[发明专利]网络流量识别方法、设备及计算机存储介质

权利要求书

1.一种网络流量识别方法，其特征在于，所述方法包括：

预处理采集到的网络数据，提取每一个网络会话的特征信息，生成流量日志；

基于所述流量日志，构建预设时间段内的第一形式流量图，其中，所述第一形式流程图包括客户端节点、服务器端节点以及服务器端节点与客户端节点之间表示数据流的边；

在所述第一形式流量图中增加构建服务器端节点之间相关性的相关边，生成第二形式流量图，其中，所述服务器端节点之间相关性由节点时间关联度表示，所述节点时间关联度由两个节点之间的共同活跃时间确定，其中，所述共同活跃时间是指两个服务器节点同时与一个客户端节点产生会话的时间；

利用所述第二形式流量图的数据对图神经网络进行训练，生成网络流量识别模型；

将未知流量转换为第二形式流量图输入所述网络流量识别模型；

所述网络流量识别模型将未知流量的第二形式流量图和自身学习到的图模式进行匹配；

当匹配程度大于预设阈值时，则判定所述未知流量对应的图模式，从而确定未知流量对应的网络应用；

其中，所述利用所述第二形式流量图的数据对图神经网络进行训练，包括：

归集所述第二形式流量图预设范围内的数据；其中所述预设范围内的数据包括节点特征、邻居节点特征以及邻居边特征；

对所述预设范围内的数据进行卷积计算，利用以下公式：

其中，表示第层中节点的特征，为一个向量；为一个非线性函数relu；为节点的邻居节点；为归集函数，表示归集邻居特征的方式；为权重参数，函数得出最后输出的下一层对应节点的特征。

2.如权利要求1所述的网络流量识别方法，其特征在于，所述增加构建所述服务器端节点之间相关性的相关边，包括：

根据预设方法计算所有服务器端节点之间的相关性；

基于所述相关性，根据预设条件构建相关边。

3.如权利要求1所述的网络流量识别方法，其特征在于，所述流量日志为数据流的参数。

4.如权利要求1所述的网络流量识别方法，其特征在于，所述特征信息包括以下至少之一：

开始时间、持续时间、字节数序列、互联网协议地址、端口号。

5.如权利要求1所述的网络流量识别方法，其特征在于，所述利用所述第二形式流量图的数据对图神经网络进行训练，还包括：

将训练生成的识别结果与标注的数据进行比对；

将比对的结果反向传播，更新所述图神经网络内部的参数。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有网络流量识别程序，所述网络流量识别程序被处理器执行时实现权利要求1-5任一所述的方法的步骤。

7.一种网络流量识别设备，其特征在于，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络流量识别程序，所述处理器执行所述网络流量识别程序时实现权利要求1-5任一所述的方法的步骤。