一种网络设备的用户识别方法及系统与流程

1.本技术涉及因特网网络数据分析技术领域，特别涉及一种网络设备的用户识别方法及系统。


背景技术：

2.网络是人类借用计算技术和信息技术进行信息交流和建立人际交互关系等社会活动的主要工具。随着互联网技术的发展，各式各样的社交网络也逐渐热门起来，为了更好的审计网络流量、识别用户行为以及防护安全威胁，网络设备如防火墙、网关、和路由器等往往需要对网络中的用户进行识别和标注。
3.现有技术公开了通过网络报文解析dpi技术(deep packet inspection，深度包检测技术)获取网络流量的ip地址或mac地址从而进行用户识别的方法。dpi技术是一种基于应用层的流量检测和控制技术，当ip数据包、tcp或udp数据流通过基于dpi技术的带宽管理系统时，该系统通过深入读取ip包载荷的内容来对osi七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。
4.然而，ip地址或mac地址实际上代表的为终端而不是用户，mac地址是网卡的物理地址，通常与终端绑定，ip地址可能是dhcp服务器随机分配的地址，其具有随机性，也可能是与终端强绑定的固定地址，例如，同一个人在手机上上网和在pc端上上网，通过ip或者mac地址往往识别成两个用户，所以采用上述方法无法精准识别到真实用户身份。


技术实现要素：

5.本技术提供一种网络设备的用户识别方法及系统，用于解决现有网络用户的真实身份识别不准确的技术问题。
6.第一方面，本技术提供一种网络设备的用户识别方法，包括：
7.建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，其中，所述用户行为特征信息包括用户访问网络的即时通信平台，所述提取规则用于提取对应即时通信平台的用户标识；
8.基于dpi设备解析当前用户终端的网络数据报文，得到解析数据；
9.遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段；
10.识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。
11.在第一方面的一种可实现方式中，所述建立提取规则库，包括：
12.获取多个即时通信平台对应的历史网络数据报文；
13.从所述历史网络数据报文中选取包括用户标识的多个特征字段；
14.根据所述多个特征字段生成多组提取用户标识的提取规则；
15.根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。
16.在第一方面的一种可实现方式中，所述历史网络数据报文为用户终端中网络应用的流量信息。
17.在第一方面的一种可实现方式中，所述即时通信平台包括即时通讯工具或社交内容平台，所述用户标识包括即时通讯工具或社交内容平台对应的用户账号。
18.在第一方面的一种可实现方式中，所述基于dpi设备解析当前用户终端的网络数据报文，包括：
19.获取当前用户终端的流量信息；
20.解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量。
21.在第一方面的一种可实现方式中，还包括：
22.如果所述网络流量为明文流量，则基于dpi技术深度解析所述网络流量，得到解析数据；
23.如果所述网络流量为加密流量，则基于ssl技术，利用中间网络设备解密所述加密流量，以及，将解密后的流量输入dpi设备中，得到解析数据。
24.在第一方面的一种可实现方式中，所述解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量，包括：
25.如果解析到的关键词为tls字段，则所述网络流量为加密流量；
26.如果解析到的关键词信息为http超文本字段，则所述网络流量为明文流量。
27.第二方面，本技术提供一种网络设备的用户识别系统，包括：
28.建立规则模块，用于建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，其中，所述用户行为特征信息包括用户访问网络的即时通信平台，所述提取规则用于提取对应即时通信平台的用户标识；
29.解析数据模块，用于基于dpi设备解析当前用户终端的网络数据报文，得到解析数据；
30.提取规则模块，用于遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段；
31.识别用户模块，用于识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。
32.在第二方面的一种可实现方式中，所述建立规则模块包括：
33.获取数据报文单元，用于获取多个即时通信平台对应的历史网络数据报文；
34.选取特征字段单元，用于从所述历史网络数据报文中选取包括用户标识的多个特征字段；
35.生成提取规则单元，用于根据所述多个特征字段生成多组提取用户标识的提取规则；
36.建立提取规则单元，用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。
37.在第二方面的一种可实现方式中，所述解析数据模块包括：
38.判断单元，用于获取当前用户终端的流量信息，解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量；
39.ssl解密模块，用于基于ssl技术，利用中间网络设备解密加密流量，以及，将解密
后的流量输入dpi设备中，得到解析数据；
40.dpi引擎，用于解析明文流量或解密后的流量，得到解析数据。
41.本技术提供一种网络设备的用户识别方法及系统，所述方法包括建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，基于dpi设备解析当前用户终端的网络数据报文，得到解析数据，遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段，识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。如此，通过提取规则提取即时通信平台的用户标识，以识别真实用户。
42.由以上技术方案可知，本技术提供一种网络设备的用户识别方法或系统，基于网络设备的dpi引擎可以自动解析数据包特征，不需要额外开发程序或建立用户系统，更为方便；能准确识别真实用户，不与终端绑定，用户更换上网设备也能识别到该用户；数据从流量中被动识别，不需要主动配置或者主动扫描，对网络影响较小；合并同一用户的多个终端的行为，统一进行分析。
附图说明
43.图1为本技术实施例公开的一种网络设备的用户识别方法的流程示意图；
44.图2为现有技术公开的使用ip作为用户进行用户行为审计的界面图；
45.图3为现有技术公开的使用ip作为用户进行用户安全分析的界面图。
具体实施方式
46.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
47.以下实施例中所使用的术语只是为了描述特定实施例的目的，而并非旨在作为对本技术的限制。如在本技术的说明书和所附权利要求书中所使用的那样，单数表达形式“一个”、“一种”、“所述”、“上述”、“该”和“这一”旨在也包括例如“一个或多个”这种表达形式，除非其上下文中明确地有相反指示。还应当理解，在本技术以下各实施例中，“至少一个”、“一个或多个”是指一个、两个或两个以上，“多个”是指两个或者两个以上。术语“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系；例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b的情况，其中a、b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。
48.在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本技术的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此，在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例，而是意味着“一个或多个但不是所有的实施例”，除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。
49.为了更加清楚了解本技术实施例的技术方案，现将本技术实施例中的技术名词做详细描述。
50.ip：internet protocol(网际互连协议)的缩写，是tcp/ip体系中的网络层协议。
51.mac：mac位址，以太网地址(ethernet address)或物理地址(physical address)，它是一个用来确认网络设备位置的位址。
52.dhcp服务器：dhcp是动态主机配置协议，是一个局域网的网络协议，其指的是由服务器控制一段ip地址范围，客户机登录服务器时就可以自动获得服务器分配的ip地址和子网掩码。担任dhcp服务器的计算机需要安装tcp/ip协议，并为其设置静态ip地址、子网掩码和默认网关等内容。
53.dpi：即dpi(deep packet inspection)深度包检测技术是一种基于应用层的流量检测和控制技术，当ip数据包、tcp或udp数据流通过基于dpi技术的带宽管理系统时，该系统通过深入读取ip包载荷的内容来对osi七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。
54.单点登录：单点登录(single sign on)，简称为sso，是比较流行的企业业务整合的解决方案之一。sso的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
55.l1～l7：osi七层网络模型，l1表示物理层，l2表示数据链路层等，l7表示应用层。
56.参见图1，本技术实施例提供的一种网络设备的用户识别方法，包括以下步骤s1至步骤s4。
57.s1、建立提取规则库。
58.现有技术在上网用户识别时，通常识别的是ip地址或mac地址，其本质上识别的是用户终端而不是用户。此外，在采用第三方用户认证的识别方法时，需要有一套额外的用户系统，且有登录的动作才能识别为用户，此方法步骤更多更为复杂，app认证则需要额外开发独立app，以及使用app进行认证的操作，也是相对繁琐。
59.本技术实施例建立提取规则库，用于提取网络流量中的用户标识，该提取规则库包括多个用户行为特征信息和该用户行为特征信息对应的提取规则。用户行为特征信息表示用户对互联网的访问情况，包括用户访问网络的即时通信平台。
60.可选的，即时通信平台可以是即时通信工具或内容平台等，例如用户终端上的安装的网络应用或者浏览器应用上的某个社交网站。用户可以通过用户终端上的网络应用访问互联网，网络应用包括社交应用等，用户可以通过社交应用登录社交账号访问互联网，也可以通过浏览器应用中的社交网站登录社交账号访问互联网，其他即时通信平台也是如此。
61.每个即时通信平台都有对应的用户账号，可以将用户账号作为用户标识，该提取规则用于提取对应即时通信平台的用户标识。
62.本技术实施例建立提取规则库的方法进一步包括：
63.s101、获取多个即时通信平台对应的历史网络数据报文。
64.s102、从所述历史网络数据报文中选取包括用户标识的多个特征字段。
65.s103、根据所述多个特征字段生成多组提取用户标识的提取规则。
66.s104、根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。
67.通过解析各种历史流量报文，某一些网络应用通常会将用户标识放在请求中，与服务器进行通信。例如，第一网络应用在启动时，会把第一网络应用的登录账号放在请求
中，发送到服务器进行一些通信，本技术实施例通过这些报文信息，组合一定的规则以用于提取出用户登录信息，则可以将用户登录账号作为网络设备的用户，进行进一步的安全分析和审计。
68.示例性地，本技术实施例获取关于第一即时通信平台的第一历史网络数据报文，在该报文中，http头的cookie头，包括uin＝o{用户账号}特征字段。
69.示例性地，本技术实施例获取关于第一即时通信平台的第二历史网络数据报文，在该报文中，url中包括vuin＝{用户账号}特征字段。
70.示例性地，本技术实施例获取关于第一即时通信平台的第三历史网络数据报文，在该报文中，包括uin＝{用户账号}特征字段。
71.同样的某第二即时通信平台启动时，也会发送一些带有用户标识的报文。示例性地，本技术实施例获取关于第二即时通信平台的第四历史网络数据报文，在该报文中，包括wxuin＝{用户账号}的特征字段。示例性地，本技术实施例获取关于第二即时通信平台的第五历史网络数据报文，在该报文中，包括biz_username＝{用户账号}的特征字段。
72.同样的某第三即时通信平台启动时，也会在报文中包含一些邮箱信息。示例性地，本技术实施例获取关于第三即时通信平台的第六历史网络数据报文，可以提取到biz_alias＝{用户账号}的特征字段字段。
73.所以，统计分析多个平台的包括用户标识的多个特征字段，尽可能覆盖大多数在网用户，由于这个标识符跟用户真实身份是绑定的，所以无论用户使用哪个终端联网，都可以准确识别为该用户。在收集一系列包括用户标识的特征字段之后，根据多个特征字段生成多组提取用户标识的提取规则，其中，每个即时通信平台可能对应多个特征字段，通过一个即时通信平台的多个特征字段生成一种提取规则，可选的，该提取规则可以是正则表达式或者匹配字符串。
74.示例性地，如下表1所示的提取规则库。
75.表1提取规则库
76.即时通信平台提取规则'第一即时通信平台名称'r'(？:|v)uin＝o？0？(\d+)''第二即时通信平台名称'r'pt2gguin＝o(\d+)''第三即时通信平台名称'r'wxuin＝(\d+)'第四即时通信平台名称r'openudid＝([^&]+？)(？:&|\s)''第五即时通信平台名称'r'appleudid＝([^&]+？)(？:&|\s)''第六即时通信平台名称'r'uuid＝([^&]+？)&''第七即时通信平台名称'r'ios_uid:(.+？)$''第八即时通信平台名称'r'device＝([^&]+？)(？:&|\s)''第九即时通信平台名称'r'imsi＝([a-za-z0-9]+？)&''第十即时通信平台名称'r'imei＝([a-za-z0-9]+？)&''第十一即时通信平台名称'r'"addr":"(.+？)"''第十二即时通信平台名称'r'"point":(\{.+？\})''第十三即时通信平台名称'r'nick＝(.+？)&''第十四即时通信平台名称'r'_w_tb_nick＝(.+？)；'
'第十五即时通信平台名称'r'email＝(.+？)&'
[0077]
s2、基于dpi设备解析当前用户终端的网络数据报文，得到解析数据。
[0078]
当前用户终端的网络数据报文可以为用户终端上安装的应用管理软件产生的流量信息，也可以是访问网页的url信息等。在网络设备中布置分析工具，以流处理的方式对网络中的数据流量进行实时分析。对于流量的解析，dpi引擎可以按照标准协议，解析各个网络层级的数据报文，哪些字段是什么功能，哪些字段是有效载荷(payload)，除了支持l2-l4的报文首部解析指纹，dpi还增加l7应用层有效载荷(payload)的解析，所以使用dpi引擎，可以将报文按照标准协议进行解包识别判断。
[0079]
基于特征字段的流量识别采用dpi技术对网络流量进行识别，dpi技术主要通过应用层中的特征字段来匹配业务，对网络数据包进行分解，分析网络通信过程中数据包载荷所携带的特征码，根据特征码确定应用程序的类型。因此dpi技术不依赖应用程序的端口设置，对识别很多互联网应用类型具有很高的准确性，但是dpi技术依赖于应用协议的特征字段，对数据包载荷不可见或载荷部分加密的情况需要进一步解密才能深度解析。
[0080]
可选的，dpi引擎包括判断网络流量是否加密的能力，当网络流量进入dpi引擎，dpi引擎进行解析一部分字段，判断是否加密。对于未加密的明文流量，dpi引擎可以做进一步深度解析，对于加密流量，基于ssl技术，利用中间网络设备解密所述加密流量，以及，将解密后的流量输入dpi设备中，得到解析数据。
[0081]
在判断网络流量是否为明文流量时，如果解析到的关键词为tls字段，则所述网络流量为加密流量，如果解析到的关键词信息为http超文本字段，则所述网络流量为明文流量。
[0082]
示例性地，dpi引擎解析到“tls 1.2(0x0303)”关键字段，根据tls标准加密协议，在其协议头部偏移1位是tls版本号。根据标准协议，0303是tls1.2版本，说明是加密协议。而对于明文协议，可以直接解析到http超文本协议，例如“hypertext transfer protocol”关键字段。
[0083]
对于加密流量，需要进入基于ssl技术的解密模块，现在的加密/解密技术主要有三种：对称加密、非对称加密和单向加密。网络访问主要用到的加密方式是非对称加密，它的加密和解密密钥是不同的，比如对一组数字加密，可以用公钥对其加密，再用私钥进行解密，公钥和私钥是配对使用的，常见的非对称加密算法有rsa和dsa，其中rsa既可以用来加密解密，又可以用来实现用户认证，dsa只能用来加密解密。此外，解密模块必须作为中间网络设备，将证书分发给客户端和服务器，得到授权，然后进行解密流量，此过程是协议自行处理的，属于已知技术，有线程的产品和工具可用，本技术实施例在此不再赘述。
[0084]
s3、遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段。
[0085]
dpi引擎把网络数据报文深度解析成通用的格式，比如http头的内容，url的内容，body的内容等等。利用步骤s1中建立的提取规则库中的提取规则，提取解析数据中的用户特征字段，例如，通过表1中编写的正则表达式，在解析数据的匹配对象中进行匹配，通过这些规则，可以提取到各个即时通信平台的用户账号，该用户账号可以作为用户名的字段，示例性地，使用规则“(？:|v)uin＝o？0？(\d+)”可以提取到vuin＝2443039009这样的用户特征字段。
[0086]
s4、识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户
名进行流量审计和安全分析。
[0087]
网络设备可以提取并使用用户特征字段中的用户标识符作为用户名，进行用户行为审计和安全分析。例如，当提取到vuin＝2443039009这样的用户特征字段后，根据提取规则库的即时通信平台和提取规则的对应关系，确定“2443039009”此为该应用对应的用户账号，且将该用户账号作为用户名，进行用户行为审计和安全分析。
[0088]
参见图2，为当前网络设备中，使用ip作为用户进行用户行为审计的界面，如果将ip替换为各个即时通信平台的用户账号，就更能体现真实用户行为，同时可以审计到该用户在多个终端的行为。
[0089]
参见图3，同理在安全分析中，使用ip作为用户进行安全分析，如果将ip替换为各个即时通信平台的用户账号，能体现真实用户的攻击或被攻击情况，更能清晰的定位问题。
[0090]
本技术实施例第二方面提供一种网络设备的用户识别系统，包括：
[0091]
建立规则模块，用于建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，其中，所述用户行为特征信息包括用户访问网络的即时通信平台，所述提取规则用于提取对应即时通信平台的用户标识；
[0092]
解析数据模块，用于基于dpi设备解析当前用户终端的网络数据报文，得到解析数据；
[0093]
提取规则模块，用于遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段；
[0094]
识别用户模块，用于识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。
[0095]
进一步的，所述建立规则模块包括：
[0096]
获取数据报文单元，用于获取多个即时通信平台对应的历史网络数据报文；
[0097]
选取特征字段单元，用于从所述历史网络数据报文中选取包括用户标识的多个特征字段；
[0098]
生成提取规则单元，用于根据所述多个特征字段生成多组提取用户标识的提取规则；
[0099]
建立提取规则单元，用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。
[0100]
进一步的，所述解析数据模块包括：
[0101]
判断单元，用于获取当前用户终端的流量信息，解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量；
[0102]
ssl解密模块，用于基于ssl技术，利用中间网络设备解密加密流量，以及，将解密后的流量输入dpi设备中，得到解析数据；
[0103]
dpi引擎，用于解析明文流量或解密后的流量，得到解析数据。
[0104]
本技术实施例提供一种网络设备的用户识别方法及系统，所述方法包括建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，基于dpi设备解析当前用户终端的网络数据报文，得到解析数据，遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段，识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。如此，通过提取规则提
取即时通信平台的用户标识，以识别真实用户。
[0105]
由以上技术方案可知，本技术实施例提供一种网络设备的用户识别方法或系统，通过dpi技术和ssl解密技术，组合一定的识别规则，实现自动识别用户标识，作为网络设备的用户进行流量审计和安全分析；基于网络设备的dpi引擎可以自动解析数据包特征，不需要额外开发程序或建立用户系统，更为方便；能准确识别真实用户，不与终端绑定，用户更换上网设备也能识别到该用户；数据从流量中被动识别，不需要主动配置或者主动扫描，对网络影响较小；合并同一用户的多个终端的行为，统一进行分析。
[0106]
以上结合具体实施方式和范例性实例对本技术进行了详细说明，不过这些说明并不能理解为对本技术的限制。本领域技术人员理解，在不偏离本技术精神和范围的情况下，可以对本技术技术方案及其实施方式进行多种等价替换、修饰或改进，这些均落入本技术的范围内。本技术的保护范围以所附权利要求为准。

技术特征：
1.一种网络设备的用户识别方法，其特征在于，包括：建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，其中，所述用户行为特征信息包括用户访问网络的即时通信平台，所述提取规则用于提取对应即时通信平台的用户标识；基于dpi设备解析当前用户终端的网络数据报文，得到解析数据；遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段；识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。2.根据权利要求1所述的一种网络设备的用户识别方法，其特征在于，所述建立提取规则库，包括：获取多个即时通信平台对应的历史网络数据报文；从所述历史网络数据报文中选取包括用户标识的多个特征字段；根据所述多个特征字段生成多组提取用户标识的提取规则；根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。3.根据权利要求2所述的一种网络设备的用户识别方法，其特征在于，所述历史网络数据报文为用户终端中网络应用的流量信息。4.根据权利要求3所述的一种网络设备的用户识别方法，其特征在于，所述即时通信平台包括即时通讯工具或社交内容平台，所述用户标识包括即时通讯工具或社交内容平台对应的用户账号。5.根据权利要求3所述的一种网络设备的用户识别方法，其特征在于，所述基于dpi设备解析当前用户终端的网络数据报文，包括：获取当前用户终端的流量信息；解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量。6.根据权利要求5所述的一种网络设备的用户识别方法，其特征在于，还包括：如果所述网络流量为明文流量，则基于dpi技术深度解析所述网络流量，得到解析数据；如果所述网络流量为加密流量，则基于ssl技术，利用中间网络设备解密所述加密流量，以及，将解密后的流量输入dpi设备中，得到解析数据。7.根据权利要求5所述的一种网络设备的用户识别方法，其特征在于，所述解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量，包括：如果解析到的关键词为tls字段，则所述网络流量为加密流量；如果解析到的关键词信息为http超文本字段，则所述网络流量为明文流量。8.一种网络设备的用户识别系统，其特征在于，包括：建立规则模块，用于建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，其中，所述用户行为特征信息包括用户访问网络的即时通信平台，所述提取规则用于提取对应即时通信平台的用户标识；解析数据模块，用于基于dpi设备解析当前用户终端的网络数据报文，得到解析数据；提取规则模块，用于遍历提取规则库中各提取规则，提取所述解析数据中的用户特征
字段；识别用户模块，用于识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。9.根据权利要求8所述的一种网络设备的用户识别系统，其特征在于，所述建立规则模块包括：获取数据报文单元，用于获取多个即时通信平台对应的历史网络数据报文；选取特征字段单元，用于从所述历史网络数据报文中选取包括用户标识的多个特征字段；生成提取规则单元，用于根据所述多个特征字段生成多组提取用户标识的提取规则；建立提取规则单元，用于根据所述多组提取用户标识的提取规则和对应的即时通信平台名称，建立提取规则库。10.根据权利要求8所述的一种网络设备的用户识别系统，其特征在于，所述解析数据模块包括：判断单元，用于获取当前用户终端的流量信息，解析所述流量信息中关键词，按照标准协议判断所述网络流量是否为明文流量；ssl解密模块，用于基于ssl技术，利用中间网络设备解密加密流量，以及，将解密后的流量输入dpi设备中，得到解析数据；dpi引擎，用于解析明文流量或解密后的流量，得到解析数据。

技术总结
一种网络设备的用户识别方法及系统，包括建立提取规则库，所述提取规则库包括多个用户行为特征信息和所述用户行为特征信息对应的提取规则，基于DPI设备解析当前用户终端的网络数据报文，得到解析数据，其中，当流量为加密流量时，采用SSL解密技术，遍历提取规则库中各提取规则，提取所述解析数据中的用户特征字段，识别所述用户特征字段，得到用户标识符，以及，将所述用户标识符作为用户名进行流量审计和安全分析。如此通过DPI技术和SSL解密技术，组合一定的提取规则，实现自动识别真实的用户标识，作为网络设备的用户进行流量审计和安全分析。分析。分析。


技术研发人员：严文涛
受保护的技术使用者：北京安博通科技股份有限公司
技术研发日：2022.06.30
技术公布日：2022/11/1