CN107360032B - 一种网络流识别方法及电子设备 - Google Patents

一种网络流识别方法及电子设备 Download PDF

Info

Publication number
CN107360032B
CN107360032B CN201710597114.2A CN201710597114A CN107360032B CN 107360032 B CN107360032 B CN 107360032B CN 201710597114 A CN201710597114 A CN 201710597114A CN 107360032 B CN107360032 B CN 107360032B
Authority
CN
China
Prior art keywords
network flow
type
current
conditional probability
calculating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710597114.2A
Other languages
English (en)
Other versions
CN107360032A (zh
Inventor
林志达
吕华辉
黄宏聪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN201710597114.2A priority Critical patent/CN107360032B/zh
Publication of CN107360032A publication Critical patent/CN107360032A/zh
Application granted granted Critical
Publication of CN107360032B publication Critical patent/CN107360032B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种网络流识别方法及电子设备,方法包括:计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型;接收到当前网络流,计算当前网络流的网络流属性特征;使用不同的网络流类型的特征条件概率模型对当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;使用相同网络流类型的多个当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;根据当前类型条件概率对当前网络流进行识别,得到识别结果。本发明对网络流动态行为特征进行量化描述,然后建立识别模型进行识别,该方法能够适应网络流量动态变化的情况,并且对网络流量的高突发性能够进行准确感知。

Description

一种网络流识别方法及电子设备
技术领域
本发明涉及网络相关技术领域,特别是一种网络流识别方法及电子设备。
背景技术
新型网络应用的不断出现引起了网络流量的快速增长,网络流量涉及计算机、网络应用以及用户等多个彼此紧密联系的实体,不同的网络应用具有自身特定的网络流量行为特征。伴随着新型网络应用的蓬勃发展,网络应用协议随之涌现,网络流量的复杂性日益增加,展现出动态、突发等行为特征。此外,由计算机病毒、网络恶意节点所造成的诸多网络安全问题对现实生活造成多方面的影响。网络应用的异构性使得网络中存在多种特定类型流量,不同类型流量具有其特定的突发行为特性以及流量相关性。因此,准确识别网络流量,对于改善网络性能、提高网络资源利用率、进而提升用户服务质量具有深远影响。
传统的网络业务主要有WWW、FTP以及Email,随着因特网的飞速发展,网络主要应用已逐步向音频、视频等综合型业务转变,电子银行、股票、网上购物、在线社交、网络直播等实时性业务已得到广泛应用。网络用户数量呈指数型增长,网络规模持续扩展,使得数据以及信息对社会具有广泛的影响。部分非关键型业务的存在导致网络带宽以及节点资源过度消耗,严重影响关键型业务的正常应用。因此,实施有效措施,管控网络中的各种类型流量,进而针对不同类型业务进行合理资源分配,提供差异化的服务质量需求具有现实意义。
网络流量识别技术发展迅速,提供差异化服务以及异构服务质量,以达到个性化精准服务是当前网络发展的主要趋势。对于时效性有较高要求的语言以及电话视频的发展使得流量特征的提取以及识别算法的设计不断改善。近几年,文件共享技术、在线游戏、大数据以及云计算等新型应用蓬勃发展,这些应用往往具有复杂的协议格式。此外,网络流量的高突发性也使得网络流量识别的难度越来越大。
目前已存在部分网络流量识别领域的研究。基于网络端口号映射的流量分类识别方法简单高效,且能够对网络应用类型进行实时识别。然而,随着P2P以及FTP等网络应用的发展、海量随机端口以及代理技术的运用,造成此方法已经难以满足现实应用的要求。基于有效载荷特征的流量识别方法考虑网络数据的有效载荷与特征识别库是否配对,以此来确定网络流量的类别。此方法具有较高效率,并且易于维护,其识别精度远高于基于网络端口号映射的流量分类识别方法。然而,此方法对于安全性具有较大的挑战,通信双方的隐私无法保障。随着数据加密技术在网络中的广泛使用以及各种网络应用的不断出现,此流量识别法将退出历史舞台。基于网络行为特征的流量识别法针对网络以及通信行为特征的异构性,从流量特性的角度对网络流量进行分类识别。此方法具有较低的算法复杂度以及较高的识别精度,并且能够感知流量的行为特征。然而,此方法需对数据流进行离散处理,因此其实时性不高,流量行为特征随着网络的不断变化而改变。基于机器学习的流量识别法可分为有监督学习的流量分类识别法、半监督学习的流量分类识别法以及无监督学习的流量分类识别法,此类方法具有较高的扩展性,可对网络流量隐含特性进行挖掘分析,具有较高的识别精度,但此类算法需要大量的数据,并且算法复杂度非常高。
发明内容
基于此,有必要针对现有技术流量识别算法对流量突发性的感知效率较低,并且无法适应网络流量动态变化的技术问题,提供一种网络流识别方法及电子设备。
本发明提供一种网络流识别方法,包括:
计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
根据所述当前类型条件概率对当前网络流进行识别,得到识别结果。
进一步的,所述计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,具体包括:
计算每个训练网络流的多个网络流属性特征;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure GDA0002397472620000031
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
更进一步地,计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure GDA0002397472620000032
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure GDA0002397472620000041
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
进一步地,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:
从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
如果所述待选类型条件概率大于预设概率阈值,则判断所述当前网络流的类型为所述待选网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征,更新所述待选网络流类型对应的特征条件概率模型;
如果所述待选类型条件概率小于或等于预设概率阈值,则判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
进一步的,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
本发明提供一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
根据所述当前类型条件概率对当前网络流进行识别,得到识别结果。
进一步的,所述计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,具体包括:
计算每个训练网络流的多个网络流属性特征;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure GDA0002397472620000061
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
更进一步地,计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure GDA0002397472620000062
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure GDA0002397472620000063
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
进一步的,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:
从多个所述当前类型条件概率中,选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
如果所述待选类型条件概率大于预设概率阈值,则判断所述当前网络流的类型为所述待选网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征更新所述待选网络流类型对应的特征条件概率模型;
如果所述待选类型条件概率小于或等于预设概率阈值,则判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
进一步的,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
本发明通过对网络流动态行为特征进行量化描述,然后建立识别模型进行识别,该方法能够适应网络流量动态变化的情况,并且能够对网络流量的高突发性进行准确感知。
附图说明
图1为本发明一种网络流识别方法的工作流程图;
图2为本发明一实施例提供的一种网络流识别方法的工作流程图;
图3为本发明另一实施例提供的一种网络流识别方法的工作流程图;
图4为本发明一种电子设备的硬件结构示意图。
具体实施方式
下面结合附图和具体实施例对本发明做进一步详细的说明。
实施例一
如图1所示为本发明一种网络流识别方法的工作流程图,包括:
步骤S101,计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
步骤S102,接收到当前网络流,计算当前网络流的网络流属性特征;
步骤S103,使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
步骤S104,使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
步骤S105,根据所述当前类型条件概率对当前网络流进行识别,得到识别结果。
具体来说,网络中存在多种流量,比如视频流、音频流、文本流等等,这些不同类型的流量具有不同的应用场景、用户QoS服务需求以及安全需求。因此,不同类型的流量具有不同的统计特性以及行为特征。根据上述分析可知,网络流量识别具有现实意义。针对本发明所要解决的网络流量识别问题,将网络中的流量分为s类,其集合可表示为K={K1,K2,...,KS}。
对于某一网络流x以及网络流类别Ki,根据贝叶斯定理,此网络流x属于类别Ki的条件概率如下式所示
Figure GDA0002397472620000081
其中P(Ki)为Ki的先验概率,即Ki占整个网络流总量的比重。P(x|Ki)表示类别为Ki时,网络流为x的条件概率。P(x)为归一化常数,即网络流x的边际概率。
接下来考虑网络流的属性特征向量,首先要选择网络流的特征属性。特征属性的选择对于网络分类模型的分类精度影响巨大,准确地选择特征属性不仅可以提升模型的泛化能力,而且能够加快模型收敛速度,提升分类精度。
本发明选取三种属性特征,主要有Hurst参数、数据包大小属性以及数据包间隔时间属性。本发明对这三种参数进行分析。数据包大小不仅能够反映网络业务自身的协议特征,而且也同业务的传输以及交互模式息息相关。数据包主要由数据部分和数据包头组成,因此数据包大小是数据部分的大小与数据包头大小的和。
某一网络流中Ki类型的数据包期望大小为:
Figure GDA0002397472620000091
其中ψ表示某一时间尺度内Ki中数据包的总数,
Figure GDA0002397472620000092
表示Ki中第x个数据包的大小。
数据包大小的方差值量化式为:
Figure GDA0002397472620000093
数据包间隔时间是网络流的重要特征,当数据包期望间隔时间较小时,网络负载较高,此时网络资源利用率高,但同时可能会导致局部网络拥塞发生。当数据包期望间隔较大时,网络负载低,此时网络资源相对充足,不会发生网络拥塞等现象。Hurst参数作为衡量网络流量特征最重要的参数,在网络流量分类中具有举足轻重的地位。
网络流x的属性特征向量可表示为(ν12,....,νλ)T,因此可将公式(1)分解为:
Figure GDA0002397472620000094
通过相应手段可使网络流量属性特征满足贝叶斯分类假设,即将各个属性特征向量独立化,则网络流x属于类Ki的条件概率满足下式。
Figure GDA0002397472620000095
则可将公式(2)进一步表示为
Figure GDA0002397472620000101
其中,P(Ki)为Ki类别业务流占网络中总网络流的比例,可通过统计得到,并随着时间的推移动态更新。
因此,步骤S101计算每一个网络流类型用于计算P(νj|Ki)的模型参数,然后步骤S102接收到当前网络流后,计算对应的每一个网络流属性特征,然后步骤S103使用每个P(νj|Ki)的模型参数来计算当前网络流的当前特征条件概率P(νj|Ki)后,执行步骤S104,代入公式(3)得到当前网络流的P(Ki12,...,νλ)。最后执行步骤S105进行识别。
本发明通过对网络流动态行为特征进行量化描述,然后建立识别模型进行识别,该方法能够适应网络流量动态变化的情况,并且对网络流量的高突发性能够进行准确感知。
实施例二
如图2所示为本发明一实施例提供的一种网络流识别方法的工作流程图,包括:
步骤S201,计算每个训练网络流的多个网络流属性特征,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure GDA0002397472620000102
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
步骤S202,接收到当前网络流,计算当前网络流的网络流属性特征;
本实施例采用时间方差图法对网络流量的Hurst参数进行评估。具有长相关特性的网络流量的Hurst参数值在[0.5,1]之间,使得其在统计意义上具有慢衰减特性。假设在某一大时间尺度M内,n+1个某特定类型Si的网络流量数据包到达节点θ,即在时间尺度M内,Si类型的数据包到达间隔时间样本总数为n。当n趋于无穷大时,其间隔时间样本大小的倒数
Figure GDA0002397472620000111
大于样本方差的衰减速度,且样本方差衰减速度与n成正比关系。其中0<β<1。因此,可得下式:
var(X(n))=an
其中a为常值因子,其值为常数,与n无关,此时Hurst参数与β满足下式H=1-β/2。
因此,计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure GDA0002397472620000112
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure GDA0002397472620000113
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
步骤S203,使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
具体来说,计算当前网络流ωnew关于第i个网络流类型Ki的第j个网络流属性特征νj的当前特征条件概率
Figure GDA0002397472620000121
步骤S204,使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
具体来说,使用公式(3)将各当前特征条件概率代入后计算得到多个网络流类型的当前类型条件概率。
步骤S205,从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
步骤S206,如果所述待选类型条件概率大于预设概率阈值,则执行步骤S207,否则执行步骤S208;
步骤S207,判断所述当前网络流的类型为所述待选类型条件概率对应的网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征更新所述待选网络流类型对应的特征条件概率模型,如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量大于预设训练数量,则结束流程;
步骤S208,判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
对于新类型,此时只有一个网络流,计算此网络流中所有数据包的Hurst参数、数据包大小属性以及数据包间隔时间属性,作为新类型的网络流属性特征。此后,若有此新类型的数据流到达,则更新其类型的网络流属性特征,即将到达属于此新类型的网络流和原先属于新类型的网络流综合起来,计算此类型的各网络流属性特征。持续上述过程,当参与更新此种类型的各网络流属性特征的网络流达到预设训练数量后,其后到达的属于此类型的网络流不再参与更新过程。
实施例三
如图3所示为本发明另一实施例提供的一种网络流识别方法的工作流程图,包括:
步骤S301,计算每个训练网络流的多个网络流属性特征,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
步骤S302,接收到当前网络流,计算当前网络流的网络流属性特征;
步骤S303,使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
步骤S304,使用相同网络流类型的多个所述当前特征条件概率,计算当前网络流关于该网络流类型的当前类型条件概率;
步骤S305,从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
步骤S306,判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
由于在某一时刻到达某一节点的业务流可能是几种流量的混合,将其混合业务流表示为MIX,其中,MIX={x1,x2,...,xn},xi为此混合流中的某一种流量。
具体来说,计算当前网络流MIX关于第i个网络流类型Ki的第j个网络流属性特征νj的当前特征条件概率
Figure GDA0002397472620000141
然后根据公式(3)计算得到多个网络流类型的当前类型条件概率,判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
实施例四
如图4所示为本发明一种电子设备的硬件结构示意图,包括:
至少一个处理器401;以及,
与所述至少一个处理器401通信连接的存储器402;其中,
所述存储器402存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器401执行,以使所述至少一个处理器401能够:
计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率,计算当前网络流关于该网络流类型的当前类型条件概率;
根据所述当前类型条件概率对当前网络流进行识别,得到识别结果。
图4中以一个处理器401为例。
电子设备还可以包括:输入装置403和显示装置404。
处理器401、存储器402、输入装置403及显示装置404可以通过总线或者其他方式连接,图中以通过总线连接为例。
存储器402作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的网络流识别方法对应的程序指令/模块,例如,图1、图2、图3所示的方法流程。处理器401通过运行存储在存储器402中的非易失性软件程序、指令以及模块,从而执行各种功能应用以及数据处理,即实现上述实施例中的网络流识别方法。
存储器402可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据网络流识别方法的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器402可选包括相对于处理器401远程设置的存储器,这些远程存储器可以通过网络连接至执行网络流识别方法的装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置403可接收输入的用户点击,以及产生与网络流识别方法的用户设置以及功能控制有关的信号输入。显示装置404可包括显示屏等显示设备。
在所述一个或者多个模块存储在所述存储器402中,当被所述一个或者多个处理器401运行时,执行上述任意方法实施例中的网络流识别方法。
实施例五
本发明一实施例提供的一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
计算每个训练网络流的多个网络流属性特征,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure GDA0002397472620000161
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
接收到当前网络流,计算当前网络流的网络流属性特征;
计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure GDA0002397472620000162
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure GDA0002397472620000163
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
具体来说,计算当前网络流ωnew关于第i个网络流类型Ki的第j个网络流属性特征νj的当前特征条件概率
Figure GDA0002397472620000171
使用相同网络流类型的多个所述当前特征条件概率,计算当前网络流关于该网络流类型的当前类型条件概率;
从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
如果所述待选类型条件概率大于预设概率阈值,则判断所述当前网络流的类型为所述待选类型条件概率对应的网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征更新所述待选网络流类型对应的特征条件概率模型;
如果所述待选类型条件概率小于或等于预设概率阈值,则判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
实施例六
本发明另一实施例提供的一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
计算每个训练网络流的多个网络流属性特征,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (8)

1.一种网络流识别方法,其特征在于,包括:
计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
根据所述当前类型条件概率对当前网络流进行识别,得到识别结果;
所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:
从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
如果所述待选类型条件概率大于预设概率阈值,则判断所述当前网络流的类型为所述待选网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征更新所述待选网络流类型对应的特征条件概率模型;
如果所述待选类型条件概率小于或等于预设概率阈值,则判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
2.根据权利要求1所述的网络流识别方法,其特征在于,所述计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,具体包括:
计算每个训练网络流的多个网络流属性特征;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure FDA0002608092810000021
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
3.根据权利要求1或2所述的网络流识别方法,其特征在于,计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure FDA0002608092810000022
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure FDA0002608092810000023
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
4.根据权利要求1所述的网络流识别方法,其特征在于,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
5.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,所述网络流属性特征包括Hurst参数、数据包大小属性以及数据包间隔时间属性;
接收到当前网络流,计算当前网络流的网络流属性特征;
使用不同的网络流类型的特征条件概率模型对所述当前网络流的对应网络流属性特征进行计算,得到多个关于不同的网络流类型的当前特征条件概率;
使用相同网络流类型的多个所述当前特征条件概率计算当前网络流关于该网络流类型的当前类型条件概率;
根据所述当前类型条件概率对当前网络流进行识别,得到识别结果;
所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:
从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率,将所述待选类型条件概率对应的网络流类型作为待选网络流类型;
如果所述待选类型条件概率大于预设概率阈值,则判断所述当前网络流的类型为所述待选网络流类型,且如果用于计算所述待选网络流类型对应的特征条件概率模型的训练网络流的数量小于预设训练数量,则使用所述当前网络流的对应网络流属性特征更新所述待选网络流类型对应的特征条件概率模型;
如果所述待选类型条件概率小于或等于预设概率阈值,则判断所述当前网络流的类型为新类型,使用所述当前网络流的对应网络流属性特征计算所述新类型对应的特征条件概率模型。
6.根据权利要求5所述的电子设备,其特征在于,所述计算同一网络流类型的多个训练网络流的关于不同网络流属性特征的特征条件概率模型,具体包括:
计算每个训练网络流的多个网络流属性特征;
对于第j个网络流属性特征νj和第i个网络流类型Ki,计算同一网络流类型Ki的多个训练网络流中相同网络流属性特征νj的平均值μi,j与方差σi,j
计算第i个网络流类型Ki的多个训练网络流的关于第j个网络流属性特征νj的特征条件概率模型为
Figure FDA0002608092810000041
其中x为自变量,用于输入当前网络流中对应的网络流属性特征。
7.根据权利要求5或6所述的电子设备,其特征在于,计算训练网络流或当前网络流的Hurst参数的方法为:
数据块大小参数值设置步骤,设置数据块大小参数值n;
网络流分割步骤,将训练网络流或当前网络流分割为多个数据块,每个数据块包括至少一个训练网络流或当前网络流的数据包,每个数据块的大小为n;
数据块期望值计算步骤,计算出每个数据块的期望值,其中第k个数据块的期望值
Figure FDA0002608092810000051
Xkn-n+1为训练网络流或当前网络流中第kn-n+1个数据包,Xkn为训练网络流或当前网络流中第kn个数据包;
数据块期望值方差计算步骤,计算训练网络流或当前网络流的所有数据块期望值的方差
Figure FDA0002608092810000052
其中N为训练网络流或当前网络流的数据块的总数量;
数据块大小参数值更新步骤,将更新次数加一,如果更新次数未达到更新次数阈值,则调整n值后,执行网络流分割步骤,否则执行斜率计算步骤;
斜率计算步骤,生成多个以每个n值的对数为横坐标值、以与n值对应的样本方差Var(X(n))的对数为纵坐标值的参数点,对多个参数点进行线性拟合得到参数直线,计算所述参数直线的斜率β;
Hurst参数计算步骤,根据所述斜率计算得到Hurst参数H=1-β/2。
8.根据权利要求5所述的电子设备,其特征在于,所述根据所述当前类型条件概率对当前网络流进行识别,得到识别结果,具体包括:从多个所述当前类型条件概率中选择最大的当前类型条件概率作为待选类型条件概率;
判断所述当前网络流中所述待选类型条件概率对应的网络流类型的占比最高。
CN201710597114.2A 2017-07-20 2017-07-20 一种网络流识别方法及电子设备 Active CN107360032B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710597114.2A CN107360032B (zh) 2017-07-20 2017-07-20 一种网络流识别方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710597114.2A CN107360032B (zh) 2017-07-20 2017-07-20 一种网络流识别方法及电子设备

Publications (2)

Publication Number Publication Date
CN107360032A CN107360032A (zh) 2017-11-17
CN107360032B true CN107360032B (zh) 2020-12-01

Family

ID=60286438

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710597114.2A Active CN107360032B (zh) 2017-07-20 2017-07-20 一种网络流识别方法及电子设备

Country Status (1)

Country Link
CN (1) CN107360032B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109299742A (zh) * 2018-10-17 2019-02-01 深圳信息职业技术学院 自动发现未知网络流的方法、装置、设备及存储介质
CN109600180B (zh) * 2018-12-17 2020-01-03 电子科技大学 一种基于频谱信息的无线通信智能流量感知系统
CN110225001B (zh) * 2019-05-21 2021-06-04 清华大学深圳研究生院 一种基于主题模型的动态自更新网络流量分类方法
CN114465962B (zh) * 2019-09-16 2024-01-05 华为技术有限公司 一种数据流类型识别方法及相关设备
CN110740077B (zh) * 2019-09-24 2021-05-11 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于网络抓包的拟态系统异构性测试系统、方法及装置
CN111404833B (zh) * 2020-02-28 2022-04-12 华为技术有限公司 一种数据流类型识别模型更新方法及相关设备
CN113595930A (zh) * 2020-04-30 2021-11-02 华为技术有限公司 流量识别方法和流量识别设备
CN111600752B (zh) * 2020-05-12 2022-08-02 广东电网有限责任公司电力调度控制中心 一种电力通信业务可靠性优化方法及相关装置
CN113726686A (zh) * 2020-05-26 2021-11-30 中兴通讯股份有限公司 流量识别方法、装置、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103473556A (zh) * 2013-08-30 2013-12-25 中国科学院自动化研究所 基于拒识子空间的分层支持向量机分类方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8311956B2 (en) * 2009-08-11 2012-11-13 At&T Intellectual Property I, L.P. Scalable traffic classifier and classifier training system
CN102271090B (zh) * 2011-09-06 2013-09-25 电子科技大学 基于传输层特征的流量分类方法及装置
CN103020288B (zh) * 2012-12-28 2016-03-02 大连理工大学 一种动态数据环境下的数据流分类方法
CN106408007A (zh) * 2016-09-07 2017-02-15 国家电网公司 一种电力通信网流量分类方法及其系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103473556A (zh) * 2013-08-30 2013-12-25 中国科学院自动化研究所 基于拒识子空间的分层支持向量机分类方法

Also Published As

Publication number Publication date
CN107360032A (zh) 2017-11-17

Similar Documents

Publication Publication Date Title
CN107360032B (zh) 一种网络流识别方法及电子设备
Dong et al. Novel feature selection and classification of Internet video traffic based on a hierarchical scheme
Gallardo et al. Use of α-stable self-similar stochastic processes for modeling traffic in broadband networks
CN107864168B (zh) 一种网络数据流分类的方法及系统
US10091675B2 (en) System and method for estimating an effective bandwidth
CN114039918B (zh) 一种信息年龄优化方法、装置、计算机设备及存储介质
CN111565156B (zh) 一种对网络流量识别分类的方法
WO2019062405A1 (zh) 应用程序的处理方法、装置、存储介质及电子设备
WO2022001918A1 (zh) 构建预测模型的方法、装置、计算设备和存储介质
US11874901B2 (en) Method, device for processing network flow, storage medium and computer device
Zhao et al. Research on lightweight anomaly detection of multimedia traffic in edge computing
Sun et al. Bandwidth estimation for aggregate traffic under delay QoS constraint based on supermartingale theory
Jiang et al. Analysis of stochastic service guarantees in communication networks: A traffic model
Hagos et al. Classification of delay-based TCP algorithms from passive traffic measurements
CN109508433B (zh) 基于匹配算法性能调整的负载波动应对方法和系统
CN113938292A (zh) 一种基于概念漂移的漏洞攻击流量检测方法及检测系统
CN112714037A (zh) 一种线上服务质量的保障性能评估方法、装置及设备
CN114565201A (zh) 数据中心的管理系统、方法、装置和存储介质
CN113676341A (zh) 一种质差评估方法及相关设备
CN111598390A (zh) 服务器高可用性评估方法、装置、设备和可读存储介质
CN112202686B (zh) 一种差分流量控制的自适应接入识别方法及终端设备
Dong Copula theory and its applications in computer networks
CN111092826B (zh) 一种网络接入控制方法、系统及设备
CN114153546B (zh) 一种用于云桌面运营管理系统的数据流传输方法及系统
WO2023240911A1 (zh) 算力调度系统和方法、控制节点、存储介质、设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant