[发明专利]一种基于自主学习的网络业务识别方法

说明书

技术领域

本发明涉及互联网业务识别技术领域，特别涉及一种基于自主学习的网络业务识别方法。

背景技术

随着通信技术和网络技术的飞速发展，如P2P（Peer-to-Peer）和VoIP（Voice over IP）等技术，各种网络上承载的业务种类也越来越丰富。由于现有业务的多样性和网络上业务流量的不确定性，网络运营商需要对进入运营商网络的业务流量进行有效识别，并实施相应的管理控制策略，进而提高网络资源的利用率。因此，业务识别技术应运而生。

深度包检测技术（DPI，Deep Packet Inspection）是一种常见的通过检测数据流量包来识别业务流量的流量检测和控制技术。目前存在的DPI方法主要有：基于特征的识别和基于流量统计的识别等。基于特征检测的识别方法通过检测具有独特的特征字节或固定的端口来识别业务流，该方法识别过程简单快速，适用于纯文本流量和端口固定的流量的识别。基于流量统计的识别方法通过统计流量的特征来识别业务流，适用于纯文本流量和加密流量的识别，其精确度很大程度上依赖于训练数据库的大小。

然而，业务通常会更新版本，当一个新的业务版本改变了其中一个流量的特征或改变端口时，可能导致该流量无法识别；网络业务中也存在加密/混合、迂回等未知流量，而现有的业务识别技术大多不能同时对这些未知流量进行快速准确的识别，并且通常需要经过人工分析和标记才能实时更新统计数据集。因此，找到一种针对网络多业务系统的业务流量识别技术，实现基于业务流的控制成为一种迫切需求。

发明内容

有鉴于此，本发明的目的是提供一种基于自主学习的网络业务识别方法，能够快速准确的识别加密/混合、迂回等未知流量，无需人工分析和标记就能对业务流的特征向量进行实时的更新，从而加强流量的控制和管理。

为实现上述目的，本发明的技术方案是：一种基于自主学习的网络业务识别方法，包括一离线训练阶段和一在线识别阶段，具体包括以下步骤：

步骤S1：在所述离线训练阶段，对已识别的业务流的流量数据的特征进行统计训练，构造所述已识别的业务流的8元组的统计特征向量，并存储到训练数据库中；

步骤S2：在所述线识别阶段中，对于每一个待识别的新业务流，统计足够数量的数据，计算其流量数据的特征，构造8元组的统计特征向量；若所述新业务流能够采用基于特征检测的方法被识别出来，则停止处理所述新业务流并删除其统计特征向量；若新业务流不能被识别，则进入步骤S3；

步骤S3：将步骤S2中获得的新业务流的统计特征向量与训练数据库中存储的已识别的业务流的统计特征向量进行基于欧氏距离和余弦相似性的指标匹配；

步骤S4：判断所述指标是否满足阈值，若满足则表示所述新业务流与所述已识别的业务流匹配成功，更新训练数据库中对应业务流的统计特征向量；若不满足则表示所述新业务流与所述已识别的业务流匹配失败，在训练数据库中添加该新业务流。

进一步地，所述步骤S1和步骤S2中8元组的统计特征向量F为(v₁,v₂,…,v₈)：v₁表示整个业务流的流量数据包的平均大小；v₂表示客户端向上传输到服务器的流量数据包的平均大小；v₃表示服务器向下传输到客户端的流量数据包的平均大小；v₄表示客户端和服务器之间的流量差异；v₅表示整个业务流的流量数据包大小的标准偏差；v₆表示向上传输过程中流量数据包大小的标准偏差；v₇表示向下传输过程中流量数据包大小的标准偏差；v₈表示香农熵。

进一步地，所述香农熵表示流量数据包中数据项的随机性，其计算公式为：，其中，H(X)表示所述流量数据包的熵，p_i表示给定数据项的出现概率，n表示给定流量数据包中所述给定数据项的数目。

进一步地，所述步骤S2中所述足够数量的数据为30个数据包或8KB字节数。