[发明专利]一种网络用户行为判别系统

说明书

技术领域

本发明属于网络管理与网络安全技术领域，特别是涉及一种网络用户行为判别系统。

背景技术

Internet上的网络应用日新月异。除了基于常见的、标准的应用层协议的各种应用以外，还大量出现各种非标准协议的应用，特别是采用了加密协议的应用。加密技术的日益成熟，使应用数据的保密性得到极大的提高。对于加密应用，即使网络管理人员采集到了用户产生的数据，也难以进行破译，得到用户的有效信息。此外，网络应用的功能也趋于多样化，一个应用往往提供了数种功能。面对这种情况，网络管理人员和研究人员将关注的重点提升到用户的行为层面，希望可以通过研究网络应用产生的数据，判断用户对应时刻使用的网络应用及具体功能。

发明内容

本发明的目的在于克服现有技术的不足，提供一种网络用户行为判别系统，该系统利用不同网络应用在用户不同行为下，产生的流量的统计特征存在的差异，对未知行为产生的流量数据进行分类。

为解决上述问题，本发明提供的技术方案是：一种网络用户行为判别系统，其特征在于，包括网络应用数据采集模块、数据流量聚类模块、数据流量特征提取模块、用户行为判别模型；

所述的网络应用数据采集模块用于采集流量数据并传递给数据流量聚类模块；

所述的数据流量聚类模块用于将流量数据进行分割、计算、聚类，再将所得流量数据传递给数据流量特征提取模块；

所述的数据流量特征提取模块用于对流量数据进行计算其特征，将流量数据特征传递给网络应用数据采集模块；

所述的网络应用数据采集模块用于将采集到的流量数据特征传递给用户行为判别模型；

所述的用户行为判别模型用于对流量数据进行训练和判别。

进一步地，所述的网络应用数据采集模块的采集过程是以人工或脚本的形式对某一网络应用进行单一操作，采集此过程中产生的数据流量，并提取出每一个数据包的时间戳和长度信息。网络应用数据采集模块可以根据实际需求，在设定的频率范围内，以设定的时长范围，运行指定的网络应用，模拟正常用户的特定操作，产生并采集网络应用的流量数据。本模块还可以采集真实用户在使用网络应用时产生的数据。同时，本模块负责对流量数据进行标记，记录每一条流量数据对应的网络应用和用户行为，并提取出每一个数据包的时间戳和长度两个信息。用户重复使用某一网络应用进行某一操作时产生的所有流量数据构成了原始样本集。

进一步地，所述的数据流量聚类模块将网络应用数据采集模块采集到的数据流量，按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个标准，对数据流量进行分离，并在时间上进行分割，同时利用动态时间规整技术计算流量数据之间的距离。

进一步地，所述的数据流量聚类模块利用层次聚类技术对数据流量进行聚类，并在聚类结果的每一类里选择一个代表性流量。

进一步地，所述的数据流量聚类模块还针对网络用户各种行为重复运行，以获取网络用户各种行为下产生的数据流量样本。

数据流量聚类模块将流量数据根据IP地址，按从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向进行分离，分离之后每一条数据流量会产生三条数据流量。对于分离后的每一条流量，本模块以秒为间隔单位对其进行分割。对于持续时间为L秒的流量数据，模块将其分割为序列{f₁,f₂,…，f_i,…，f_L}，其中f_i代表了截止到i时刻的数据量之和。

本模块利用动态时间规整技术计算两个数据流f的距离。以计算数据流f₁、f₂之间的距离为例，具体过程为：

(1)根据IP地址，将fL(L＝1、2)分割为分别代表从客户端到服务器、从服务器到客户端、客户端与服务器双向往返三个方向的数据流；

(2)利用动态时间规整技术计算与的距离d¹,与的距离d²,与的距离d³。数据流f1、f2之间的距离定义为d＝0.35×d¹+0.35×d²+0.3×d³。

本模块以上述计算方式计算原始样本集流量数据两两之间的距离，利用层次聚类技术，根据原始样本集中的流量数据两两之间的距离，对原始样本集进行聚类。在完成聚类之后，本模块在聚成一类的所有样本中选取具有代表性的流量样本，选取的原则是，代表性流量样本应该满足“到同一类中其他流量样本的距离之和最小”的要求。