[发明专利]一种基于网络流引力聚类的流量识别方法

说明书

技术领域

本发明是一种基于网络流引力聚类的流量识别方法，主要用于解决当前网络流量识别方法所存在效率偏低、实时性较差、精确度和精细度不高的问题，属于网络安全管理领域。

 

背景技术

当前网络安全管理的发展趋势之一就是提供区分服务并给予不同的服务质量保障，而其前提就是要对网络流量中的各种不同业务类型应用能够正确有效地识别。优秀的业务识别技术不但可以极大提高网络管理的能力，还能从一定程度上预测网络的未知流量。流量识别可运用于网络测量、网络管理、内容审计、舆情监控、服务质量管理等各个模块部分中。现有的流量识别方法主要有：端口识别法，DPI(Deep Packet Inspection,深度包)识别法，DFI(Deep Flow Inspection,深度流)识别法，通信行为识别法和机器学习识别法。

1.        基于端口的识别方法

端口识别法通过建立常用端口和网络应用的对应表，如表1所示，对网络流量的识别只需完成一个映射过程。

表1常用端口-应用表

端口号协议类型应用类型21FTP文件传输23Telnet远程登录25SMTP电子邮件69TFTP简单文件传输（Trivial FTP）80HTTP万维网（WWW）110POP3远程电子邮件访问161SNMP简单网络管理443HTTPS安全超文本传输

基于端口的网络流量应用识别方法，没有复杂的算法过程，所以便捷迅速，对于传统流量应用识别率高，但该方法有很多局限性：1）网络业务应用的端口号可能不在IANA注册端口表中注册，并对公众保密；2）有些应用的通信端口未绑定因而可人工修改，或者虽在端口表上有注册，但为了突破管辖限制，特意使用其它的端口号替代进行规避；3）有些网络流量由于加密安全缘故是无法在IP层获取其端口信息的。

2.      基于DPI的识别方法