[发明专利]一种基于机器学习加速的网络流量分类方法

权利要求书

1.一种基于机器学习加速的网络流量分类方法，其特征在于，所述基于机器学习加速的网络流量分类方法利用网络流数据的特征向量，将待识别网络流数据的特征作为监督学习的输入；训练网络流量协议识别模型，从中提取的协议匹配规则实现网络流量协议识别功能；同时结合深度包检测方法，兼顾识别的速度与准确度；

所述基于机器学习加速的网络流量分类方法具体包括：

第一步，收集网络流量，定义网络流；

第二步，提取网络流特征；网络流特征即为从流中提取的统计数值；对于每个流，这些特征被分为传入和传出方向的向量；并且对于每个向量计算以下值：最小值，最大值，平均值，方差和元素数量；构成特征向量；网络流特征为持续时间，数据包数量，数据包大小，载荷大小及数据包的时间间隔；任意长度的流被转换为模为56的特征向量组；

第三步，根据待识别网络流量协议样本构建训练集；给每一种待识别网络流量协议分配一个标签，并给予该网络流量协议中每一个流相同的标签，同时提取流的特征向量，将标签和特征向量一一对应，存入训练集中；

第四步，确定当前环境最优的监督学习算法，将训练集输入几种常见的监督学习模型中进行训练；根据各种监督学习模型在当前实际环境中的分类效果和所用时间进行横向比较，确定出最优的监督学习算法；

第五步，根据选定的监督学习算法的模型测试结果确定模型参数；

第六步，利用训练完成的分类模型生成分类器；

第七步，从分类器中提取匹配规则；

第八步，加载匹配规则，设置时间阈值；超过设置时间阈值的匹配规则将会被原生方案所替换；

第九步，系统对待识别网络流量协议进行匹配分类，根据协议在规则中的表现来确定协议所属类别，输出分类结果；

第十步，根据输出的分类结果，将待检测的样本流指引到相应的协议解析器，完成快速解析；

第十一步，分类超时或者分类错误的样本输入到深度包模块进行检测，进行协议识别分类和解析。

2.如权利要求1所述的基于机器学习加速的网络流量分类方法，其特征在于，所述第一步中网络流由一个完整TCP会话中包含的数据包组成；在一个流中，所有数据包将来自或前往相同的目标IP地址和端口。