[发明专利]一种基于双向门控逻辑单元的分布式应用程序加密流量分类方法

权利要求书

1.一种基于双向门控逻辑单元的分布式应用程序流量分类方法，其特征在于，包括以下步骤：

(1)采集并标注原始流量负载数据，得到经过标注的分布式应用程序流量负载数据：使用浏览器访问分布式应用，利用抓包工具捕获网络流量以pcap格式保存在数据服务器上，再对这些网络流进行标注；

(2)预处理：基于经过标注的负载数据，将其按照会话切分成流，再将每道流预处理成流量序列；

(3)构建模型：构建依次由连续四个双向门控逻辑单元层、全连接层、softmax层组成的神经网络模型；

(4)对模型进行训练；

(5)将训练好的模型验证于真实网络节点部署；

(6)对真实网络中的分布式应用程序进行分类，将经过步骤(2)预处理过的真实网络流量序列输入训练好的模型，并将流量分为步骤(1)采集并标注过的分布式应用程序；

(7)保存部分步骤(2)采集的真实数据作为已有数据，用于下个时间点对模型的评估与更新。

2.根据权利要求1所述的一种基于双向门控逻辑单元的分布式应用程序流量分类方法，其特征在于：所述步骤(2)预处理的具体过程为：

首先，将所有网络流量按照类别划分为Y{Y₁,Y₂,…,Y_i,…Y_n}，其中Y_i表示对应标签为i的分布式应用程序，n表示分布式应用程序总类别数。

其次，以会话作为切割标准，将Y_i对应的流量切分成若干条子流并导出到相同的CSV文件中，CSV文件中的每一行都包含从数据包中获取的信息，包括时间戳、源IP、目的IP、数据包长度；

再次，Y_i的所有子流经过以下步骤处理成新的序列：

①从Y_i对应的CSV文件中提取每个子流的记录，其中包括了流中每个数据包的成对列表：{数据包长度，时间戳，源IP，目的IP}；

②将子流中每个数据包时间戳减去第一个数据包时间戳来规范化所有时间戳值；

③通过源IP和目的IP生成数据包方向序列D{d₁,d₂,…,d_j,…,d_m},其中d_j∈{-1，+1}，用以标注数据包的方向,并以此修改数据包长度序列，m表示数据包方向序列长度；

④设置时间间隔T与流量序列长度L，将一道流中每隔T时间内的数据包长度累加起来，生成长度为L、时间跨度为L*T的流量序列；

⑤将流中还未处理的数据包继续按照步骤②③④处理；

⑥最后剩下的流量序列长度若小于或等于L/2,则舍弃；若大于L/2，则末尾补0；

最后，得到流量序列集合F{F₁,F₂,…,F_i,…,F_n}，它们对应的标签Y{Y₁,Y₂,…,Y_i,…,Y_n}，F_i表示分布式应用程序Y_i的全部流量序列。