[发明专利]无线流量判别方法

权利要求书

1.一种无线流量判别方法，包括：

步骤1)、捕获网络中的数据包，将所捕获的数据包匹配到相应的数据流上；

步骤2)、为所述数据流计算J-IAT归一化熵值，所述J-IAT归一化熵值用h(J)表示，所述其中J为所述数据流上相邻的两对非重发的数据包时间间隔Δ之差的绝对值，P＝{P₁，P₂...P_N}是J-IAT参数向量J＝{J₁，J₂...J_N}的概率向量，N是J-IAT参数向量基数；

步骤3)、将步骤2)计算得到的数据流的J-IAT归一化熵值与第一阈值加以比较，当所述数据流的J-IAT归一化熵值小于该第一阈值时，所述数据流为有线流量，否则为无线流量。

2.根据权利要求1所述的无线流量判别方法，其特征在于，所述步骤2)包括：

步骤2-1)、记录所述数据流中相邻两个数据包之间的时间间隔；

步骤2-2)、将所述时间间隔与第二阈值进行比较，以判别该时间间隔的有效性；

步骤2-3)、求所述数据流中两个相继的有效的时间间隔的差的绝对值，所得到的结果为一个J-IAT样本点；

步骤2-4)、重复前一步骤，得到所述数据流的J-IAT序列；

步骤2-5)、按照时间间隔将所述数据流的J-IAT序列的序列值分成多个小区间，统计所述数据流的J-IAT参数在每个区间上的频率，从而计算所述数据流的J-IAT归一化熵值。

3.根据权利要求1或2所述的无线流量判别方法，其特征在于，所述第一阈值通过一预计算操作得到，该预计算操作包括：

步骤a)、确定有线节点的IP集合EIP以及无线节点的IP集合WIP；

步骤b)、将从网络中捕获的数据包匹配到相应的数据流上；

步骤c)、在得到所述的EIP与WIP后，由所述数据流的源IP确定该数据流为有线流还是无线流；

步骤d)、计算所述数据流的J-IAT归一化熵值；

步骤e)、将属于有线流的数据流的J-IAT归一化熵值放入有线流的J-IAT归一化熵值集合E-JIAT中，将属于无线流的数据流的J-IAT归一化熵值放入无线流的J-IAT归一化熵值集合W-JIAT中；

步骤f)、以一定的步长遍历[0，1]阈值取值区间，在遍历过程中利用所述的E-JIAT、W-JIAT以及数据流的判定结果计算假阳率和真阳率，从而得到使得假阳率最低并且真阳率最高的阈值，该阈值为所述的第一阈值。

4.根据权利要求1或2所述的无线流量判别方法，其特征在于，在所述的步骤1)中，所捕获的数据包根据{源IP、目的IP、源端口、目的端口、协议类型}匹配到相应的数据流上。