[发明专利]一种基于自适应聚类的未知应用层协议识别方法

权利要求书

1.一种基于自适应聚类的未知应用层协议识别方法，其特征在于，包括步骤：

(1)对采集的网络流量数据进行预处理，提取其中的应用层协议数据；

(2)选取每条应用层协议数据前部的一段固定长度的数据作为相似度计算的输入，计算出应用层协议数据间的相似度；

(3)对提取出的应用层协议数据进行簇初始化处理，将每一条应用层协议数据单独划为一个簇，将步骤(2)计算出的应用层协议数据间的相似度作为初始的簇间相似度进行簇初始化，将初始化获得的簇类集合进行簇间相似度计算，在计算簇间相似度过程中，当需要计算应用层协议数据间的相似度时，直接查询步骤(2)计算出的应用层协议数据间的相似度即可；利用聚类算法进行反复迭代，直至达到聚类停止条件，最后输出簇集合以描述网络流所对应的应用层协议的分类信息。

2.根据权利要求1所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述预处理的具体步骤包括：

(20)数据过滤与排序：通过对采集的网络流量数据进行过滤得到具有应用层协议数据负载的网络流量，然后依据IP地址或端口号排序将可能属于同一个流的网络流量聚在一起；

(21)流重组：将属于同一条网络流中的网络流量进行合并；

(22)应用层协议数据提取：在经过流重组后的网络流中提取出应用层协议数据。

3.根据权利要求2所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述数据过滤的具体步骤包括：通过读取所述网络流量数据的数据链路层帧头中FrameType字段将非IP数据包过滤，通过读取所述网络流量数据的网络层IP数据包首部Protocol字段将非TCP和非UDP数据包过滤。

4.根据权利要求3所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述排序的具体步骤包括：

依据同一条网络流包含的数据包IP地址和端口号相同的原理，按照IP数据包首部源IP、目的IP、源端口号、目的端口号中的任何一个对网络流量进行排序，将可能属于同一个流的网络流量聚在一起。

5.根据权利要求4所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述流重组的具体步骤包括：

对于TCP流，根据TCP首部SYN和FIN标志位识别TCP流的开始和结束，而后利用TCP首部的序列号和TCP数据包负载数据长度的关系将到达的数据包重新整合为一条有序流；

对于UDP流，设置流最大持续时间，以数据包的发送时间作为UDP流的开始和结束标志，从捕获的第一个包含应用层数据的UDP数据包开始，以该数据包的发送时间为流开始时间，每捕获一个数据包，就计算其发送时间与流开始时间之差，如果该差值小于流最大持续时间，则捕获的数据包属于该UDP流；如果该差值大于流最大持续时间，则认为该UDP流已经结束，捕获的UDP数据包属于下一条UDP流。

6.根据权利要求2所述的一种基于自适应聚类的未知应用层协议识别方法，其特征在于，所述簇间相似度计算步骤包括：

(60)对于任意两个簇C1、C2，C1＝{A1，A2，…，An}，C2＝{B1，B2，…，Bm}，首先计算簇C1内每一条应用层协议数据Ai与簇C2的相似度：

其中，similar(Ai，Bj)表示应用层协议数据Ai对应用层协议数据Bj的相似度，similar(Ai，Bj)的值通过查询步骤(2)的计算结果得到，m为簇C2中包含的应用层协议数据的总数，n为簇C1中包含的应用层协议数据的总数；

(61)计算C1对C2的相对相似度：

(62)根据步骤(60)和(61)，同理计算C2对C1的相对相似度similar(C2，C1)；

(63)最后计算簇C1与簇C2间的相似度为：(similar(C1，C2)+similar(C2，C1))/2。