9]所述数据包分析模块对首包之后的数据包进行均匀采样,根据采样的数据包的载荷特征识别网络流量,如果数据包采样数超过采样阈值还未识别出网络流量,则采用行为分析模块进行网络流量的识别。
[0040]所述数据包分析模块根据采样的数据包的载荷特征识别网络流量,包括:
[0041]所述数据包分析模块首先比较采样的第一个数据包与分类器中网络流量,确定第一个数据包载荷特征与网络流量行为特征之间的相似度,然后对确定的相似度进行归一化处理;所述数据包分析模块比较采样的第二个数据包与分类器中网络流量,确定第二个数据包载荷特征与网络流量行为特征之间的相似度,对确定的相似度进行归一化处理;经过归一化处理后的第一个数据包载荷特征与网络流量行为特征之间的相似度和第二个数据包载荷特征与网络流量行为特征之间的相似度相乘,之后再次归一化处理,依次进行同样的操作,直到所有数据包采样运行结束;最后,如果当前均匀采样的数据包载荷特征与网络流量行为特征之间的相似度大于90%,则认为当前网络流量的类型为数据包分析模块识别出的网络流量类型。
[0042]所述行为分析模块对随后的数据包采用随机递增的间隔抽样策略进行随机抽样,提取该网络流量的行为特征,并且将网络流量的行为特征与数据包的载荷特征相融合,进行网络流量的识别。
[0043]所述行为分析模块识别网络流量包括:
[0044]将数据包首包载荷特征与网络流量行为特征之间的相似度和行为分析模块采样得到的数据包载荷特征与网络流量行为特征之间的相似度进行累加,累加之后的相似度大于90%,则认为当前网络流量的类型为行为分析模块识别出的网络流量类型。
[0045]本发明提供一种基于动态数据包采样的网络流量识别方法,所述方法包括以下步骤:
[0046]步骤1:通过网络流量识别服务器获取网络流量,从获取的网络流量中提取数据包首包的载荷特征,如果网络流量识别服务器能够识别网络流量,则不再进行网络流量的获取,否则执行步骤2;
[0047]步骤2:通过数据包分析模块对首包之后的数据包进行均匀采样,均匀采样的参数包括采样数据包间隔、总采样数据包数m和采样数据包范围,且在第2个数据包和第k个数据包之间进行均匀采样,k^m ;根据采样的数据包的载荷特征识别网络流量,当其中某个数据包已经识别出网络流量,则终止首包之后数据包的均匀采样,如果数据包采样数超过采样阈值还未识别出网络流量,则执行步骤3 ;
[0048]步骤3:通过行为分析模块对第k个数据包之后的数据包进行随机抽样,采用随机递增的间隔抽样策略完成随机抽样,提取该网络流量的行为特征,并且将网络流量的行为特征与数据包的载荷特征相融合,进行网络流量的识别。
[0049]步骤1中,所述网络流量识别服务器根据提取的载荷特征识别网络流量,包括:
[0050]所述网络流量识别服务器比较数据包首包载荷特征和网络流量识别服务器中网络流量行为特征之间的相似度,最相似的网络流量类型即为网络流量识别服务器识别出的网络流量类型。
[0051]步骤2中,所述数据包分析模块根据采样的数据包的载荷特征识别网络流量,包括:
[0052]所述数据包分析模块首先比较采样的第一个数据包与分类器中网络流量,确定第一个数据包载荷特征与网络流量行为特征之间的相似度,然后对确定的相似度进行归一化处理;所述数据包分析模块比较采样的第二个数据包与分类器中网络流量,确定第二个数据包载荷特征与网络流量行为特征之间的相似度,对确定的相似度进行归一化处理;经过归一化处理后的第一个数据包载荷特征与网络流量行为特征之间的相似度和第二个数据包载荷特征与网络流量行为特征之间的相似度相乘,之后再次归一化处理,依次进行同样的操作,直到所有数据包采样运行结束;最后,如果当前均匀采样的数据包载荷特征与网络流量行为特征之间的相似度大于90%,则认为当前网络流量的类型为数据包分析模块识别出的网络流量类型。
[0053]步骤3中,所述行为分析模块识别网络流量包括:
[0054]将数据包首包载荷特征与网络流量行为特征之间的相似度和行为分析模块采样得到的数据包载荷特征与网络流量行为特征之间的相似度进行累加,累加之后的相似度大于90%,则认为当前网络流量的类型为行为分析模块识别出的网络流量类型。
[0055]最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,所属领域的普通技术人员参照上述实施例依然可以对本发明的【具体实施方式】进行修改或者等同替换,这些未脱离本发明精神和范围的任何修改或者等同替换,均在申请待批的本发明的权利要求保护范围之内。
【主权项】
1.一种基于动态数据包采样的网络流量识别系统,其特征在于:所述系统包括网络流量识别服务器、数据包分析模块和行为分析模块;所述网络流量识别服务器、数据包分析模块和行为分析模块依次单向连接。2.根据权利要求1所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述网络流量识别服务器获取网络流量,并从获取的网络流量中提取数据包首包的载荷特征,网络流量识别服务器根据提取的载荷特征识别网络流量;如果网络流量识别服务器能够识别网络流量,则不再进行网络流量的获取,否则采用数据包分析模块进行网络流量的识别。3.根据权利要求2所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述网络流量识别服务器根据提取的载荷特征识别网络流量,包括: 所述网络流量识别服务器比较数据包首包载荷特征和网络流量识别服务器中网络流量行为特征之间的相似度,最相似的网络流量类型即为网络流量识别服务器识别出的网络流量类型。4.根据权利要求2所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述数据包分析模块对首包之后的数据包进行均匀采样,根据采样的数据包的载荷特征识别网络流量,如果数据包采样数超过采样阈值还未识别出网络流量,则采用行为分析模块进行网络流量的识别。5.根据权利要求4所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述数据包分析模块根据采样的数据包的载荷特征识别网络流量,包括: 所述数据包分析模块首先比较采样的第一个数据包与分类器中网络流量,确定第一个数据包载荷特征与网络流量行为特征之间的相似度,然后对确定的相似度进行归一化处理;所述数据包分析模块比较采样的第二个数据包与分类器中网络流量,确定第二个数据包载荷特征与网络流量行为特征之间的相似度,对确定的相似度进行归一化处理;经过归一化处理后的第一个数据包载荷特征与网络流量行为特征之间的相似度和第二个数据包载荷特征与网络流量行为特征之间的相似度相乘,之后再次归一化处理,依次进行同样的操作,直到所有数据包采样运行结束;最后,如果当前均匀采样的数据包载荷特征与网络流量行为特征之间的相似度大于90%,则认为当前网络流量的类型为数据包分析模块识别出的网络流量类型。6.根据权利要求4所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述行为分析模块对随后的数据包采用随机递增的间隔抽样策略进行随机抽样,提取该网络流量的行为特征,并且将网络流量的行为特征与数据包的载荷特征相融合,进行网络流量的识别。7.根据权利要求6所述的基于动态数据包采样的网络流量识别系统,其特征在于:所述行为分析模块识别网络流量包括: 将数据包首包载荷特征与网络流量行为特征之间的相似度和行为分析模块采样得到的数据包载荷特征与网络流量行为特征之间的相似度进行累加,累加之后的相似度大于90%,则认为当前网络流量的类型为行为分析模块识别出的网络流量类型。8.—种基于动态数据包采样的网络流量识别方法,其特征在于:所述方法包括以下步骤: 步骤1:通过网络流量识别服务器获取网络流量,从获取的网络流量中提取数据包首包的载荷特征,如果网络流量识别服务器能够识别网络流量,则不再进行网络流量的获取,否则执行步骤2 ; 步骤2:通过数据包分析模块对首包之后的数据包进行均匀采样,均匀采样的参数包括采样数据包间隔、总采样数据包数m和采样数据包范围,且在第2个数据包和第k个数据包之间进行均匀采样,k ( m ;根据采样的数据包的载荷特征识别网络流量,当其中某个数据包已经识别出网络流量,则终止首包之后数据包的均匀采样,如果数据包采样数超过采样阈值还未识别出网络流量,则执行步骤3 ; 步骤3:通过行为分析模块对第k个数据包之后的数据包进行随机抽样,采用随机递增的间隔抽样策略完成随机抽样,提取该网络流量的行为特征,并且将网络流量的行为特征与数据包的载荷特征相融合,进行网络流量的识别。
【专利摘要】本发明提供一种基于动态数据包采样的网络流量识别系统和方法,系统包括网络流量识别服务器、数据包分析模块和行为分析模块;网络流量识别服务器、数据包分析模块和行为分析模块依次单向连接。本发明解决了传统的网络流量识别方法面对不断变化的流量环境无法及时调整识别策略的矛盾,使得在网络流量识别的过程中,可以通过感知数据包的变化,来调整当前网络流量识别的策略,是根据首包信息结合协议识别方法来进行识别,还是根据数据包分析结合协议识别方法来进行识别,还是根据网络行为分析结合协议识别方法来进行识别,根据运行环境变化并自动选择适合当前流量特征的网络流量协议识别策略,从而保证在任意流量环境下网络流量识别的准确率与处理效率。
【IPC分类】H04L29/06
【公开号】CN105429950
【申请号】CN201510725503
【发明人】王啸, 王大伟, 贺龙涛, 曹首峰, 刘培朋, 赵咏, 苟高鹏
【申请人】国家计算机网络与信息安全管理中心
【公开日】2016年3月23日
【申请日】2015年10月29日