網(wǎng)絡(luò)流量分類方法及裝置制造方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)流量分類方法及裝置,涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域。該方法包含離線訓(xùn)練階段和在線識(shí)別階段:離線訓(xùn)練階段包含:S1、構(gòu)建訓(xùn)練數(shù)據(jù)集的應(yīng)用類型分布圖,得到對(duì)應(yīng)關(guān)系,并計(jì)算概率;S2、構(gòu)建端口與應(yīng)用的對(duì)應(yīng)關(guān)系表;S3、確立決策因子;在線識(shí)別階段包含:S4、獲取端口對(duì),選擇其中一個(gè)端口作為決策端口;S5、進(jìn)行分類器選擇;S6、選擇基于載荷的分類模塊為分類器,當(dāng)分類結(jié)果不為空時(shí),對(duì)對(duì)應(yīng)關(guān)系及其概率值進(jìn)行單向監(jiān)督,評(píng)價(jià)對(duì)應(yīng)關(guān)系并更新概率。本發(fā)明在網(wǎng)絡(luò)流量分類過程中減少對(duì)于數(shù)據(jù)包內(nèi)容的檢測(cè),降低對(duì)內(nèi)存和帶寬的需求,以及對(duì)用戶隱私的侵犯,實(shí)現(xiàn)在高速網(wǎng)絡(luò)鏈路下高速度、高精度的流量分類。
【專利說明】網(wǎng)絡(luò)流量分類方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種網(wǎng)絡(luò)流量分類方法及裝置。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)流量分類技術(shù)在網(wǎng)絡(luò)管理中扮演著十分重要的角色,網(wǎng)絡(luò)管理者或網(wǎng)絡(luò)服務(wù)提供商(ISP)可以根據(jù)分類結(jié)果制定流量控制策略或?yàn)楫?dāng)前或下一代的服務(wù)提供支持。因此,快速并準(zhǔn)確地對(duì)網(wǎng)絡(luò)流量進(jìn)行分類是網(wǎng)絡(luò)管理與監(jiān)控的關(guān)鍵。現(xiàn)行的網(wǎng)絡(luò)流量分類主要面臨兩個(gè)問題:1)面對(duì)越來越多的新應(yīng)用(例如P2P、游戲和流媒體)生成的復(fù)雜流量,如何實(shí)現(xiàn)高精度的識(shí)別;2)如何高速的處理劇增的網(wǎng)絡(luò)數(shù)據(jù)量。
[0003]傳統(tǒng)方法解決上述的問題主要采用的有基于端口的分類方法和基于載荷的分類方法:基于端口的分類方法依據(jù)傳輸層的端口號(hào)進(jìn)行分類,由于不需要進(jìn)行額外的計(jì)算,因此具有較高的識(shí)別速度;基于載荷的分類方法對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容進(jìn)行深度檢測(cè),采用一組載荷的特征(精確特征與正則表達(dá)式)識(shí)別網(wǎng)絡(luò)流量中的應(yīng)用,它具有十分高的識(shí)別精度,因此被廣泛的使用。
[0004]以上,基于端口的分類方法對(duì)于識(shí)別多數(shù)傳統(tǒng)的應(yīng)用具有較高的識(shí)別精度,在已有方法中是速度最快和最簡(jiǎn)單的方法,但是越來越多的新應(yīng)用使用動(dòng)態(tài)端口或使用其它協(xié)議作為隱藏的應(yīng)用,導(dǎo)致了基于端口分類方法的失效?;谳d荷的分類方法,由于其具有很高的計(jì)算復(fù)雜度,導(dǎo)致在高速網(wǎng)絡(luò)中的表現(xiàn)越來越差,并且識(shí)別過程有可能侵犯用戶的隱私。盡管有許多優(yōu)化手段去改善基于載荷的分類方法的缺陷,但是它們需要特殊的硬件或高性能的處理器以及大量的存儲(chǔ)單元,或者需要處理大量的數(shù)據(jù)包內(nèi)容。也就是說,傳統(tǒng)的分類方法不能有效的解決上述問題。
【發(fā)明內(nèi)容】
[0005](一)解決的技術(shù)問題
[0006]針對(duì)現(xiàn)有技術(shù)的不足,本發(fā)明提供一種網(wǎng)絡(luò)流量分類方法及裝置,使得對(duì)流經(jīng)網(wǎng)關(guān)的網(wǎng)絡(luò)流量進(jìn)行快速并準(zhǔn)確的分類。
[0007](二)技術(shù)方案
[0008]為實(shí)現(xiàn)以上目的,本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn):
[0009]一種網(wǎng)絡(luò)流量分類方法,包含離線訓(xùn)練階段和在線識(shí)別階段:
[0010]所述離線訓(xùn)練階段包含步驟:
[0011]S1、基于載荷的分類方法構(gòu)建訓(xùn)練數(shù)據(jù)集的應(yīng)用類型分布圖,得到端口與應(yīng)用的對(duì)應(yīng)關(guān)系,并計(jì)算所述對(duì)應(yīng)關(guān)系成立的概率;
[0012]S2、根據(jù)所述對(duì)應(yīng)關(guān)系和所述概率構(gòu)建端口與應(yīng)用的對(duì)應(yīng)關(guān)系表;
[0013]S3、根據(jù)所述對(duì)應(yīng)關(guān)系表確立決策因子,所述決策因子包括決策概率值DP和決策記錄數(shù)DR ;
[0014]所述在線識(shí)別階段包含步驟:[0015]S4、獲取待識(shí)別會(huì)話的源端口和目的端口對(duì),選擇其中一個(gè)端口作為決策端口 ;
[0016]S5、通過所述決策端口和所述決策因子進(jìn)行分類器選擇;若決策端口中的一條對(duì)應(yīng)關(guān)系同時(shí)滿足決策概率值DP和決策記錄數(shù)DR,則選擇基于端口的分類模塊為分類器,采用對(duì)應(yīng)關(guān)系表進(jìn)行分類;否則,執(zhí)行步驟S6 ;
[0017]S6、選擇基于載荷的分類模塊為分類器,當(dāng)分類結(jié)果不為空時(shí),則使用此分類結(jié)果對(duì)本次待識(shí)別會(huì)話中的端口對(duì)所包含的對(duì)應(yīng)關(guān)系及其概率值進(jìn)行單向監(jiān)督,評(píng)價(jià)所述對(duì)應(yīng)關(guān)系并更新對(duì)應(yīng)關(guān)系成立的概率。
[0018]2、如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S6后進(jìn)一步包含步驟S7,
[0019]S7、當(dāng)定時(shí)器到達(dá)預(yù)設(shè)衰減周期T時(shí),逐個(gè)對(duì)所述對(duì)應(yīng)關(guān)系表中的所有端口進(jìn)行掃描,若一端口中存在的一對(duì)應(yīng)關(guān)系滿足決策因子,則對(duì)此端口中滿足決策因子的所述對(duì)應(yīng)關(guān)系的概率值進(jìn)行衰減;并對(duì)此端口中其它對(duì)應(yīng)關(guān)系的概率值進(jìn)行增益。
[0020]優(yōu)選的,對(duì)所述對(duì)應(yīng)關(guān)系的概率值進(jìn)行衰減的表達(dá)式為:
【權(quán)利要求】
1.一種網(wǎng)絡(luò)流量分類方法,其特征在于,包含離線訓(xùn)練階段和在線識(shí)別階段: 所述離線訓(xùn)練階段包含步驟: 51、基于載荷的分類方法構(gòu)建訓(xùn)練數(shù)據(jù)集的應(yīng)用類型分布圖,得到端口與應(yīng)用的對(duì)應(yīng)關(guān)系,并計(jì)算所述對(duì)應(yīng)關(guān)系成立的概率; 52、根據(jù)所述對(duì)應(yīng)關(guān)系和所述概率構(gòu)建端口與應(yīng)用的對(duì)應(yīng)關(guān)系表; 53、根據(jù)所述對(duì)應(yīng)關(guān)系表確立決策因子,所述決策因子包括決策概率值DP和決策記錄數(shù)DR; 所述在線識(shí)別階段包含步驟: 54、獲取待識(shí)別會(huì)話的源端口和目的端口對(duì),選擇其中一個(gè)端口作為決策端口; 55、通過所述決策端口和所述決策因子進(jìn)行分類器選擇;若決策端口中的一條對(duì)應(yīng)關(guān)系同時(shí)滿足決策概率值DP和決策記錄數(shù)DR,則選擇基于端口的分類模塊為分類器,采用對(duì)應(yīng)關(guān)系表進(jìn)行分類;否則,執(zhí)行步驟S6 ; 56、選擇基于載荷的分類模塊為分類器,當(dāng)分類結(jié)果不為空時(shí),則使用此分類結(jié)果對(duì)本次待識(shí)別會(huì)話中的端口對(duì)所包含的對(duì)應(yīng)關(guān)系及其概率值進(jìn)行單向監(jiān)督,評(píng)價(jià)所述對(duì)應(yīng)關(guān)系并更新對(duì)應(yīng)關(guān)系成立的概率。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S6后進(jìn)一步包含步驟S7, 57、當(dāng)定時(shí)器到達(dá)預(yù)設(shè)衰減周期T時(shí),逐個(gè)對(duì)所述對(duì)應(yīng)關(guān)系表中的所有端口進(jìn)行掃描,若一端口中存在的一對(duì)應(yīng)關(guān)系滿足決策因子,則對(duì)此端口中滿足決策因子的所述對(duì)應(yīng)關(guān)系的概率值進(jìn)行衰減;并對(duì)此端口中其它對(duì)應(yīng)關(guān)系的概率值進(jìn)行增益。
3.如權(quán)利要求2所述的網(wǎng)絡(luò)流量分類方法,其特征在于, 對(duì)所述對(duì)應(yīng)關(guān)系的概率值進(jìn)行衰減的表達(dá)式為:
4.如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S2中計(jì)算所述對(duì)應(yīng)關(guān)系成立的概率的表達(dá)式為:
5.如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S3中:所述決策概率值DP是根據(jù)所述對(duì)應(yīng)關(guān)系成立的概率值進(jìn)行決策;所述決策記錄數(shù)DR是根據(jù)所述對(duì)應(yīng)關(guān)系的記錄數(shù)目進(jìn)行決策。
6.如權(quán)利要求1或5所述的網(wǎng)絡(luò)流量分類方法,其特征在于,DP取值為0.90,DR取值為 1000。
7.如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S4中,所述待識(shí)別會(huì)話的源端口和目的端口對(duì)為{SrcPort,DestPort},選擇決策端口的方法為: 若SrcPort小于等于1024且DestPort大于1024,則選擇SrcPort為決策端口 ; 若DestPort小于等于1024且SrcPort大于1024,則DestPort為決策端口 ; 若兩個(gè)端口均大于或小于1024,則分別選取出兩個(gè)端口中符合決策因子且概率值最高的對(duì)應(yīng)關(guān)系,對(duì)比兩條對(duì)應(yīng)關(guān)系,具有概率值最高的對(duì)應(yīng)關(guān)系對(duì)應(yīng)的端口作為決策端口。
8.如權(quán)利要求1所述的網(wǎng)絡(luò)流量分類方法,其特征在于,步驟S6中的單向監(jiān)督過程為: 561、將端口Pi包含的對(duì)應(yīng)關(guān)系所記錄的總數(shù)T加1,即T=T+1 ; 562、遍歷待識(shí)別會(huì)話中端口Pi包含的對(duì)應(yīng)關(guān)系,如果一條對(duì)應(yīng)關(guān)系符合監(jiān)督條件,即此對(duì)應(yīng)關(guān)系中的應(yīng)用于基于載荷方法的分類結(jié)果一致,將此條對(duì)應(yīng)關(guān)系的記錄數(shù)加I ;反之,此條對(duì)應(yīng)關(guān)系的記錄數(shù)目不變,更新此條對(duì)應(yīng)關(guān)系的概率值,并更新對(duì)應(yīng)關(guān)系表; 563、如果待識(shí)別會(huì)話中端口Pi未包含符合監(jiān)督條件的對(duì)應(yīng)關(guān)系,則需要將對(duì)應(yīng)關(guān)系{Pi, a}添加到Pi的對(duì)應(yīng)關(guān)系中,此條對(duì)應(yīng)關(guān)系的記錄數(shù)目為I,其中,a為基于載荷方法的分類結(jié)果;此時(shí),Pi包含的對(duì)應(yīng)關(guān)系數(shù)目加1,更新此條對(duì)應(yīng)關(guān)系的概率,并更新對(duì)應(yīng)關(guān)系表; 564、將端口Pi新的對(duì)應(yīng)關(guān)系表應(yīng)用于識(shí)別過程。
9.一種網(wǎng)絡(luò)流量分類裝置,其特征在于,包含以下模塊: 離線訓(xùn)練階段模塊,為基于載荷的分類方法構(gòu)建訓(xùn)練數(shù)據(jù)集的應(yīng)用類型分布圖,得到端口與應(yīng)用的對(duì)應(yīng)關(guān)系,并計(jì)算所述對(duì)應(yīng)關(guān)系成立的概率;根據(jù)所述對(duì)應(yīng)關(guān)系和所述概率構(gòu)建端口與應(yīng)用的對(duì)應(yīng)關(guān)系表;根據(jù)所述對(duì)應(yīng)關(guān)系表確立決策因子,所述決策因子包括決策概率值DP和決策記錄數(shù)DR ; 在線識(shí)別階段模塊,為獲取待識(shí)別會(huì)話的源端口和目的端口對(duì),選擇其中一個(gè)端口作為決策端口 ;通過所述決策端口和所述決策因子進(jìn)行分類器選擇;若決策端口中的一條對(duì)應(yīng)關(guān)系同時(shí)滿足決策概率值DP和決策記錄數(shù)DR,則選擇基于端口的分類模塊為分類器,采用對(duì)應(yīng)關(guān)系表進(jìn)行分類;否則,選擇基于載荷的分類模塊為分類器,當(dāng)分類結(jié)果不為空時(shí),則使用此分類結(jié)果對(duì)本次待識(shí)別會(huì)話中的端口對(duì)所包含的對(duì)應(yīng)關(guān)系及其概率值進(jìn)行單向監(jiān)督,評(píng)價(jià)所述對(duì)應(yīng)關(guān)系并更新對(duì)應(yīng)關(guān)系成立的概率。
10.如權(quán)利要求9所述的網(wǎng)絡(luò)流量分類裝置,其特征在于,進(jìn)一步包含定時(shí)器衰減增益模塊, 所述定時(shí)器衰減增益模塊為當(dāng)定時(shí)器到達(dá)預(yù)設(shè)衰減周期T時(shí),逐個(gè)對(duì)所述對(duì)應(yīng)關(guān)系表中的所有端口進(jìn)行掃描,若一端口中存在的一對(duì)應(yīng)關(guān)系滿足決策因子,則對(duì)此端口中滿足決策因子的所述 對(duì)應(yīng)關(guān)系的概率值進(jìn)行衰減;并對(duì)此端口中其它對(duì)應(yīng)關(guān)系的概率值進(jìn)行增.、Mo
【文檔編號(hào)】H04L12/813GK103973589SQ201310414970
【公開日】2014年8月6日 申請(qǐng)日期:2013年9月12日 優(yōu)先權(quán)日:2013年9月12日
【發(fā)明者】孫廣路, 董輝, 李丹丹, 何勇軍 申請(qǐng)人:哈爾濱理工大學(xué)