CN102594836A - 一种基于小波能量谱的流量识别方法 - Google Patents
一种基于小波能量谱的流量识别方法 Download PDFInfo
- Publication number
- CN102594836A CN102594836A CN2012100672940A CN201210067294A CN102594836A CN 102594836 A CN102594836 A CN 102594836A CN 2012100672940 A CN2012100672940 A CN 2012100672940A CN 201210067294 A CN201210067294 A CN 201210067294A CN 102594836 A CN102594836 A CN 102594836A
- Authority
- CN
- China
- Prior art keywords
- data
- wavelet
- application protocol
- scale characteristic
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于小波能量谱的流量识别方法。属于流量识别技术领域,该方法包括:首先对网络流量数据进行定期采样,将采样数据分解为不同的数据流;使用有效载荷方法分析数据流的应用协议类型,对各应用协议的数据流进行离散小波变换,计算其在不同尺度上的以2为底的小波能量谱的对数并进行零均值化处理,统计相同应用协议的小波能量谱的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中;对数据流进行多尺度特征提取步骤的处理,对数据流的多尺度特征与特征数据库中各应用协议的多尺度特征标准逐一计算欧氏距离,具有最小欧式距离的应用协议作为流量识别的结果;本发明同时具有高的识别正确率和低的运算复杂度。
Description
技术领域
本发明涉及计算机网络流量管理技术领域,特别是涉及计算机网络流量的识别方法。
背景技术
精确的网络流量识别不仅是流量工程实施、应用服务区分、用户行为监控的基础,也是业务结构优化、QoS保障以及网络安全管理的重要保障。传统流量识别方法是基于IANA指定的固定服务端口来实现的,通过不同的服务端口来识别流量的应用协议。然而,随着P2P技术以及私有协议的广泛应用,大量的应用协议都使用动态端口的方式来实现数据传输,甚至一些应用通过使用与其他协议相关的默认端口来伪装自己从而穿越代理和防火墙,这导致传统依据服务端口的识别方法变得不再有效。
由于许多应用协议的数据包中都使用了独有的特征签名,因而人们提出了基于有效载荷分析的流量识别方法,尽管这一方法能够产生非常准确识别效果,但仍然存在诸多重要的缺点:(1)随着网络应用的不断发展以及由此导致的协议签名的不断变化,有效载荷分析需要不断的更新协议规则;(2)由于一些应用协议使用了流量加密技术,从而导致有效载荷分析无法识别;(3)面对不断增加的网络流量和应用服务,由于所有流量数据都必须经过分析处理,有效载荷分析也会严重影响到网络的稳定性。因此,有效载荷分析并不能够作为一种独立的方法来进行流量识别。
近年来研究证明网络流量中的多尺度特性被认为是其最主要的统计特性,即网络流量在大时间尺度上表现出自相似特性,而在小时间尺度上则表现出多重分形特性。多重分形理论的引入为刻画流量在小尺度上的奇异性提供了良好的数学框架,而小波变换则为网络流量的多重分形分析提供了有力的数学工具,通过研究信号在不同尺度上的小波系数特性,可以分析信号在不同尺度上所表现出来的行为特性。
一个具有平稳增量的随机过程X(t),若其增量的高阶矩满足如下方程:
E{|X(Δt)|q}=c(q)Δtα(q)(1)
则该过程被称为分形过程,其中q∈Q,,α(q)为指数,c(q)为矩因子,且c(q)独立于时间t。如果α(q)是q的线性函数,则该过程被认为是单重分形,否则,如果α(q)与q呈非线性关系,则该过程为多重分形。对于自相似过程,α(q)表示为α(q)=Hq-1,其中Hurst指数H是唯一的控制参数,在这种特殊情况下,这种过程被认为是单重分形。
小波变换是当前数学中一个迅速发展的新领域,它是一个针对时间和频率的数学变换,能够通过平移和伸缩等运算从信号数据中提取各种尺度信息,实现对信号数据的多尺度分析。通过离散小波变换,信号X(t)能够被分解为一个尺度函数和小波函数的集合:
其中,cj0,k为第j0尺度的尺度展开系数(也称为X(t)在分辨率j0下的离散逼近);为离散小波变换的尺度函数;dj,k为第j尺度的小波展开系数;ψj,k(t)为离散小波变换的小波函数。
通过研究信号X(t)的离散小波变换系数dj,k的小波能量谱与信号的长程依赖性之间的关系可以估计信号的多重分形特性。小波能量谱Mj被定义为信号X(t)在时刻t0=2jk、频率2-jω0处小波系数dj,k的2阶平均值:
其中,ω0为取决于小波函数ψ0的参考频率,nj是用于在时间尺度j上被分析的系数数量。通过傅里叶变换小波能量谱Mj有下式成立:
其中,cf为常数,ψ(ω)表示ψ(t)的傅立叶变换。通过分析log2Mj和尺度j之间的关系,就可以对信号X进行有效的尺度分析,同时还提供了一个无偏的关于自相似指数H的估计值。如下所示:
上式给出了判断信号是否表现出多重分形特性的一个依据,通过log2Mj和尺度j之间的关系图,信号的多重分形特性可以从中反映出来。其中,如果log2Mj和j之间表现出线性关系,则信号为单重分形(自相似过程);如果log2Mj和j之间表现出非线性关系,则信号为多重分形。
目前,对于不同应用协议所产生的流量之间的多重分形特性是否存在统计性规律还未有研究。
发明内容
技术问题:针对目前流量识别方法受到服务端口、协议签名、流量加密等限制的问题,本发明的目的在于提供一种基于小波能量谱的网络流量识别方法,该方法在对网络流量进行多尺度小波分析的基础上,通过对流量数据在不同时间尺度上的小波能量谱进行分类识别,实现对各种不同应用协议的网络流量的识别。
技术方案:本发明的方法是在网络流量多尺度特性的基础上,利用离散小波变换对各种应用协议所产生的网络流量进行小波分解,并计算其在不同时间尺度上小波能量谱,统计相同应用协议所产生流量的小波能量谱的数学期望,将其作为该协议的标准小波能量谱存储到特征数据库中,通过对待识别流量的小波能量谱与特征数据库中各应用协议的标准小波能量谱之间的欧氏距离进行比较,实现对网络流量的分类识别。本发明主要包括:网络流量采样步骤、获取应用协议特征数据库的多尺度特征提取步骤以及对数据流进行特征提取和识别步骤,具体包括:
1)所述的网络流量采样步骤,具体包括:
11)对网络流量数据进行定期采样,采样内容包括TCP/IP和UDP/IP数据包,采样数据为单位时间内传输的字节数量,包括上行和下行两个方向;
12)将采样数据分解为不同的数据流:上述采样数据包含多个数据流,而每一个数据流是包含一个确定的本地ip地址、一个确定的目的ip地址以及一个确定的目的端口的网络流量的传输字节数量;并通过<local ip,remote ip,remoteport>3元组使每一个数据流被唯一定义;
2)获取应用协议特征数据库的多尺度特征提取步骤,具体包括:
21)通过有效载荷分析获得数据流的应用协议类型;
22)对各应用协议的数据流进行多尺度特征提取步骤的处理,得到各应用协议的数据流的由小波能量谱表示的多尺度特征;
221)使用离散小波变换对数据流进行J级小波分解,得到各级小波系数dj,k(j=1,2,…,J);
222)计算数据流在不同时间尺度上的以2为底的小波能量谱的对数log2Mj,并进行零均值化处理:
23)统计各应用协议在不同时间尺度上的零均值化的以2为底的小波能量谱的对数的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中,数学期望的计算公式为:
其中,n为样本数据流的数量,Mij为第i个样本数据流在第j时间尺度上的小波能量谱;
3)对数据流进行特征提取和识别,具体包括:
31)对数据流进行多尺度特征提取步骤的处理,所述的多尺度特征提取步骤同步骤22),得到该数据流的由小波能量谱表示的多尺度特征;
32)对数据流的多尺度特征与特征数据库中各应用协议的多尺度特征标准逐一计算欧氏距离,计算公式如下:
其中,Mj为数据流的小波能量谱,Ej为特征数据库中某应用协议的数学期望;
34)以数据流的多尺度特征与特征数据库中各多尺度特征标准之间具有最小欧式距离的应用协议,作为流量识别的结果。
本发明的核心技术构思:通过研究发现,相同应用协议所产生流量的多重分形特性具有相似性,而不同应用协议所产生流量的多重分形特性具有明显差异,从而通过计算欧氏距离来识别流量的应用协议。对于以上特征,现有文献并无任何报道,更不存在将此特征应用于流量识别领域的技术启示。
本发明的优点:本发明提出了一种基于小波能量谱的网络流量识别方法,主要用于解决网络流量识别的准确性问题,本发明使用的方法克服了目前流量识别方法中受到服务端口、协议签名以及流量加密的限制,具有更广泛的识别范围、更低的运算复杂度和更高的识别准确率。其优点主要表现在:第一,基于数据流的采样方法有效地分解了网络流量,降低了网络流量的复杂性;第二,小波能量谱在提取网络流量多重分形特征方面具有很好的效果;第三,整个识别算法的运算复杂度非常低;第四,识别方法扩大了流量识别范围,提高了识别准确率;
附图说明
图1是网络流量识别过程的流程框图;
图2是Http数据流传输字节数量图;
图3是Streaming数据流传输字节数量图;
图4是P2P数据流传输字节数量图;
图5是各种协议样本流量的1-5尺度的小波能量谱系数图。
具体实施方式
本发明提出的基于小波能量谱的流量识别方法在具体实施过程中主要包括网络流量采样步骤、获取应用协议特征数据库的多尺度特征提取步骤以及对数据流进行特征提取和识别步骤,流程框图如图1所示,结合附图及实施例详细说明如下:
1)网络流量采样步骤,具体包括以下步骤:
11)对网络流量数据进行定期采样,采样内容包括TCP/IP和UDP/IP数据包,采样时间间隔为100ms,采样数据为单位时间内传输的字节数量,包括上行和下行两个方向;
12)将采样数据分解为不同的数据流:上述采样数据包含多个数据流,而每一个数据流是包含一个确定的本地ip地址、一个确定的目的ip地址以及一个确定的目的端口的网络流量的传输字节数量;并通过<local ip,remote ip,remoteport>3元组使每一个数据流被唯一定义;
2)获取应用协议特征数据库的多尺度特征提取步骤,具体包括以下步骤:
21)通过有效载荷分析获得数据流的应用协议类型,按照不同的应用协议类型,数据流被划分为Http数据流、Streaming数据流和P2P数据流,图2、图3和图4分别显示三种应用协议的数据流的传输字节数量图;
22)使用离散小波变换对每个数据流进行5级小波分解,得到各级小波系数dj,k(j=1,2,3,4,5);
23)计算分解后的数据流在不同时间尺度上的以2为底的小波能量谱的对数log2Mj,并进行零均值化处理:
24)统计各应用协议在不同时间尺度上的零均值化的以2为底的小波能量谱的对数的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中,数学期望的计算公式为:
其中,n为样本数据流的数量,Mij为第i个样本数据流在第j时间尺度上的小波能量谱;
25)将各应用协议的数学期望作为该应用协议的多尺度特征标准存储到特征数据库中;
3)对数据流进行特征提取和识别,具体包括以下步骤:
31)使用离散小波变换对数据流进行5级小波分解,得到各级小波系数dj,k(j=1,2,3,4,5);
32)计算数据流在1至5时间尺度上的以2为底的小波能量谱的对数log2Mj,并进行零均值化处理:
33)对数据流的小波能量谱与特征数据库中各应用协议的数学期望逐一计算欧氏距离,计算公式如下:
其中,Mj为数据流的小波能量谱,Ej为特征数据库中某应用协议的数学期望;
34)以数据流的多尺度特征与特征数据库中各多尺度特征标准之间具有最小欧式距离的应用协议,作为流量识别的结果。
Claims (2)
1.一种基于小波能量谱的流量识别方法,其特征在于,包括1)网络流量采样步骤、2)获取应用协议特征数据库的多尺度特征提取步骤和3)对数据流进行特征提取和识别步骤三部分:
1)所述的网络流量采样步骤,具体包括:
11)对网络流量数据进行定期采样,采样内容包括TCP/IP和UDP/IP数据包,采样数据为单位时间内传输的字节数量,包括上行和下行两个方向;
12)将采样数据分解为不同的数据流:上述采样数据包含多个数据流,而每一个数据流是包含一个确定的本地ip地址、一个确定的目的ip地址以及一个确定的目的端口的网络流量的传输字节数量;并通过<local ip,remote ip,remoteport>3元组使每一个数据流被唯一定义;
2)获取应用协议特征数据库的多尺度特征提取步骤,具体包括:
21)通过有效载荷分析获得数据流的应用协议类型;
22)对各应用协议的数据流进行多尺度特征提取步骤的处理,得到各应用协议的数据流的由小波能量谱表示的多尺度特征;所述的多尺度特征提取步骤,包括:使用离散小波变换对数据流进行小波分解,得到各级小波系数;然后计算数据流在不同时间尺度上的以2为底的小波能量谱的对数,并进行零均值化处理;
23)统计各应用协议的数据流在不同时间尺度上的零均值化的以2为底的小波能量谱的对数的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中;
3)对数据流进行特征提取和识别,具体包括:
31)对数据流进行多尺度特征提取步骤的处理,所述的多尺度特征提取步骤同步骤22),得到该数据流的由小波能量谱表示的多尺度特征;
32)对数据流的多尺度特征与特征数据库中各应用协议的多尺度特征标准逐一计算欧氏距离;
33)以数据流的多尺度特征与特征数据库中各多尺度特征标准之间具有最小欧式距离的应用协议,作为流量识别的结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210067294.0A CN102594836B (zh) | 2012-03-06 | 2012-03-06 | 一种基于小波能量谱的流量识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210067294.0A CN102594836B (zh) | 2012-03-06 | 2012-03-06 | 一种基于小波能量谱的流量识别方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102594836A true CN102594836A (zh) | 2012-07-18 |
CN102594836B CN102594836B (zh) | 2014-11-05 |
Family
ID=46483037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210067294.0A Expired - Fee Related CN102594836B (zh) | 2012-03-06 | 2012-03-06 | 一种基于小波能量谱的流量识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102594836B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821101A (zh) * | 2012-07-27 | 2012-12-12 | 北京中科晶上科技有限公司 | Ip数据包识别方法及网关 |
CN103780501A (zh) * | 2014-01-03 | 2014-05-07 | 濮阳职业技术学院 | 一种不可分小波支持向量机的对等网络流量识别方法 |
CN107851294A (zh) * | 2015-07-10 | 2018-03-27 | 汉阳大学校产学协力团 | 大型运行系统的基于状态的预防维护装置及方法 |
CN108259640A (zh) * | 2017-12-29 | 2018-07-06 | 东软集团股份有限公司 | 网络地址分类的方法、装置和存储介质以及电子设备 |
CN111245850A (zh) * | 2020-01-15 | 2020-06-05 | 福建奇点时空数字科技有限公司 | 一种基于连接统计规律分析的加密p2p协议识别方法 |
CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
CN113746758A (zh) * | 2021-11-05 | 2021-12-03 | 南京敏宇数行信息技术有限公司 | 一种动态识别流量协议的方法和终端 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101217378A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 一种基于流量统计的小波分析边界处理方法 |
CN101345664A (zh) * | 2008-08-05 | 2009-01-14 | 成都市华为赛门铁克科技有限公司 | 网络流量异常检测方法和装置 |
CN101729315A (zh) * | 2009-12-24 | 2010-06-09 | 北京邮电大学 | 一种基于小波包分解和模糊神经网络的网络流量预测方法及装置 |
-
2012
- 2012-03-06 CN CN201210067294.0A patent/CN102594836B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101217378A (zh) * | 2008-01-18 | 2008-07-09 | 南京邮电大学 | 一种基于流量统计的小波分析边界处理方法 |
CN101345664A (zh) * | 2008-08-05 | 2009-01-14 | 成都市华为赛门铁克科技有限公司 | 网络流量异常检测方法和装置 |
CN101729315A (zh) * | 2009-12-24 | 2010-06-09 | 北京邮电大学 | 一种基于小波包分解和模糊神经网络的网络流量预测方法及装置 |
Non-Patent Citations (1)
Title |
---|
洪飞等: "基于小波的多尺度网络流量预测模型", 《计算机学报》, no. 1, 31 December 2006 (2006-12-31) * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102821101A (zh) * | 2012-07-27 | 2012-12-12 | 北京中科晶上科技有限公司 | Ip数据包识别方法及网关 |
CN103780501A (zh) * | 2014-01-03 | 2014-05-07 | 濮阳职业技术学院 | 一种不可分小波支持向量机的对等网络流量识别方法 |
CN103780501B (zh) * | 2014-01-03 | 2017-02-15 | 濮阳职业技术学院 | 一种不可分小波支持向量机的对等网络流量识别方法 |
CN107851294A (zh) * | 2015-07-10 | 2018-03-27 | 汉阳大学校产学协力团 | 大型运行系统的基于状态的预防维护装置及方法 |
CN107851294B (zh) * | 2015-07-10 | 2022-07-12 | 汉阳大学校产学协力团 | 大型运行系统的基于状态的预防维护装置及方法 |
CN108259640A (zh) * | 2017-12-29 | 2018-07-06 | 东软集团股份有限公司 | 网络地址分类的方法、装置和存储介质以及电子设备 |
CN108259640B (zh) * | 2017-12-29 | 2021-02-12 | 东软集团股份有限公司 | 网络地址分类的方法、装置和存储介质以及电子设备 |
CN111245850A (zh) * | 2020-01-15 | 2020-06-05 | 福建奇点时空数字科技有限公司 | 一种基于连接统计规律分析的加密p2p协议识别方法 |
CN111626322A (zh) * | 2020-04-08 | 2020-09-04 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
CN111626322B (zh) * | 2020-04-08 | 2024-01-05 | 中南大学 | 一种基于小波变换的加密流量的应用活动识别方法 |
CN113746758A (zh) * | 2021-11-05 | 2021-12-03 | 南京敏宇数行信息技术有限公司 | 一种动态识别流量协议的方法和终端 |
CN113746758B (zh) * | 2021-11-05 | 2022-02-15 | 南京敏宇数行信息技术有限公司 | 一种动态识别流量协议的方法和终端 |
Also Published As
Publication number | Publication date |
---|---|
CN102594836B (zh) | 2014-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102594836B (zh) | 一种基于小波能量谱的流量识别方法 | |
CN104270392A (zh) | 一种基于三分类器协同训练学习的网络协议识别方法及系统 | |
CN107026763B (zh) | 一种基于流量分解的数据通信网流量预测方法 | |
CN113254529A (zh) | 一种基于边缘计算和HiTSDB存储的工业物联网平台 | |
CN110855632B (zh) | 报文检测方法、装置、网络设备和计算机可读存储介质 | |
CN105787512B (zh) | 基于特征选择方法的网络浏览与视频分类方法 | |
CN103297427A (zh) | 一种未知网络协议识别方法及系统 | |
Li et al. | A new feature extraction algorithm based on entropy cloud characteristics of communication signals | |
CN117082118B (zh) | 基于数据推导及端口预测的网络连接方法 | |
Yan et al. | Principal Component Analysis Based Network Traffic Classification. | |
CN101854330A (zh) | 互联网的网络应用采集与分析方法及系统 | |
CN111343206B (zh) | 一种针对数据流攻击的主动防御方法及装置 | |
CN104767656A (zh) | 一种基于分数阶傅里叶变换的网络流量特性分析方法 | |
CN102098346B (zh) | 一种在未知流量中识别p2p流媒体流量的方法 | |
CN116781341A (zh) | 一种基于大语言模型的去中心化网络DDoS攻击识别方法 | |
CN116170212A (zh) | 一种对抗概念漂移的IoT恶意流量检测装置 | |
Zhenxiang et al. | Research of P2P traffic comprehensive identification method | |
CN102833255B (zh) | 基于时频分析的Skype语音流提取方法 | |
CN116074056A (zh) | 智能物联终端操作系统和应用软件的精准识别方法和系统 | |
CN115474219A (zh) | 基于多时间序列数据挖掘的5g/b5g电力通信网络流量分析方法 | |
Shao et al. | Emilie: Enhance the power of traffic identification | |
CN114679318A (zh) | 一种高速网络中轻量级的物联网设备识别方法 | |
CN102546116A (zh) | 基于压缩感知的跳频信号盲检测方法 | |
Wu et al. | Compressible source separation in industrial iot broadband communication | |
Stolojescu‐Crisan et al. | WiMAX traffic analysis and base stations classification in terms of LRD |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141105 Termination date: 20150306 |
|
EXPY | Termination of patent right or utility model |