基于网络流量的多域网包分类方法技术

本发明专利技术涉及网络过滤和监控技术领域，其特征在于它包括以下步骤：接收到达的网包；采集网包包头信息；统计及归一化网络流量特性；计算单元根据设定的规则集合及网络流量统计特性得出网包分类结构；网包分类单元获取网包包头信息并以计算单元得到的分类器数据结构对网包进行分类；发送单元按照分类结果发送输出队列中的网包。本发明专利技术是基于微处理器通用平台或网络处理器专用平台实现的，结合了网络流量动态统计特性和规则集合的静态结构特性，优化了网包分类方法，比当前国内外同类方法提高了８０～４００％的平均分类速率，同时内存需求降低了３０～６００％。

【技术实现步骤摘要】

【技术保护点】
基于网络流量的多域网包分类方法，其特征在于：该方法是基于微处理通用平台或网络处理器专用平台实现的，依次具有以下步骤：步骤１．网包接受单元接受输入网包：该单元的网卡接受到达的网包并解析网包包头信息后，再向该单元的动态缓冲存储器 的缓存队列内输出网包包头信息的内容；步骤２．采样单元依据是定的采样间隔对网包接包单元输出的网络包头信息做网络流量特性统计，并按照更新时刻对所统计的信息做归一化处理后得到流量的先验分布，步骤２所述的方法依次含有以下步骤：步骤２ ．１．采样：所述采样单元内的处理器按照设定的采样间隔Ｎｓ从输入的网络包头信息队列中的每Ｎ个连续到达的网包中抽取一个五元组包头信息作为一个采样样本，每个采样样被是一个由下述五个域组成的数据组：３２位源ＩＰ地址，用ｉｎｔ３２ ｓＩＰ表示，ｉｎｔ表示整数类型，下同；３２位目标ＩＰ地址，用ｉｎｔ３２ｄＩＰ表示；１６位源端口，用ｉｎｔ１６ｓＰｏｒｔ表示；１６位目标端口，用ｉｎｔ１６ｄＰｏｒｔ表示；８位协议，用ｉｎｔ８ｐｒ ｏｔｏｃｏｌ表示；步骤２．２．记录统计量：所述统计量包括：每一个Ｂ类网段源ＩＰ地址在所述采样样本中出现的次数，用ｉｎｔ３２ｓＩＰ［６５５３６］表示，所述Ｂ类网段是指３２位ＩＰ地址的前１６位，下同；每一个Ｂ 类网段目标ＩＰ地址在所述采样样本中出现的次数，用ｉｎｔ３２ｄＩＰ［６５５３６］表示；每一个源端口在所述采样样本中出现的次数，用ｉｎｔ３２ｓＰｏｒｔ［６５５３６］表示；每一个目标端口在所述采样样本中出现的次数，用ｉｎｔ ３２ｄＰｏｒｔ［６５５３６］表示；每一个协议在所述采样样本中出现的次数，用ｉｎｔ３２ｐｒｏｔｏｃｏｌ［２５６］表示；步骤２．３．归一化：在分类器数据结构更新时，对统计量数据结构进行归一化得到先验分布，该先验分 布的数据结构为下述二维数组：ｆｌｏａｔＰｒｉｏｒ［ｉ］［ｊ］，所述Ｐｒｉｏｒ［ｉ］［ｊ］为每个域归一化统计量，其中，ｉ＝０，１，２，３，４，一次分别对应源ＩＰ地址，目标ＩＰ地址，源端口，目标端口和协议域；ｊ＝０，…，６５ ５３５；对于源ＩＰ地址：Ｐｒｉｏｒ［０］［ｊ］＝Ｓｔａｔｓ．ｓＩＰ［ｊ］／＊Ｓｔａｔｓ．ｓＩＰ［ｋ］，Ｓｔａｔｓ表示统计量，下...

【技术特征摘要】

【专利技术属性】
技术研发人员：亓亚烜，李军，
申请(专利权)人：清华大学，
类型：发明
国别省市：11[中国|北京]