一种基于自主学习的网络业务识别方法
【技术领域】
[0001] 本发明涉及互联网业务识别技术领域,特别涉及一种基于自主学习的网络业务识 别方法。
【背景技术】
[0002]随着通信技术和网络技术的飞速发展,如P2P (Peer-to-Peer)和VoIP (Voice over IP)等技术,各种网络上承载的业务种类也越来越丰富。由于现有业务的多样性和网 络上业务流量的不确定性,网络运营商需要对进入运营商网络的业务流量进行有效识别, 并实施相应的管理控制策略,进而提高网络资源的利用率。因此,业务识别技术应运而生。
[0003] 深度包检测技术(DPI,DeepPacketInspection)是一种常见的通过检测数据流 量包来识别业务流量的流量检测和控制技术。目前存在的DPI方法主要有:基于特征的识 别和基于流量统计的识别等。基于特征检测的识别方法通过检测具有独特的特征字节或固 定的端口来识别业务流,该方法识别过程简单快速,适用于纯文本流量和端口固定的流量 的识别。基于流量统计的识别方法通过统计流量的特征来识别业务流,适用于纯文本流量 和加密流量的识别,其精确度很大程度上依赖于训练数据库的大小。
[0004] 然而,业务通常会更新版本,当一个新的业务版本改变了其中一个流量的特征或 改变端口时,可能导致该流量无法识别;网络业务中也存在加密/混合、迂回等未知流量, 而现有的业务识别技术大多不能同时对这些未知流量进行快速准确的识别,并且通常需要 经过人工分析和标记才能实时更新统计数据集。因此,找到一种针对网络多业务系统的业 务流量识别技术,实现基于业务流的控制成为一种迫切需求。
【发明内容】
[0005] 有鉴于此,本发明的目的是提供一种基于自主学习的网络业务识别方法,能够快 速准确的识别加密/混合、迂回等未知流量,无需人工分析和标记就能对业务流的特征向 量进行实时的更新,从而加强流量的控制和管理。
[0006] 为实现上述目的,本发明的技术方案是:一种基于自主学习的网络业务识别方法, 包括一离线训练阶段和一在线识别阶段,具体包括以下步骤: 步骤Sl:在所述离线训练阶段,对已识别的业务流的流量数据的特征进行统计训练, 构造所述已识别的业务流的8元组的统计特征向量,并存储到训练数据库中; 步骤S2 :在所述线识别阶段中,对于每一个待识别的新业务流,统计足够数量的数据, 计算其流量数据的特征,构造8元组的统计特征向量;若所述新业务流能够采用基于特征 检测的方法被识别出来,则停止处理所述新业务流并删除其统计特征向量;若新业务流不 能被识别,则进入步骤S3; 步骤S3 :将步骤S2中获得的新业务流的统计特征向量与训练数据库中存储的已识别 的业务流的统计特征向量进行基于欧氏距离和余弦相似性的指标匹配; 步骤S4 :判断所述指标是否满足阈值,若满足则表示所述新业务流与所述已识别的业 务流匹配成功,更新训练数据库中对应业务流的统计特征向量;若不满足则表示所述新业 务流与所述已识别的业务流匹配失败,在训练数据库中添加该新业务流。
[0007] 进一步地,所述步骤Sl和步骤S2中8元组的统计特征向量F为(K1,K2,…,K8): K1表示整个业务流的流量数据包的平均大小;K2表示客户端向上传输到服务器的流量数据 包的平均大小;K3表示服务器向下传输到客户端的流量数据包的平均大小;K4表示客户端 和服务器之间的流量差异;K5表示整个业务流的流量数据包大小的标准偏差;^表示向上 传输过程中流量数据包大小的标准偏差;K7表示向下传输过程中流量数据包大小的标准偏 差;K8表示香农熵。
[0008] 进一步地,所述香农熵表示流量数据包中数据项的随机性,其计算公式为:
P和Q在直角坐标系中的余弦角大小。
[0012] 进一步地,所述步骤S4中所述指标的阈值分别为:欧氏距离D(P,Q) =70,余弦相似 性99 ;当欧氏距离D(P,Q)小于阈值70,余弦相似性大于阈值 0.99即为所述匹配成功。
[0013] 本发明的有益效果在于:基于自主学习的网络业务识别方法适用于经常升级版本 和改变流量特征的业务中,能够对加密/混淆、迂回和纯文本等业务流进行快速有效的识 另Ij;并且该方法能够通过自主学习的方式在训练数据库中实时的更新业务流特征向量和添 加新的可识别业务流,从而在无需人工分析和标注的情况下实现训练数据库的更新,加强 了业务流的控制和管理。
【附图说明】
[0014] 图1是本发明方法的业务流识别原理图。
[0015] 图2是本发明方法的训练数据库数据的存储与更新示意图。
【具体实施方式】
[0016] 下面结合附图及实施例对本发明做进一步说明。
[0017] 本实施例提供一种基于自主学习的网络业务识别方法,结合图1和图2,可具体得 到本方法的工作原理与算法。该识别方法包含两个工作阶段:离线阶段和在线识别阶段,具 体实施步骤如下: 步骤Sl:在所述离线训练阶段,对已识别的业务流的流量数据的特征进行统计训练, 构造所述已识别的业务流的8元组的统计特征向量,并存储到训练数据库中; 步骤S2 :在线识别阶段中,对于每一个待识别的新业务流,统计30个数据包/8KB字 节数的数据,计算其流量数据的特征,构造8元组特征向量;若该业务流能够通过基于特征 检测的方法识别出来,则停止处理该业务流,并删除已有的统计数据;若该业务流不能被识 另Ij,则进入步骤S3; 步骤S3 :将步骤S2中获得的新业务流的统计特征向量与训练数据库中存储的已识别 业务流的统计特征向量进行基于欧氏距离和余弦相似性的指标匹配; 步骤S4:判断所述指标是否满足阈值,若匹配向量之间的欧氏距离小于阈值70,余弦 相似性大于阈值0.99,则表示匹配成功,更新训练数据库中对应业务流的统计特征向量; 若欧氏