[发明专利]一种用于网络流量识别的流量数据公共特征提取方法

说明书

本发明了公开了一种用于网络流量识别的流量数据公共特征提取方法，目的是解决网络流量数据公共特征快速提取问题。技术方案是先构建网络流量数据公共特征提取系统。该系统从流量数据文件读取网络数据报文，生成网络流链表；对网络流链表中的元素分别构建流数据序列；根据特征子序列参数将流数据序列截取为不同长度的特征子序列，根据特征子序列生成流特征树；对每个节点计算特征子序列的长度和每个特征子序列在流数据序列中出现的概率，从计算节点概率后的流特征树中提取出符合特征序列限定参数条件的公共特征序列。采用本发明能满足目前网络流量识别对于公共特征提取的速度和准确性的要求。

技术领域

本发明属于网络应用流量识别技术领域，尤其涉及一种用于网络流量识别的流量数据公共特征提取方法。

背景技术

随着计算机网络技术的发展，网络流量数据公共特征成为网络流量分析和分类的有效技术手段。网络流量数据公共特征是指同一类网络流量中共同包含的字节序列。图1为现有网络流量识别方法与网络流量数据特征提取的关系示意图。如图1所示，现有的网络流量识别方法包括以下步骤：

第一步，从已识别的网络流量数据中获取已识别报文数据；

第二步，对已识别报文数据进行网络流量公共特征提取，得到网络流量数据公共特征；

第三步，根据网络流量数据公共特征对网络流量进行识别。

由以上步骤可知，网络流量数据公共特征提取是利用网络流量数据特征进行网络流量识别的基础。

目前网络流量数据公共特征提取方法主要采用最长公共子序列算法LCS(LongestCommon Subsequence)，LCS方法存在如下缺陷：

1)用于网络流量识别的流量特征需要从大量的已识别流量数据序列中找出出现概率最高的公共特征，而最长公共子序列算法每次计算只能获取2个数据序列的公共子序列，导致要从大量的已识别流量数据序列中找出出现概率最高的公共特征，须经过多次两两数据序列比对，计算量呈指数增长，计算复杂、计算速度慢，因此无法满足网络流量识别的速度需要。

2)最长公共子序列算法主要用于计算2个数据序列最长公共子序列，对于不同子序列在流量数据中的出现概率等无法统计，导致无法确定提取的公共子序列是否为网络流特征。

如何从大量网络流量数据中快速、准确地提取到网络流量数据公共特征是网络流量识别领域技术人员极为关注的技术问题。

发明内容

本发明要解决的技术问题是提出一种应用于网络流量识别的流量数据公共特征提取方法，解决网络流量数据公共特征快速提取问题，为基于流量数据公共特征提取的网络流量识别提供支撑。

本发明从已识别流量数据文件(可以使用UNIBS-2009网络流量数据集(netweb.ing.unibs.it/～ntw/tools/traces)或者CAIDA网络流量数据集(www.caida.org/data/overview/))中提取出每种流量的公共特征，满足目前网络流量识别对于公共特征提取的速度和准确性的要求。

本发明包括以下步骤：

第一步，构建网络流量数据公共特征提取系统。该系统由流重组部件、流数据序列构建部件、特征子序列提取部件、流特征树构建部件、特征子序列概率统计部件、特征序列输出部件、参数配置文件组成。