一种提高应用层流量分类准确率的方法技术

本发明专利技术涉及一种提高应用层流量分类准确率的方法，其特征在于，主要包括以下步骤：第一步、将未知应用的应用层流量进行预处理，以作为基于粗糙集的流量特征建模的基础；第二步、基于粗糙集的流量特征进行建模；第三步、选取指导分类的属性；第四步、计算属性的总粗糙度；第五步、按照属性粗糙度对各类进行排序；第六步、根据粗糙度实施类进行分割；第七步、根据最小描述长度准则，确定最佳聚类簇数。该方法大大减少不相关流量造成的噪声影响，提高协议关键词提取的准确率，进而可为应用层流量识别、异常检测提供可靠而准确的流量特征。

【技术实现步骤摘要】

本专利技术涉及一种提高应用层流量分类准确率的方法。
技术介绍
协议逆向工程可自动化地为协议流量识别、入侵检测、协议规范重构等应用提供丰富而准确的协议基本组成要素和流量特征。提取协议关键词是协议逆向工程中最为关键的一项任务，是影响后续工作准确率和可靠程序的重要环节。协议关键词是协议中的常量字符串或协议的命令符等，例如，HTTP协议使用的请求方法“GET”、FTP的退出命令符“QUIT”等。在处理多种不同协议的混杂流量时，不同协议的关键出现的频率互相干扰，而现有的协议逆向工程技术大都基于词频挖掘协议关键词，因此，直接对混杂流量进行协议关键词提取的效果不理想。现有未知流量的聚类都采用基于数值型特征的聚类算法。Erman等人采用基于K-means和DBSCAN的流量聚类方法，分析网络应用的通信特征。Erman等人还提出基于EM算法的无监督流量分类方法，用于对无标记的网络流量进行聚类分析，以根据相似性将网络流量分为不同的类别。这些工作都通过将流量特征转化为数值型特征，再定义流之间的相似度或距离，然后在k-means、EM等聚类算法的协助下进行流量聚类或分类的。流量特征在量化的过程中会出现信息损失或失真，影响聚类分析的准确性。为此，Mahmood等人提出一个用于处理混合类型特征(包括数值型特征、非数据值特征、层次化特征等)的流量聚类分析框架，然后他们只关注于分析流的网络层、传输层等简单的特征，例如采用的传输协议(UDP、TCP等)，导致方法对应用层数据的分析准确性不高。Parmar等人提出一种最小化最小粗糙度(MMR)的非数值型数值处理方法，有效地展示和证明了粗糙集在处理非数值型特征的优势。以上方法局限于处理网络流量的数值型特征，也没有考虑应用层网络流量中的非数值型特征具有大量的不确定性，因此不适用于分析未知应用流量的聚类分析。
技术实现思路
本专利技术针对现有技术的不足，提供一种提高应用层流量分类准确率的方法。本专利技术采用基于应用层网络流量聚类预处理的协议逆向分析的处理方法，针对应用层流量特征，采用适宜处理非数值型特征的聚类算法对流量进行预处理，得到由单一协议流量组成的子类，然后对各子类应用协议逆向分析技术进行处理。该方法针对应用层流量存在大量非数据型的特征的问题，引入粗糙集的理论和方法，充分利用粗糙集处理非数据值以及流量中的不确定信息，实现准确而有效的流量聚类分析。为了达到上述目的，本专利技术一种提高应用层流量分类准确率的方法，主要包括以下步骤：第一步、将未知应用的应用层流量进行预处理，以作为基于粗糙集的流量特征建模的基础；第二步、基于粗糙集的流量特征进行建模；第三步、选取指导分类的属性；第四步、计算属性的总粗糙度；第五步、按照属性粗糙度对各类进行排序；第六步、根据粗糙度实施类进行分割；第七步、根据最小描述长度准则，确定最佳聚类簇数。本专利技术中，基于粗糙集的，适用于处理非数值型特征的未知流量聚类方法，模型的构建方法如下。定义信息系统S，表示聚类分析对象，即未知应用的流量，则：S＝(X,Q,V,ρ),X＝{x1,x2,...,xn本文档来自技高网...

【技术保护点】
一种提高应用层流量分类准确率的方法，其特征在于，主要包括以下步骤：第一步、将未知应用的应用层流量进行预处理，以作为基于粗糙集的流量特征建模的基础；第二步、基于粗糙集的流量特征进行建模；第三步、选取指导分类的属性；第四步、计算属性的总粗糙度；第五步、按照属性粗糙度对各类进行排序；第六步、根据粗糙度实施类进行分割；第七步、根据最小描述长度准则，确定最佳聚类簇数。

【技术特征摘要】
1.一种提高应用层流量分类准确率的方法，其特征在于，主要包括以下步骤：第一步、将未知应用的应用层流量进行预处理，以作为基于粗糙集的流量特征建模的基础；第二步、基于粗糙集的流量特征进行建模；第三步、选取指导分类的属性；第四步、计算属性的总粗糙度；第五步、按照属性粗糙度对各类进行排序；第六步、根据粗糙度实施类进行分割；第七步、根据最小描述长度准则，确定最佳聚...

【专利技术属性】
技术研发人员：罗建桢，蔡君，戴青云，徐小平，
申请(专利权)人：广东技术师范学院，
类型：发明
国别省市：广东;44