本发明专利技术公开了一种混合网络流量的分类方法,通过提取待分类混合网络流量中与时间和负载相关的特征作为流量特征,由于与时间和负载相关的特征属于待分类混合网络流量的基础信息,不论何种协议的流量,都能够从该流量中提取上述特征。因此使用与时间和负载相关的特征作为流量特征,调用预先训练的异常检测模型和分类模型对待分类混合网络流量进行分类,可以实现对于已知混合网络流量进行有效的分类并对已知流量之外的流量进行检测。本发明专利技术还提供了一种混合网络流量的分类装置、一种混合网络流量的分类设备以及一种计算机可读存储介质,同样具有上述有益效果。同样具有上述有益效果。同样具有上述有益效果。
【技术实现步骤摘要】
一种混合网络流量的分类方法及相关装置
[0001]本专利技术涉及网络流量
,特别是涉及一种混合网络流量的分类方法、一种混合网络流量的分类装置、一种混合网络流量的分类设备以及一种计算机可读存储介质。
技术介绍
[0002]近年来,随着加密技术在网络应用中的广泛应用,流量加密已成为当今的标准做法,例如https(Hyper Text Transfer Protocol over SecureSocket Layer,是以安全为目标的HTTP通道)以及基于TLS(安全传输层协议)/SSL(Secure Sockets Layer,安全套接字协议)的即时通信、安全邮件等。然而,非加密的流量仍然占很大的一部分,例如部分网页和消息协议仍采用HTTP(超文本传输协议),大量的视频流、语音流量UDP(用户数据包协议)等。
[0003]因此,现实情况下的流量主要是混合网络流量,既有加密流量又有非加密流量,根据传输层协议的不同可分为TCP(传输控制协议)流量和UDP流量。然而,目前的分类器,并未将各种不同的混合网络流量的分类集中在一个分类器中进行判断。例如,对加密流量TLS/SSL的分类,均选取是采用该协议的几种应用类型进行分类。因此,如何需要对含有TLS、TCP、UDP等混合数据进行分类时,需要根据不同的流量训练多种分类器。预测模型时候,也要根据不同的流量类型而选择相应的分类器进行判断,该行为会降低分类的效率。
[0004]此外,在网络空间安全领域,可以将流量分为良性流量或恶意流量,以达到网络异常检测的目的。目前的流量主要针对已知流量进行类型的判断,如果当预测流量并非已知类型流量,该分类器仍然会将该流量预测为已知类中的某一类,会出现极大的误报率。
[0005]因此如何对于已知混合网络流量进行有效的分类并对已知流量之外的流量进行检测是临的主要问题。
技术实现思路
[0006]本专利技术的目的是提供一种混合网络流量的分类方法,可以对于已知混合网络流量进行有效的分类并对已知流量之外的流量进行检测;本专利技术的另一目的在于提供一种混合网络流量的分类装置、一种混合网络流量的分类设备以及一种计算机可读存储介质,可以对于已知混合网络流量进行有效的分类并对已知流量之外的流量进行检测。
[0007]为解决上述技术问题,本专利技术提供一种混合网络流量的分类方法,包括:
[0008]获取待分类混合网络流量;
[0009]提取所述待分类混合网络流量中与时间和负载相关的特征作为流量特征;
[0010]调用异常检测模型,根据所述流量特征将所述待分类混合网络流量分为正常流量和异常流量;所述异常检测模型为预先根据历史混合网络流量的历史流量特征所训练的模型;
[0011]调用分类模型,根据所述正常流量对应的流量特征对所述正常流量进行分类,生成分类结果;所述分类模型为预先根据所述历史流量特征所训练的模型所训练的模型。
[0012]可选的,所述获取待分类混合网络流量包括:
[0013]采集pcap格式的待分类混合网络流量;
[0014]对所述待分类混合网络流量按五元组进行分流,得到待分类混合网络流;
[0015]所述提取所述待分类混合网络流量中与时间和负载相关的特征作为流量特征包括:
[0016]提取各个所述待分类混合网络流中与时间和负载相关的特征作为流量特征。
[0017]可选的,在调用异常检测模型,根据所述流量特征将所述待分类混合网络流量分为正常流量和异常流量之前,还包括:
[0018]对所述流量特征进行Z
‑
score归一化处理。
[0019]可选的,所述异常检测模型为OneClass
‑
SVM模型。
[0020]可选的,所述分类模型为决策树分类模型或随机森林分类模型。
[0021]可选的,还包括:
[0022]获取历史混合网络流量;
[0023]提取所述历史混合网络流量中与时间和负载相关的特征作为历史流量特征;
[0024]使用所述历史流量特征对所述异常检测模型进行训练;
[0025]使用所述历史流量特征对所述分类模型进行训练。
[0026]可选的,所述获取历史混合网络流量包括:
[0027]采集pcap格式的历史混合网络流量;
[0028]对所述历史混合网络流量按五元组进行分流,得到历史混合网络流;
[0029]所述提取所述历史混合网络流量中与时间和负载相关的特征作为历史流量特征包括:
[0030]提取所述历史混合网络流中与时间和负载相关的特征作为历史流量特征。
[0031]本专利技术还提供了一种混合网络流量的分类装置,包括:
[0032]待分类流量获取模块,用于获取待分类混合网络流量;
[0033]流量特征提取模块,用于提取所述待分类混合网络流量中与时间和负载相关的特征作为流量特征;
[0034]异常检测模块,用于调用异常检测模型,根据所述流量特征将所述待分类混合网络流量分为正常流量和异常流量;所述异常检测模型为预先根据历史混合网络流量的历史流量特征所训练的模型;
[0035]流量分类模块,用于调用分类模型,根据所述正常流量对应的流量特征对所述正常流量进行分类,生成分类结果;所述分类模型为预先根据所述历史流量特征所训练的模型所训练的模型。
[0036]本专利技术还提供了一种混合网络流量的分类设备,包括:
[0037]存储器,用于存储计算机程序;
[0038]处理器,用于执行所述计算机程序以实现如上述任意一项所述混合网络流量的分类方法的步骤。
[0039]本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行以实现如上述任意一项所述混合网络流量的分类方法的步骤。
[0040]本专利技术所提供的一种混合网络流量的分类方法,包括:获取待分类混合网络流量;提取待分类混合网络流量中与时间和负载相关的特征作为流量特征;调用异常检测模型,根据流量特征将待分类混合网络流量分为正常流量和异常流量;异常检测模型为预先根据历史混合网络流量的历史流量特征所训练的模型;调用分类模型,根据正常流量对应的流量特征对正常流量进行分类,生成分类结果;分类模型为预先根据历史流量特征所训练的模型所训练的模型。
[0041]通过提取待分类混合网络流量中与时间和负载相关的特征作为流量特征,由于与时间和负载相关的特征属于待分类混合网络流量的基础信息,不论何种协议的流量,都能够从该流量中提取上述特征。因此使用与时间和负载相关的特征作为流量特征,调用预先训练的异常检测模型和分类模型对待分类混合网络流量进行分类,可以实现对于已知混合网络流量进行有效的分类并对已知流量之外的流量进行检测。
[0042]本专利技术还提供了一种混合网络流量的分类装置、一种混合网络流量的分类设备以及一种计算机可读存储介质,同样具有上述有益效果,在此不再进行赘述。
附图说明...
【技术保护点】
【技术特征摘要】
1.一种混合网络流量的分类方法,其特征在于,包括:获取待分类混合网络流量;提取所述待分类混合网络流量中与时间和负载相关的特征作为流量特征;调用异常检测模型,根据所述流量特征将所述待分类混合网络流量分为正常流量和异常流量;所述异常检测模型为预先根据历史混合网络流量的历史流量特征所训练的模型;调用分类模型,根据所述正常流量对应的流量特征对所述正常流量进行分类,生成分类结果;所述分类模型为预先根据所述历史流量特征所训练的模型所训练的模型。2.根据权利要求1所述的方法,其特征在于,所述获取待分类混合网络流量包括:采集pcap格式的待分类混合网络流量;对所述待分类混合网络流量按五元组进行分流,得到待分类混合网络流;所述提取所述待分类混合网络流量中与时间和负载相关的特征作为流量特征包括:提取各个所述待分类混合网络流中与时间和负载相关的特征作为流量特征。3.根据权利要求2所述的方法,其特征在于,在调用异常检测模型,根据所述流量特征将所述待分类混合网络流量分为正常流量和异常流量之前,还包括:对所述流量特征进行Z
‑
score归一化处理。4.根据权利要求1所述的方法,其特征在于,所述异常检测模型为OneClass
‑
SVM模型。5.根据权利要求1所述的方法,其特征在于,所述分类模型为决策树分类模型或随机森林分类模型。6.根据权利要求1至5任一项权利要求所述的方法,其特征在于,还包括:获取历史混合网络流量;提取所述历史混合网络流量中与时间和负载相关的特征...
【专利技术属性】
技术研发人员:毛得明,匡志凯,冯毓,周鹏太,张位,
申请(专利权)人:中电科网络空间安全研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。