[发明专利]一种基于GRU网络的协议流量识别方法

说明书

本发明公开了一种基于GRU网络的协议流量识别方法，包括以下步骤：对不同协议流量样本进行数据预处理，得到符合GRU网络输入数据格式的训练样本集，并使用该训练样本集对GRU网络模型进行训练；对未知协议流量进行数据预处理，得到具有时间序列的空间位置特征数据，并输入至训练完成的GRU网络模型中；使用训练完成的GRU网络模型对数据预处理后的未知协议流量进行识别，最终得到预测标签。本发明通过数据预处理完成数据包的特征提取，能够有效克服人工提取特征的困难；而且，GRU网络模型的构建和使用，有效提高了协议识别的准确率；另外，流量交互过程中的信息，因为涉及空间位置特征、时序特征两个层次，使得协议流量识别的效果更加显著。

技术领域

本发明涉及计算机网络流量分析领域，更具体地，涉及一种基于GRU网络的协议流量识别方法。

背景技术

协议流量识别是指通过人工分析或自动化手段从TCP/IP协议承载的网络流量中提取出能够标识网络协议的关键特征，然后以这些特征为基础准确标识网络流量所隶属的协议。协议识别技术有助于对网络流量的组成进行分析，能够为网络管理与维护、网络内容审计、网络安全防御等多个研究领域提供数据支撑。但是面对如今大规模、多元化、高容量的网络流量，如何提高协议识别的准确率是一项巨大的挑战。

协议流量识别方法主要包括基于预设规则的协议识别方法、基于载荷特征的协议识别方法、基于主机行为的协议识别方法以及基于机器学习的协议识别方法四种。深度学习在分类方面存在着优势，不过现有的协议流量识别方法也存在着人工提取特征困难的问题。

在现有技术中，公开号为CN107682216A的中国发明专利，于2018年02月09日公开了一种基于深度学习的网络流量协议识别方法，利用网络流数据与图像的相似性，绕过流量特征值选择和提取的工作，直接将网络流数据作为卷积神经网络的输入，进行监督学习，训练网络流量协议识别模型，实现网络流量协议识别功能。虽然该方案将待识别网络流量协议样本用于对卷积神经网络的训练，便能在一定程度上自动提取到有利于分类任务的特征，但是并未解决现有人工提取特征困难、协议识别准确率不高的问题，因此，用户急需一种基于GRU网络的协议流量识别方法。

发明内容

本发明为解决现有人工提取特征困难、协议识别准确率不高的问题，提供了一种基于GRU网络的协议流量识别方法。

本发明的首要目的是为解决上述技术问题，本发明的技术方案如下：

一种基于GRU网络的协议流量识别方法，包括以下步骤：

S1：对不同协议流量样本进行数据预处理，得到符合GRU网络输入数据格式的训练样本集，并使用该训练样本集对GRU网络模型进行训练；

S2：对未知协议流量进行数据预处理，得到具有时间序列的空间位置特征数据，并输入至训练完成的GRU网络模型中；

S3：使用训练完成的GRU网络模型对数据预处理后的未知协议流量进行识别，最终得到预测标签。

优选地，步骤S1、S2中所述数据预处理包括流量切分、数据包聚类、会话数据转换。

优选地，所述流量切分的基本单元为会话。

优选地，所述数据包聚类采用K均值算法进行。

优选地，所述会话数据转换是将流量切分后的各数据包的内容格式替换为距离集合，所采用的距离计算公式为：

其中，Max Subsequence函数为各数据包与各聚类中心之间的最长公共连续序列识别算法；D_(x,centroid)为各数据包与各聚类中心的距离。

优选地，所述GRU网络模型包括输入层、Masking层、第一GRU层、第二GRU层、全连接层、输出层；其中：