本发明专利技术实施例涉及一种流量识别方法及装置,该方法包括:根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向量机行为特征预测模型;根据支持向量机预测算法和预测模型获取待识别通信数据流所属的协议类别。本发明专利技术实施例能够准确识别各种类型应用层协议,减少了人工分析建模的工作量,提高识别效率,识别过程简单,减少了行为特征模型失效的问题,对网络延迟等影响数据流行为模式的因素具有较强的抗干扰性。
【技术实现步骤摘要】
本专利技术涉及通信技术,尤其涉及一种流量识别方法及装置。
技术介绍
为了控制网络应用对带宽的占用,需要对数据流量进行有效分析和监控,对数 据流量进行分析和监控的过程可分为流量采集,流量识别和流量控制。其中,对采集到 的数据流量样本进行识别的过程主要是在应用层下对传输控制协议(Transfer Control Protocol ;以下简称TCP)或者用户数据报协议(User Datagram Protocol ;以下简称 UDP)进行识别,识别出属于某种特定协议的数据流,进而对识别出的数据流进行流量统计、 流量限制或阻断等操作。 现有技术的一种流量识别方法,首先采用人工分析软件根据数据流运行状态提取 的行为特征建立行为特征模型,然后实际网络通信过程中获取的待识别的数据流信息与已 建立的行为特征模型进行匹配,确定待识别数据流当前所处状态,并进一步判断待识别数 据流的之后的状态迁移,根据待识别数据流的状态迁移对应的各个状态识别出该数据流所 使用的协议。采用人工分析软件建模工作量大、容易出错,并且容易造成行为特征模型失 效,因此识别率较低。
技术实现思路
本专利技术的目的是提供一种流量识别方法及装置,用于解决现有技术建模工作量 大、易出错,实际的待识别数据流的状态迁移较快以及网络延迟导致行为特征模型失效及 识别率低的问题。 为实现上述目的,本专利技术实施例提供了一种流量识别方法,包括 根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向量机行为特征预测模型; 根据支持向量机预测算法和所述预测模型获取待识别通信数据流所属的协议类 别。 本专利技术实施例还提供了一种流量识别装置,包括 生成模块,用于根据支持向量机训练算法对数据包样本的特征向量进行训练,生 成支持向量机行为特征预测模型; 获取模块,用于根据支持向量机预测算法和所述预测模型获取待识别通信数据流 所属的协议类别。 因此,本专利技术实施例提供的流量识别方法及装置,采用支持向量机训练算法对数 据包样本的特征向量进行训练并生成行为特征预测模型,将提取的待识别通信数据流的特 征向量与预测模型进行模糊匹配,识别出待识别通信数据流所属的协议类别。能够准确识 别各种类型应用层协议,减少了人工分析建模的工作量,提高识别效率,识别过程简单,减 少了行为特征模型失效的问题,对网络延迟等影响数据流行为模式的因素具有较强的抗干扰性。 附图说明 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对本专利技术实施 例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据 这些附图获得其他的附图。图1为本专利技术一个实施例提供的流量识别方法流程图; 图2为本专利技术又一个实施例提供的流量识别方法流程图; 图3为本专利技术一个实施例提供的流量识别装置结构示意图; 图4为本专利技术又一个实施例提供的流量识别装置结构示意图。具体实施例方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于 本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本专利技术保护的范围。 图1为本专利技术一个实施例提供的流量识别方法流程图,如图1所示,该方法包括 S101、根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向 量机行为特征预测模型; 各种不同类型的软件运行时的数据流通常遵守不同的协议,在现网环境下,可 以抓取各种类型软件的各个功能场景产生的数据包作为支持向量机(support vector machine,以下简称SVM)训练算法的样本,例如登陆数据包、搜索数据包或下载流量数据 包等,各种类型数据包的总量可以根据需要抓取。从抓取的各种数据包中提取出数据流的 行为特征向量作为SVM训练算法的输入。提取数据流的行为特征向量类型和维度可以根据 软件类型进行确定,例如如果描述下载,文字聊天或网络通话等数据流行为,则可以提取 TCP包、UDP包、同步(synchronize ;以下简称SYN)包或PUSH包等各种类型的数据包个数 及平均间隔时间作为数据流行为特征向量;如果描述加密数据流和非加密数据流,可以提 取负载平均00个数,负载平均FF个数以及存在连续相同字节的数据包数作为数据流行为 特征向量,在此不一一列举。 提取数据包样本的行为特征向量之后,根据SVM训练算法对数据包样本的行为特 征向量进行训练,生成SVM行为特征预测模型。 S102、根据支持向量机预测算法和预测模型获取待识别通信数据流所属的协议类 别。 提取待识别通信数据流的行为特征向量,提取方法与提取数据包样本的行为特征 向量的过程类似,不再赘述。将已生成的SVM行为特征预测模型作为SVM预测算法的输入, 采用模糊匹配算法将实时数据流与SVM行为特征预测模型进行模糊匹配,从而识别出待识 别通信数据流所属的协议类别。 本实施例提供的流量识别方法,采用支持向量机训练算法对数据包样本的特征向量进行训练并生成行为特征预测模型,将提取的待识别通信数据流的特征向量与预测模型进行模糊匹配,识别出待识别通信报文所属的协议类别。能够准确识别各种类型应用层协议,减少了人工分析建模的工作量,提高识别效率,识别过程简单,减少了行为特征模型失效的问题,对网络延迟等影响数据流行为模式的因素具有较强的抗干扰性。 图2为本专利技术又一个实施例提供的流量识别方法流程图,该方法包括 S201、对各功能场景的待识别协议类型数据包和非待识别协议类型数据包进行预处理; 预处理的过程主要是对待抓取的数据包进行过滤,滤除与抓取的协议类型不相符 的数据包。 S202、提取经过预处理的待识别协议类型数据包样本和非待识别协议类型数据包 样本; 具体的,在现网环境下按功能场景来抓取待识别协议对应的软件产生的数据包作 为SVM训练算法的正样本,其中的功能场景可能对应待识别协议对应的软件运行的各个阶 段,例如登陆阶段,搜索阶段或下载阶段,对应的数据包则为登陆数据包,搜索数据包或下 载数据包。正样本数据包总量可以根据实际需要进行抓取,例如抓取1G字节等。按功能场 景抓取非待识别协议对应的软件产生的数据包作为SVM训练算法的负样本的过程与抓取 正样本类似,非待识别协议对应的软件可能为在待识别协议对应的软件运行的同时运行的 其他类型的背景软件,为了提高最终的协议识别率,可以尽可能选取大量各种类型的背景 软件。 S203、分别对提取的待识别协议类型数据包样本和非待识别协议类型数据包样本 进行等维度特征向量提取; 提取数据流的行为特征向量类型和维度可以根据待识别协议对应的软件类型进 行确定,可以选取发送方和接收方的互联网协议地址及端口 、各种类型数据包个数、上行包 和下行包个数、流中包总数、所述数据包平均间隔时间以及负载包含字节个数等作为特征 向量。以eMule软件为例,由于eMule软件产生的数据流具有动态端口且数据流为加密数 据流,因此,我们可以对如下行为特征向量进行提取 为了精确识别出客户机/服务器流量,提取发送方(Internet Protocol ;本文档来自技高网...
【技术保护点】
一种流量识别方法,其特征在于,包括: 根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向量机行为特征预测模型; 根据支持向量机预测算法和所述预测模型获取待识别通信数据流所属的协议类别。
【技术特征摘要】
一种流量识别方法,其特征在于,包括根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向量机行为特征预测模型;根据支持向量机预测算法和所述预测模型获取待识别通信数据流所属的协议类别。2. 根据权利要求1所述的方法,其特征在于,所述根据支持向量机训练算法对数据包 样本的特征向量进行训练之前,还包括提取所述数据包样本的特征向量。3. 根据权利要求2所述的方法,其特征在于,提取所述数据包样本的特征向量包括 对各功能场景的待识别协议类型数据包和非待识别协议类型数据包进行预处理; 提取经过预处理的待识别协议类型数据包样本和非待识别协议类型数据包样本; 分别对提取的所述待识别协议类型数据包样本和所述非待识别协议类型数据包样本进行等维度特征向量提取。4. 根据权利要求1 3任一项所述的方法,其特征在于,所述根据支持向量机训练算法对数据包样本的特征向量进行训练,生成支持向量机行为特征预测模型,包括 获取所述支持向量机训练算法的最优训练参数;根据所述支持向量机训练算法和所述最优训练参数对所述数据包样本的特征向量进 行训练,生成所述支持向量机行为特征预测模型。5. 根据权利要求1所述的方法,其特征在于,所述根据支持向量机预测算法和所述预 测模型获取待识别通信数据流所属的协议类别包括根据所述支持向量机预测算法解析及加载所述预测模型;对提取的所述待识别通信数据流的特征向量与所述预测模型进行模糊匹配,获取所述 待识别通信数据流所属...
【专利技术属性】
技术研发人员:张琰,沈华林,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:90[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。