网络流量分类方法及装置制造方法
【专利摘要】本发明提供了一种网络流量分类方法及装置,涉及计算机网络安全领域。该方法包含离线训练阶段和在线识别阶段:离线训练阶段包含:S1、构建训练数据集的应用类型分布图,得到对应关系,并计算概率;S2、构建端口与应用的对应关系表;S3、确立决策因子;在线识别阶段包含:S4、获取端口对,选择其中一个端口作为决策端口;S5、进行分类器选择;S6、选择基于载荷的分类模块为分类器,当分类结果不为空时,对对应关系及其概率值进行单向监督,评价对应关系并更新概率。本发明在网络流量分类过程中减少对于数据包内容的检测,降低对内存和带宽的需求,以及对用户隐私的侵犯,实现在高速网络链路下高速度、高精度的流量分类。
【专利说明】网络流量分类方法及装置
【技术领域】
[0001]本发明涉及计算机网络安全领域,具体涉及一种网络流量分类方法及装置。
【背景技术】
[0002]网络流量分类技术在网络管理中扮演着十分重要的角色,网络管理者或网络服务提供商(ISP)可以根据分类结果制定流量控制策略或为当前或下一代的服务提供支持。因此,快速并准确地对网络流量进行分类是网络管理与监控的关键。现行的网络流量分类主要面临两个问题:1)面对越来越多的新应用(例如P2P、游戏和流媒体)生成的复杂流量,如何实现高精度的识别;2)如何高速的处理剧增的网络数据量。
[0003]传统方法解决上述的问题主要采用的有基于端口的分类方法和基于载荷的分类方法:基于端口的分类方法依据传输层的端口号进行分类,由于不需要进行额外的计算,因此具有较高的识别速度;基于载荷的分类方法对网络数据包的内容进行深度检测,采用一组载荷的特征(精确特征与正则表达式)识别网络流量中的应用,它具有十分高的识别精度,因此被广泛的使用。
[0004]以上,基于端口的分类方法对于识别多数传统的应用具有较高的识别精度,在已有方法中是速度最快和最简单的方法,但是越来越多的新应用使用动态端口或使用其它协议作为隐藏的应用,导致了基于端口分类方法的失效。基于载荷的分类方法,由于其具有很高的计算复杂度,导致在高速网络中的表现越来越差,并且识别过程有可能侵犯用户的隐私。尽管有许多优化手段去改善基于载荷的分类方法的缺陷,但是它们需要特殊的硬件或高性能的处理器以及大量的存储单元,或者需要处理大量的数据包内容。也就是说,传统的分类方法不能有效的解决上述问题。
【发明内容】
[0005](一)解决的技术问题
[0006]针对现有技术的不足,本发明提供一种网络流量分类方法及装置,使得对流经网关的网络流量进行快速并准确的分类。
[0007](二)技术方案
[0008]为实现以上目的,本发明通过以下技术方案予以实现:
[0009]一种网络流量分类方法,包含离线训练阶段和在线识别阶段:
[0010]所述离线训练阶段包含步骤:
[0011]S1、基于载荷的分类方法构建训练数据集的应用类型分布图,得到端口与应用的对应关系,并计算所述对应关系成立的概率;
[0012]S2、根据所述对应关系和所述概率构建端口与应用的对应关系表;
[0013]S3、根据所述对应关系表确立决策因子,所述决策因子包括决策概率值DP和决策记录数DR ;
[0014]所述在线识别阶段包含步骤:[0015]S4、获取待识别会话的源端口和目的端口对,选择其中一个端口作为决策端口 ;
[0016]S5、通过所述决策端口和所述决策因子进行分类器选择;若决策端口中的一条对应关系同时满足决策概率值DP和决策记录数DR,则选择基于端口的分类模块为分类器,采用对应关系表进行分类;否则,执行步骤S6 ;
[0017]S6、选择基于载荷的分类模块为分类器,当分类结果不为空时,则使用此分类结果对本次待识别会话中的端口对所包含的对应关系及其概率值进行单向监督,评价所述对应关系并更新对应关系成立的概率。
[0018]2、如权利要求1所述的网络流量分类方法,其特征在于,步骤S6后进一步包含步骤S7,
[0019]S7、当定时器到达预设衰减周期T时,逐个对所述对应关系表中的所有端口进行扫描,若一端口中存在的一对应关系满足决策因子,则对此端口中满足决策因子的所述对应关系的概率值进行衰减;并对此端口中其它对应关系的概率值进行增益。
[0020]优选的,对所述对应关系的概率值进行衰减的表达式为:
【权利要求】
1.一种网络流量分类方法,其特征在于,包含离线训练阶段和在线识别阶段: 所述离线训练阶段包含步骤: 51、基于载荷的分类方法构建训练数据集的应用类型分布图,得到端口与应用的对应关系,并计算所述对应关系成立的概率; 52、根据所述对应关系和所述概率构建端口与应用的对应关系表; 53、根据所述对应关系表确立决策因子,所述决策因子包括决策概率值DP和决策记录数DR; 所述在线识别阶段包含步骤: 54、获取待识别会话的源端口和目的端口对,选择其中一个端口作为决策端口; 55、通过所述决策端口和所述决策因子进行分类器选择;若决策端口中的一条对应关系同时满足决策概率值DP和决策记录数DR,则选择基于端口的分类模块为分类器,采用对应关系表进行分类;否则,执行步骤S6 ; 56、选择基于载荷的分类模块为分类器,当分类结果不为空时,则使用此分类结果对本次待识别会话中的端口对所包含的对应关系及其概率值进行单向监督,评价所述对应关系并更新对应关系成立的概率。
2.如权利要求1所述的网络流量分类方法,其特征在于,步骤S6后进一步包含步骤S7, 57、当定时器到达预设衰减周期T时,逐个对所述对应关系表中的所有端口进行扫描,若一端口中存在的一对应关系满足决策因子,则对此端口中满足决策因子的所述对应关系的概率值进行衰减;并对此端口中其它对应关系的概率值进行增益。
3.如权利要求2所述的网络流量分类方法,其特征在于, 对所述对应关系的概率值进行衰减的表达式为:
4.如权利要求1所述的网络流量分类方法,其特征在于,步骤S2中计算所述对应关系成立的概率的表达式为:
5.如权利要求1所述的网络流量分类方法,其特征在于,步骤S3中:所述决策概率值DP是根据所述对应关系成立的概率值进行决策;所述决策记录数DR是根据所述对应关系的记录数目进行决策。
6.如权利要求1或5所述的网络流量分类方法,其特征在于,DP取值为0.90,DR取值为 1000。
7.如权利要求1所述的网络流量分类方法,其特征在于,步骤S4中,所述待识别会话的源端口和目的端口对为{SrcPort,DestPort},选择决策端口的方法为: 若SrcPort小于等于1024且DestPort大于1024,则选择SrcPort为决策端口 ; 若DestPort小于等于1024且SrcPort大于1024,则DestPort为决策端口 ; 若两个端口均大于或小于1024,则分别选取出两个端口中符合决策因子且概率值最高的对应关系,对比两条对应关系,具有概率值最高的对应关系对应的端口作为决策端口。
8.如权利要求1所述的网络流量分类方法,其特征在于,步骤S6中的单向监督过程为: 561、将端口Pi包含的对应关系所记录的总数T加1,即T=T+1 ; 562、遍历待识别会话中端口Pi包含的对应关系,如果一条对应关系符合监督条件,即此对应关系中的应用于基于载荷方法的分类结果一致,将此条对应关系的记录数加I ;反之,此条对应关系的记录数目不变,更新此条对应关系的概率值,并更新对应关系表; 563、如果待识别会话中端口Pi未包含符合监督条件的对应关系,则需要将对应关系{Pi, a}添加到Pi的对应关系中,此条对应关系的记录数目为I,其中,a为基于载荷方法的分类结果;此时,Pi包含的对应关系数目加1,更新此条对应关系的概率,并更新对应关系表; 564、将端口Pi新的对应关系表应用于识别过程。
9.一种网络流量分类装置,其特征在于,包含以下模块: 离线训练阶段模块,为基于载荷的分类方法构建训练数据集的应用类型分布图,得到端口与应用的对应关系,并计算所述对应关系成立的概率;根据所述对应关系和所述概率构建端口与应用的对应关系表;根据所述对应关系表确立决策因子,所述决策因子包括决策概率值DP和决策记录数DR ; 在线识别阶段模块,为获取待识别会话的源端口和目的端口对,选择其中一个端口作为决策端口 ;通过所述决策端口和所述决策因子进行分类器选择;若决策端口中的一条对应关系同时满足决策概率值DP和决策记录数DR,则选择基于端口的分类模块为分类器,采用对应关系表进行分类;否则,选择基于载荷的分类模块为分类器,当分类结果不为空时,则使用此分类结果对本次待识别会话中的端口对所包含的对应关系及其概率值进行单向监督,评价所述对应关系并更新对应关系成立的概率。
10.如权利要求9所述的网络流量分类装置,其特征在于,进一步包含定时器衰减增益模块, 所述定时器衰减增益模块为当定时器到达预设衰减周期T时,逐个对所述对应关系表中的所有端口进行扫描,若一端口中存在的一对应关系满足决策因子,则对此端口中满足决策因子的所述 对应关系的概率值进行衰减;并对此端口中其它对应关系的概率值进行增.、Mo
【文档编号】H04L12/813GK103973589SQ201310414970
【公开日】2014年8月6日 申请日期:2013年9月12日 优先权日:2013年9月12日
【发明者】孙广路, 董辉, 李丹丹, 何勇军 申请人:哈尔滨理工大学