕获模块、用户行为构建模块和用户行为匹配模块构成，所述用户行为特征库用于存储网络用户行为的特征信息，网络数据捕获模块用于抓取网络数据包并构建网络数据特征，用户行为构建模块用于建立网络用户行为模式，用户行为匹配模块用于识别网络用户行为名称。

[0021] 如图2所示，本发明构建一个用户行为特征库，并采用网络数据捕获模块、用户行为构建模块和用户行为匹配模块对网络用户行为进行识别；

[0022] 用户行为特征库存储网络用户行为的特征信息，每一条网络用户行为特征包含字段信息：“序号”、“端口号”、“IP地址”和“行为名称”，其中，“序号”为一条网络用户行为特征的编号，“端口号”是发送数据的目的端口号或接收数据的源端口号，“IP地址”是发送数据的目的地址或接收数据的源地址，“行为名称”是一条网络用户行为特征代表的网络用户行为名称；

[0023] 网络数据捕获模块捕获网络用户发送或接收的网络数据包，并从网络数据包中抽取关键特征信息，构建出网络数据特征信息；

[0024] 用户行为构建模块从网络数据捕获模块中读取网络数据特征，根据网络数据特征信息，构建出网络用户行为模式；

[0025] 用户行为匹配模块从用户行为构建模块中读取网络用户行为模式，将其与用户行为特征库中的网络用户行为特征信息进行比较，识别出与网络用户行为模式匹配的网络用户行为。

[0026] 具体地，本发明构造网络用户行为识别系统的具体包括以下步骤：

[0027] 1)构建用户行为特征库；

[0028] 2)捕获网络数据；

[0029] 3)构建网络用户行为模式；

[0030] 4)匹配用户行为特征。

[0031] 如图3所示，给出了构建用户行为特征库的具体方法，包括建立用户行为特征库表结构、以端口号及其对应的用户行为名称建立特征、以端口号和IP地址及其对应的用户行为名称建立特征和将用户行为特征输入用户行为特征库，具体步骤如下：

[0032] 11)建立用户行为特征库表结构：

[0033] 111)将用户行为特征库表的字段建立为“序号”、“端口号”、“IP地址”和“行为名称”；

[0034] 112)将“序号”字段确定为主关键字字段；

[0035] 12)以端口号及其对应的用户行为名称建立特征：

[0036] 建立只有端口号和网络用户行为名称的网络用户行为特征；

[0037] 13)以端口号和IP地址及其对应的用户行为名称建立特征：

[0038] 建立含有端口号、IP地址和网络用户行为名称的网络用户行为特征；

[0039] 14)将用户行为特征输入用户行为特征库：

[0040] 将以上第12)和13)步建立的网络用户行为特征输入到用户行为特征库。

[0041] 如图4所示，给出了捕获网络数据的具体方法，包括捕获网络数据包、获取网络层和传输层包头信息、抽取包头关键特征和构建网络数据特征，具体步骤如下：

[0042] 21)捕获网络数据包：捕获网络用户发送和接收的网络数据；

[0043] 22)获取网络层和传输层包头信息，具体步骤如下：

[0044] 221)获取网络层数据包包头信息；

[0045] 222)获取传输层数据包包头信息；

[0046] 23)抽取包头关键特征，具体步骤如下：

[0047] 231)获取网络层数据包包头的源IP地址和目的IP地址信息；

[0048] 232)获取传输层数据包包头的源端口号和目的端口号信息；

[0049] 24)构建网络数据特征：

[0050] 以获取的源IP地址、源端口号、目的IP地址和目的端口号构建网络数据特征。

[0051] 如图5所示，给出了构建网络用户行为模式的具体方法，包括读取网络数据特征、判断网络数据特征是否读取完毕、判断是否为发送的数据包、抽取目的IP地址和目的端口号作为用户行为模式、抽取源IP地址和源端口号作为用户行为模式，具体步骤如下：

[0052] 31)读取网络数据特征：从网络数据捕获模块读取网络数据特征；

[0053] 32)判断网络数据特征是否读取完毕，具体步骤如下：

[0054] 321)判断是否是最后一条网络数据特征；

[0055] 322)判断下一步操作的步骤：如果读取完毕，结束构建网络用户行为模式；

[0056] 33)判断是否为发送的数据包，具体步骤如下：

[0057] 331)判断是否是网络用户发送的网络数据包；

[0058] 332)判断下一步操作的步骤：如果不是发送的网络数据包，执行步骤35)；

[0059] 34)抽取目的IP地址和目的端口号作为用户行为模式并执行步骤31)；

[0060] 35)抽取源IP地址和源端口号作为用户行为模式并执行步骤31)。

[0061] 如图6所示，给出了匹配用户行为特征的具体方法，包括读取网络用户行为模式、判断用户行为模式是否读取完毕、判断端口号和IP地址构建的用户行为模式是否在用户行为特征库中找到匹配的特征、获取匹配到的特征的网络用户行为名称信息、输出识别到的网络用户行为名称，具体步骤如下：

[0062] 41)读取网络用户行为模式：从用户行为构建模块读取网络用户行为模式；

[0063] 42)判断用户行为模式是否读取完毕，具体步骤如下：

[0064] 421)判断是否是最后一条网络用户行为模式；

[0065] 422)判断下一步操作的步骤：如果读取完毕，结束匹配用户行为特征；

[0066] 43)判断端口号和IP地址构建的用户行为模式是否在用户行为特征库中找到匹配的特征：

[0067] 431)判断端口号和IP地址构建的用户行为模式是否在用户行为特征库中找到匹配的特征的步骤；

[0068] 432)判断下一步操作的步骤：如果不存在匹配的特征，执行步骤41)；

[0069] 44)获取匹配到的特征的网络用户行为名称信息：

[0070] 找到匹配到的网络用户行为特征记录，读取该记录的网络用户行为名称字段信息；

[0071] 45)输出识别到的网络用户行为名称并执行步骤41)：将识别到的网络用户行为名称打包

[0072] 成适合外部系统需要的格式的数据，并输出，然后执行步骤41)。

[0073] 以上所述仅是本发明的实施方式，再次声明，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进，这些改进也列入本发明权利要求的保护范围内。