基于多尺度分析和决策树的p2p流量检测方法和系统的制作方法
【专利摘要】本发明公开了一种基于多尺度分析和决策树的P2P流量检测方法和系统。本发明通过小波的多尺度分析与机器学习中的决策树算法相结合检测P2P流量。先运用小波分析技术对流量进行多尺度分析提取出可疑的P2P流量,之后再运用决策树算法进行流量分类。本发明不仅能检测加密和未知的P2P流量,同时还具有较高的准确性和检测效率,提升了分类检测的有效性,达到了很好的安全检测效果。
【专利说明】
基于多尺度分析和决策树的流量检测方法和系统
【技术领域】
[0001]本发明属于?2?流量检测系统,特别是一种基于小波的多尺度分析和决策树算法相结合的?2?流量检测系统。
【背景技术】
[0002]科技进步日新月异,网络上充斥着各种流量,其中?2?流量占据了绝大多数,强烈的吞噬着有限的带宽资源。如何有效合理的对?2?流量进行管控已成为新的研究热点。传统的?2?流量检测方法如基于流量特征的和基于0?1的都有自身的局限性,这在网络流量不断增加的时下,进行协议解析和特征匹配的同时,计算机的计算和存储开销会显著增大,严重增加网络设备负担,导致?2?网络安全得不到保证。
[0003]本发明的一种基于小波的多尺度分析和决策树算法相结合的?2?流量检测系统可以通过多尺度分析网络流量提取疑似?2?流量,提高决策树分类检测模型的有效性,同时可以检测加密和未知的?2?流量。
【发明内容】
[0004]1、本发明的目的。
[0005]现有技术中,由于?2?流量增大时,计算机的存储开销显著增大,严重增加网络设备的负担,为了控制?2?的网络流量,本发明提出了一种基于小波的多尺度分析和决策树算法相结合的?2?流量检测系统。
[0006]2、本发明所采用的技术方案。
[0007]基于多尺度分析和决策树的?2?流量检测方法,按照如下步骤进行:
第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立?2?网络流量特征模式库;
第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;第四步,综合判断是否疑似?2?网络流量,如果判断是疑似?2?网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
[0008]基于多尺度分析和决策树的?2?流量检测系统,包括以下结构:
网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立?2?网络流量特征模式库;
流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配; 流量分类单元,综合判断是否疑似?2?网络流量,如果判断是疑似?2?网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
[0009]3、本发明的有益效果。
[0010]本发明跳出传统检测方法范畴,提出将小波的多尺度分析与机器学习中的决策树算法相结合的?2?流量检测技术。不仅能检测加密和未知的?2?流量,同时还具有较高的准确性和检测效率,达到了很好的安全检测效果。
[0011]下面结合附图对本发明作进一步详细描述。
【专利附图】
【附图说明】
[0012]图1是?2?网络流量多尺度分析模块图。
[0013]图2是决策树模型构建与识别过程图。
【具体实施方式】
[0014]实施例1
结合图1,基于多尺度分析和决策树的?2?流量检测方法,按照如下步骤进行:
第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立?2?网络流量特征模式库;
第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;第四步,综合判断是否疑似?2?网络流量,如果判断是疑似?2?网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
[0015]实施例2
基于小波多尺度分析和决策树的?2?流量检测系统,步骤如下:
第一步,从网络层进行网络流量采集。拷贝交换机端口数据到数据采集服务器。
[0016]第二步,流量特征多尺度分析。用抓包分析工具抽取样本数据进行小波多尺度分析,包括自相似特征分析,长相关与短相关分析。
[0017]第三步,根据流量特征模式库进行模式匹配。
[0018]第四步,判断并提取疑似?2?流量。转入传输层基于决策树的流量检测协议分类阶段。
[0019]第五步,训练样本数据并建立决策树分类检测模型,对疑似?2?流量作进一步的分类检测。
[0020]实施例3
在实施例1或2的基础上,结合图2,?2?流量的分类阶段步骤如下:
第一步,按照流的五元组概念,提取传输层扣?#0?双向数据流,提取与端口 I?地址和上层协议无关的网络数据流的特征规则。
[0021]第二步,根据样本流的特征规则用决策树模型中的(?.5算法比较不同的规则增益率的大小,建立决策树?2?流量分类模型,完成网络流量分类。
[0022]第三步,根据已经建立的决策树模型对新的疑似?2?流量分类。
[0023]实施例4
基于多尺度分析和决策树的?2?流量检测系统,包括以下结构:
网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立?2?网络流量特征模式库;
流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
流量分类单元,综合判断是否疑似?2?网络流量,如果判断是疑似?2?网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
[0024]实施例5
在实施例4的基础上流量分类单元的分类阶段步骤如下:
按照流的五元组概念,提取传输层扣?#0?双向数据流,提取与端口 I?地址和上层协议无关的网络数据流的特征规则;
匕根据样本流的特征规则用决策树模型中的(?.5算法比较不同的规则增益率的大小,建立决策树?2?流量分类模型,完成网络流量分类;
0.根据已经建立的决策树模型对新的疑似?2?流量分类。
[0025]实施例6
在实施例4或5的基础上,还包括?2?流量流量检测单元,完成?2?流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似?2?流量作进一步的分类检测。
[0026]上述实施例不以任何方式限制本发明,凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
【权利要求】
1.一种基于多尺度分析和决策树的P2P流量检测方法,其特征在于按照如下步骤进行: 第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P网络流量特征模式库; 第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;第四步,综合判断是否疑似P2P网络流量,如果判断是疑似P2P网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
2.根据权利要求1所述的基于多尺度分析和决策树的P2P流量检测方法,其特征在于:所述的第四步P2P流量的分类阶段步骤如下: a.按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口IP地址和上层协议无关的网络数据流的特征规则; b.根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P流量分类模型,完成网络流量分类; c.根据已经建立的决策树模型对新的疑似P2P流量分类。
3.根据权利要求1或2所述的基于多尺度分析和决策树的P2P流量检测方法,其特征在于:完成P2P流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
4.一种基于多尺度分析和决策树的P2P流量检测系统,其特征在于包括以下结构: 网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析; 网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P网络流量特征模式库; 流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配; 流量分类单元,综合判断是否疑似P2P网络流量,如果判断是疑似P2P网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
5.根据权利要求4所述的基于多尺度分析和决策树的P2P流量检测系统,其特征在于:所述的流量分类单元的分类阶段步骤如下: a.按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口IP地址和上层协议无关的网络数据流的特征规则; b.根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P流量分类模型,完成网络流量分类; c.根据已经建立的决策树模型对新的疑似P2P流量分类。
6.根据权利要求4或5所述的基于多尺度分析和决策树的P2P流量检测系统,其特征在于:还包括疑似P2P流量检测单元,完成P2P流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
【文档编号】H04L12/873GK104348741SQ201310337914
【公开日】2015年2月11日 申请日期:2013年8月6日 优先权日:2013年8月6日
【发明者】戚湧, 李千目, 李嘉, 侯君, 於东军, 陈俊, 汪欢, 侍球干, 丁玲玲 申请人:南京理工大学常熟研究院有限公司