一种基于自适应聚类的未知应用层协议识别方法技术

本发明专利技术提出一种基于自适应聚类的未知应用层协议识别方法，包括以下步骤：数据预处理、相似度计算、未知应用层协议聚类。本发明专利技术从采集的原始网络数据中重组出网络流，自动化提取网络流的应用层协议数据，计算应用层协议数据的相似度作为应用层协议识别的依据，最后，利用聚类算法对网络流的应用层协议数据进行聚类，实现未知应用层协议的识别。本发明专利技术能有效提高未知应用层协议识别的准确率，还可以避免协议识别模型的训练过程，适用范围广泛。

An Unknown Application Layer Protocol Recognition Method Based on Adaptive Clustering

【技术实现步骤摘要】
一种基于自适应聚类的未知应用层协议识别方法
本专利技术涉及网络
，尤其是一种基于自适应聚类的未知应用层协议识别方法，该方法以网络通信中的应用层协议数据为分析对象，通过数据切片的方法提取合适的应用层协议负载用于相似度计算，以应用层协议数据负载间的相似度作为聚类的条件，利用改进的聚类方法迭代处理，将相似的应用层协议数据聚集在一起，实现未知应用层协议的识别。
技术介绍
应用层协议识别是指从承载应用层协议数据的网络流量中提取出可以标识应用层协议的关键特征，并以这些关键特征为基础，将同一种类型的应用层协议数据划分在一起。未知协议指的是协议规范未知的协议。目前很多厂商出于安全、版权保护等原因，并没有公布软件所使用的通信协议的细节。很多恶意软件也基于编写者设计的通信协议进行通信。这些协议大多属于应用层协议，它们的协议规范没有公开，属于未知的应用层协议。应用层协议识别技术是网络服务提供商和网络管理员提供差异性服务质量保障、实施入侵检测、流量监控等工作的重要基础。根据识别方法的不同，目前应用层协议识别技术包括基于端口号的流量分类方法、基于深度包检测(DeepPacketInspection，DP本文档来自技高网...

【技术保护点】
1.一种基于自适应聚类的未知应用层协议识别方法，其特征在于，包括步骤：(1)对采集的网络流量数据进行预处理，提取其中的应用层协议数据；(2)选取每条应用层协议数据前部的一段固定长度的数据作为相似度计算的输入，计算出应用层协议数据间的相似度；(3)对提取出的应用层协议数据进行簇初始化处理，将每一条应用层协议数据单独划为一个簇，将步骤(2)计算出的应用层协议数据间的相似度作为初始的簇间相似度进行簇初始化，将初始化获得的簇类集合进行簇间相似度计算，在计算簇间相似度过程中，当需要计算应用层协议数据间的相似度时，直接查询步骤(2)计算出的应用层协议数据间的相似度即可；利用聚类算法进行反复迭代，直至达到聚...

【技术特征摘要】
1.一种基于自适应聚类的未知应用层协议识别方法，其特征在于，包括步骤：(1)对采集的网络流量数据进行预处理，提取其中的应用层协议数据；(2)选取每条应用层协议数据前部的一段固定长度的数据作为相似度计算的输入，计算出应用层协议数据间的相似度；(3)对提取出的应用层协议数据进行簇初始化处理，将每一条应用层协议数据单独划为一个簇，将步骤(2)计算出的应用层协议数据间的相似度作为初始的簇间相似度进行簇初始化，将初始化获得的簇类集合进行簇间相似度计算，在计算簇间相似度过程中，当需要计算应用层协议数据间的相似度时，直接查询步骤(2)计算出的应用层协议数据间的相似度即可；利用聚类算法进行反复迭代，直至达到聚类停止条件，最后输出簇集合以描述网络流所对应的应用层协议的分类信息。2.根据权利要求1所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述预处理的具体步骤包括：(20)数据过滤与排序：通过对采集的网络流量数据进行过滤得到具有应用层协议数据负载的网络流量，然后依据IP地址、端口号等信息排序将可能属于同一个流的网络流量聚在一起；(21)流重组：将属于同一条网络流中的网络流量进行合并；(22)应用层协议数据提取：在经过流重组后的网络流中提取出应用层协议数据。3.根据权利要求2所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述数据过滤的具体步骤包括：通过读取所述网络流量数据的数据链路层帧头中FrameType字段将非IP数据包过滤，通过读取所述网络流量数据的网络层IP数据包首部Protocol字段将非TCP和非UDP数据包过滤。4.根据权利要求3所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述排序的具体步骤包括：依据同一条网络流包含的数据包IP地址和端口号...

【专利技术属性】
技术研发人员：洪征，龚启缘，冯文博，李毅豪，林培鸿，周振吉，付梦琳，
申请(专利权)人：中国人民解放军陆军工程大学，
类型：发明
国别省市：江苏,32