[发明专利]网络流应用类型识别的方法、装置及计算机可读存储介质

说明书

本发明公开了一种网络流应用类型识别的方法，包括：实时接收网络数据包，根据所述网络数据包的特征提取待识别的网络数据流，并提取所述待识别的网络数据流的特征；根据所述待识别的网络数据流的特征和预设的应用分类模型识别所述待识别的网络数据流的应用类型，所述应用分类模型根据接收到的网络数据流的特征训练得到；其中，所述网络数据流的特征包括数据包长度特征、数据包时间特征和数据包服务类型特征。本发明还公开了一种网络流应用类型识别装置和计算机可读存储介质。本发明通过对网络数据流的行为特征的统计和分析，实现了无需探测网络数据包的内容而识别出网络流应用类型，尤其适用于加密网络数据流的识别。

技术领域

本发明涉及计算机技术领域，尤其涉及一种网络流应用类型识别的方法、网络流应用类型识别的装置及计算机可读存储介质。

背景技术

网络流识别技术是当前网络流管理、服务质量与安全防护的关键技术。它能够通过识别网络中数据流的应用类型，依据管理策略对流量进行过滤，也可以根据网络流的行为表现，探测网络流中具有攻击性的流量，对网络进行有效地防护。

最早期的网络流识别方法是一种基于端口的识别方法，也就是说依据网络流的端口号，对其应用类型进行判断，譬如，HTTP流量的端口为80，SSL端口流量的端口为443等。但是目前大多数网络应用已采用动态端口(譬如P2P网络流)，此方法已很难准确地对网络流量进行识别。此后所出现的DPI(Deep Packets Inspection,深度包检测)也一度在工业界被广泛地使用。它通过探测网络流中部分数据包的有效载荷内容，进而识别其应用类型。这种方式不仅对于人力和时间成本要求高，而且由于加密网络流所传输的有效载荷内容是非透明的，很难进行识别。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种网络流应用类型识别的方法、网络流应用类型识别的装置和计算机可读存储介质，旨在解决现有技术中无法有效识别加密网络流的应用类型的技术问题。

为实现上述目的，本发明提供一种网络流应用类型识别的方法，所述网络流应用类型识别方法包括如下步骤：

实时接收网络数据包，根据所述网络数据包的特征提取待识别的网络数据流，并提取所述待识别的网络数据流的特征；

根据所述待识别的网络数据流的特征和预设的应用分类模型识别所述待识别的网络数据流的应用类型，所述应用分类模型根据接收到的网络数据流的特征训练得到；

其中，所述网络数据流的特征包括数据包长度特征、数据包时间特征和数据包服务类型特征。

优选地，所述网络数据流的特征包括：

所述数据包长度特征包括所述网络数据流的最大数据包长度、最小数据包长度、平均数据包长度和数据包长度方差；

所述数据包时间特征包括所述网络数据流的数据包到达最大间隔时间、数据包到达最小间隔时间、数据包到达平均间隔时间、数据包到达间隔时间方差和数据流平均持续时间、数据包传输中断时间和数据包传输空闲时间；

所述数据包服务类型特征包括数据包服务类型标识比特数、携带服务类型标识的数据包数量和各个所述服务类型标识的数据包数量。

优选地，所述实时接收网络数据包，根据所述网络数据包的特征从所述网络数据包中提取出待识别的网络数据流，并提取所述待识别的网络数据流的特征的步骤之前还包括：

获取已识别的网络数据流，并提取所述已识别的网络数据流的特征；

根据所述已识别的网络数据流的特征训练应用分类模型，并将训练完毕的所述应用分类模型作为预设应用分类模型。

优选地，所述根据所述已识别的网络数据流的特征训练应用分类模型的步骤包括：