WO2021103135A1

WO2021103135A1 - 一种基于深度神经网络的流量分类方法、系统及电子设备

Info

Publication number: WO2021103135A1
Application number: PCT/CN2019/124267
Authority: WO
Inventors: 叶可江; 赵世林; 纪书鉴; 须成忠
Original assignee: 中国科学院深圳先进技术研究院
Priority date: 2019-11-25
Filing date: 2019-12-10
Publication date: 2021-06-03
Also published as: CN110896381B; CN110896381A

Abstract

一种基于深度神经网络的流量分类方法、系统及电子设备。所述方法包括：对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。所述方法能够提高网络流量分类的精度和性能。

Description

一种基于深度神经网络的流量分类方法、系统及电子设备

技术领域

本申请属于网络数据分类技术领域，特别涉及一种基于深度神经网络的流量分类方法、系统及电子设备。

背景技术

在大数据时代，网络上每秒都会产生大批量的各种网络数据，这些数据之间的潜在交互行为继而会引发更多维的复杂数据，若企业能通过精准分析各类维度的网络数据，更好的全方位了解用户的网络行为，就可以为用户提供有针对性的服务，大幅提高企业的工作效率和用户的网络体验。

各大网络集群中心生成的网络流量数据量非常大且多且复杂，如何能快速安全的处理分析这些实时网络的流量数据，给企业的网络管理和服务带来了很大的压力。其中网络流量分类技术是识别网络应用和流量分类的过程，它是现代网络安全和资源管理系统中关键的一环。如何能精准的分类和识别这些网络流量，来提高网络安全等级和提供精准的网络服务，给客户提供更好的服务等仍是一大挑战。

目前，网络流量分类技术主要包括基于传统的网络流量分类和现阶段的基于机器学习的网络流量分类两大部分，其中：

(一)基于传统的网络流量分类技术包括基于端口的流量分类方法和基于负载的流量分类方法；

a)基于端口的流量分类方法：通过分析和提取一些使用固定网络端口的网络应用或者协议，其中一些端口号是在互联网号码分配机构(IANA)已经注册的。通过和IANA列表一一比较，就可以知道网络流量到底属于哪一个应用或者哪一个网络协议，有很好的分类效果。该方法的弊端是不能处理拥有动态端口号的网络流量。

b)基于负载的流量分类方法：通过提取每条IP网络包的负载内容，包括网络传输协议、网络数据内容、传输包的字节大小等特征。不同的网络应用或者传输协议在上网的时候，是会产生不同的网络行为或者网络痕迹，该方法基于此网络特征可以进行高效的流量分类，但弊端是不能分析加密流量。

(二)基于机器学习的网络流量分类技术：主要包括基于监督学习的分类方法和基于无监督学习的分类方法，这两大类机器学习技术已经被广泛的应用于网络流量分类研究领域中，其分类流程如图1所示，一般分为四个步骤：数据预处理(Preprocessing)、训练学习阶段(Training)、模型评估(Evaluation)、预测结果(Prediction)。

a)基于监督学习的分类方法：从已经标记的训练数据中学习数据之间的潜在知识，并把这套知识进行强化训练，形成一个具有分类学习经验的模型，去预测新数据的标签。通过不断优化模型，来达到期望的输出效果。例如，王斌锋等人发明一种基于统计特征的有噪网络流量分类建模方法，它包括：步骤1、网络数据采集处理，从网络流量监测站实时提取网络流量数据，并对网络流量数据进行预处理；步骤2、建立网络流量噪声判断模型并清除网络流量数据中的噪声；步骤3、建立网络流量噪声容忍模型；步骤4、根据步骤2和步骤3所述的网络流量噪声判断模型和网络流量噪声容忍模型，建立鲁棒的分类模型；步骤5、采用随机森林的分类方法，把在线网络流量数据作为测试集，利用鲁棒的分类模型进行分类。

B)基于无监督学习的分类方法：从未标记(未知)的训练数据中学习数据之间的分布或者数据之间的关系，不断训练数据，可以得到一个可以分类未知数据类型的模型。例如，张玉等人发明了一种基于K_means和KNN融合算法的网络流量分类方法。他们的方法框架是针对每个应用协议构建一个二分类器，由决策规则将所有分类器的输出整合为最终输出。算法上也融合了无监督的K_means算法和有监督的KNN算法，此外，该方法还提出了基于K_means迭代的特征选择算法，目的是选出高分离度的特征，以节省时间、空间和提高分类效果。

综上所述，现有的基于机器学习的网络流量分类技术虽然较传统的网络流量分类方法有较好的分类效果，但也存在不少弊端，主要包括：手动提取特征，需要花费大量的人力物力；现有的流量特征密度较小，不能深层次的利用网络应用和协议流量特征；现有的网络流量分类模型鲁棒性不是很好，只要网络流量的数据环境变化，就要重新训练模型学习其特征，得到的分类效果不是很好。

发明内容

本申请提供了一种基于深度神经网络的流量分类方法、系统及电子设备，旨在至少在一定程度上解决现有技术中的上述技术问题之一。

为了解决上述问题，本申请提供了如下技术方案：

一种基于深度神经网络的流量分类方法，包括以下步骤：

步骤a：对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；

步骤b：重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；

步骤c：将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。

本申请实施例采取的技术方案还包括：所述步骤a还包括：采集原始网络流量，并获取相应的网络日志；其中，所述原始网络流量通过网络数据中心或者模拟局域网环境进行采集，所述网络日志内容包括网络应用间的交互行为、网络应用和服务端的传输负载。

本申请实施例采取的技术方案还包括：在所述步骤a中，所述对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记具体包括：

步骤a1：将拥有相同的五元组{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}的网络包{packet_1,packet_2,…,packet_n}归并为对应的网络流Flow_i＝{packet_1,packet_2,…,packet_n}(i＝1,2,…,n)；

步骤a2：提取包特征{Size-packet,Interval-packet,…}、流特征{Length-flow,Flow packet-per,…}、状态连接特征{Flag-Cnt,Active,…}，以及每条网络流的{前向流(client->server)，反向流(server->client)，传输流(tcp,udp)}三维特征；

步骤a3：检测网络日志和每条网络流中的{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}五个字段，如果网络流与网络日志中有相同的五元组，则将该条网络流的标签标记为网络日志中对应的网络应用或者协议。

本申请实施例采取的技术方案还包括：所述步骤a还包括：对数据集进行预处理及归一化处理。

本申请实施例采取的技术方案还包括：在所述步骤b中，所述卷积神经网络的训练过程具体包括：

步骤b1：将标记好的数据集输入卷积神经网络中；

步骤b2：基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，生成三维特征的网络流数据集结构；

步骤b3：为了适应卷积神经网的数据输入格式，将数据集格式变换为(None,25,25,3)；其中，变换后的数据格式(None,25,25,3)可以看成是25x25的彩色图片3通道；

步骤b4：用变换后的数据集训练卷积神经网络，得到高维度的全局卷积特征。

本申请实施例采取的技术方案还包括：在所述步骤b中，所述卷积神经网络包括卷积层、池化层和全连接层；所述卷积层用于提取局部特性；所述池化层用于将卷积之后产生的高维度特征分成几个区域，取每个区域的最大值或者平均值，得到新的较小维特征；所述全连接层用于将所有高维的特征转换成全局特征。

本申请实施例采取的技术方案还包括：在所述步骤c中，经过LSTM网络训练后，得到多维的序列相关流(Corr-Flow Vector)向量特征；然后连接全连接层，并用softmax做激活函数，输出预测的每个类的概率矩阵，最终得到流量分类预测结果。

本申请实施例采取的技术方案还包括：所述步骤c后还包括：用相同结构的测试数据集评估模型的精确度并测试验证。

本申请实施例采取的另一技术方案为：一种基于深度神经网络的流量分类系统，包括：

数据集生成模块：用于对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；

CNN特征提取模块：用于重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；

LSTM预测模块：用于将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。

本申请实施例采取的又一技术方案为：一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述的基于深度神经网络的流量分类方法的以下操作：

相对于现有技术，本申请实施例产生的有益效果在于：本申请实施例的基于深度神经网络的流量分类方法、系统及电子设备提出基于CNN+LSTM的流量分类方案，该方案首次利用每条网络流的前向流、反向流、传输流特征作为全局特征，通过分析挖掘这三者之间的关联，可以充分的了解网络行为；同时，使用深度学习神经网络算法做流量分类，可以自动卷积提取高维特征，不断迭代特征学习，自动学习参数，直到学习率不在发生变化，结果取得了很好的分类精度。相比现有技术，本申请能够提高网络流量分类的精度和性能。

附图说明

图1是本申请实施例的基于深度神经网络的流量分类方法的流程图；

图2是本申请实施例的基于深度神经网络的流量分类系统的结构示意图；

图3是本申请实施例提供的基于深度神经网络的流量分类方法的硬件设备结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。

请参阅图1，是本申请实施例的基于深度神经网络的流量分类方法的流程图。本申请实施例的基于深度神经网络的流量分类方法包括以下步骤：

步骤100：采集原始网络流量(Raw Traffic)，并获取相应的网络日志；

步骤100中，采集原始网络流量具体为通过网络数据中心或者模拟局域网环境进行网络流量采集。首先通过设置专用网络监控软件参数监控网络数据中心，例如开启SNMP协议定时轮询开启SNMP服务的智能交换节点，以获得基于设备端口的流量统计，其他协议同理操作。或者在模拟局域网环境中设置特定的网络协议，让对应的网络应用服务通过防火墙获取网络流量数据。为了准确的标记网络流量，在采集网络流量时，必须要获取相应的网络日志，这些日志详细的记载着网络应用间的交互行为、网络应用和服务端的传输负载等。

步骤200：基于网络包分类技术对原始网络流量进行特征提取，生成各种类型的网络流数据(Flow Data)，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；

步骤200中，网络包分类技术即将拥有相同的五元组{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}的网络包{packet_1,packet_2,…,packet_n}归并为对应的网络流Flow_i＝{packet_1,packet_2,…,packet_n}(i＝1,2,…,n)；由于传输协议TCP和UDP的连接时间都是有生命周期的，因此随着时间，这些相同的网络包会产生很多的网络流{flow1,flow2,…}。

本申请实施例中，网络流量的特征提取包括：包特征{Size-packet,Interval-packet,…}、流特征{Length-flow,Flow packet-per,…}、状态连接特征{Flag-Cnt,Active,…}等，并提取每条网络流的{前向流(client->server)，反向流(server->client)，传输流(tcp,udp)}三维特征，每条网络流的前向流、反向流、传输流的特征之间既有区别也有内在联系，本申请通过将这三种网络流的相关系数矩阵作为深度神经网络的输入，从而能够深层次了解网络流量的特征联系，提高分类精度。

网络流数据标记具体为：通过检测网络日志和每条网络流中的{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}五个字段，如果网络流与网络日志中有相同的五元组，则将该条网络流的标签标记为网络日志中对应的网络应用或者协议。

步骤300：对数据集进行预处理及归一化处理，得到带有标记的网络流数据集；

步骤400：重构训练数据集结构，并通过重构的训练数据集训练卷积神经网络(Convolutional Neural Network,CNN)，得到高维度的全局卷积特征；

步骤400中，卷积神经网络的训练过程具体包括以下步骤：

步骤401：将标记好的训练数据集输入卷积神经网络中；

步骤402：基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，生成三维特征的网络流数据集结构。例如：每条网络流大致可以分为75个特征，其中前向流25个特征，反向流25个特征，传输流25个特征，分别计算二者之间的相关系数矩阵。

步骤403：为了适应卷积神经网的数据输入格式，将数据集格式变换为(None,25,25,3)；例如：高级神经网络Keras，如果使用Theano和Caffe做后端，则使用(样本数，通道数，行或称为高，列或称为宽)通道在前的方式，称为channels_first；如果使用TensorFlow做后端，则使用(样本数，行或称为高，列或称为宽，通道数)通道在后的方式，称为channels_last。变换后的数据格式(None,25,25,3)可以看成是25x25的彩色图片3通道，能更好的卷积操作得到全面的卷积特征。

步骤404：用重构的训练数据集训练卷积神经网络，得到高维度的全局卷积特征；

步骤404中，卷积神经网络一般包括以下几种层：

①卷积层(Convolutional layer)；CNN中每层卷积层可由若干卷积单元组成，每个卷积单元的参数通过反向传播算法优化得到。卷积运算的目的是提取局部特性，第一层卷积层可能只能提取一些边缘、线条和角等层级的低级特征，拥有更多的网络层则能提取到更复杂的局部特征。其中的激活函数(Activation function)可以将特征经过非线性变换，使得更加贴合实际，减少过拟合；

②池化层(Pooling layer)；通常在卷积之后产生大量的高维度特征，将这些高维度特征分成几个区域，取每个区域的最大值或者平均值等，可以得到新的较小维特征；

③全连接层(Fully-Connected layer)；将所有高维的特征转换成全局特征。

基于上述操作，通过CNN网络不断迭代提取局部特征，可以很好的抽象提取出网络流的高维特征。

步骤500：将卷积神经网络输出的全局卷积特征重新调整结构后输入长短期记忆网络(LSTM，Long Short-Term Memory)进行训练，并输出最终的流量分类预测结果；

步骤500中，LSTM网络由不同的网络单元或者记忆块组成。LSTM单元一般会输出两种状态到下一个LSTM单元，即单元状态和隐藏状态。记忆块负责记忆各个隐藏状态或前面时间步的事件，这种记忆方式一般是通过输入门、遗忘门和输出门三种门控机制实现的。

经过LSTM网络训练后，可以得到多维的序列相关流(Corr-Flow Vector)向量特征；然后连接全连接层，并用softmax做激活函数，输出预测的每个类的概率矩阵，最终得到流量分类预测结果。

上述中，本申请用LSTM网络以序列特征为输入做预测分类，可以很好的学习特征之间的关系，得到很高的分类精度。

步骤600：用相同结构的测试数据集评估模型的精确度并测试验证，提高模型的分类精度和鲁棒性；

步骤600中，通过用同样结构的测试集验证模型，自动卷积得到很多的高维特征，并用训练深度神经模型可以取得较高的分类识别率和准确率。

请参阅图2，是本申请实施例的基于深度神经网络的流量分类系统的结构示意图。本申请实施例的基于深度神经网络的流量分类系统包括数据采集模块、数据集生成模块、数据集处理模块、CNN特征提取模块、LSTM预测模块和测试模块。

数据采集模块：用于采集原始网络流量(Raw Traffic)，并获取相应的网络日志；其中，采集原始网络流量具体为通过网络数据中心或者模拟局域网环境进行网络流量采集。首先通过设置专用网络监控软件参数监控网络数据中心，例如开启SNMP协议定时轮询开启SNMP服务的智能交换节点，以获得基于设备端口的流量统计，其他协议同理操作。或者在模拟局域网环境中设置特定的网络协议，让对应的网络应用服务通过防火墙获取网络流量数据。为了准确的标记网络流量，在采集网络流量时，必须要获取相应的网络日志，这些日志详细的记载着网络应用间的交互行为、网络应用和服务端的传输负载等。

数据集生成模块：用于基于网络包分类技术对原始网络流量进行特征提取，生成各种类型的网络流数据(Flow Data)，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，网络包分类技术即将拥有相同的五元组{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}的网络包{packet_1,packet_2,…,packet_n}归并为对应的网络流Flow_i＝{packet_1,packet_2,…,packet_n}(i＝1,2,…,n)；由于传输协议TCP和UDP的连接时间都是有生命周期的，因此随着时间，这些相同的网络包会产生很多的网络流{flow1,flow2,…}。

具体的，数据集生成模块包括：

用于提取网络流量特征的特征提取单元；网络流量的特征提取包括：包特征{Size-packet,Interval-packet,…}、流特征{Length-flow,Flow packet-per,…}、状态连接特征{Flag-Cnt,Active,…}等，并提取每条网络流的{前向流(client->server)，反向流(server->client)，传输流(tcp,udp)}三维特征，每条网络流的前向流、反向流、传输流的特征之间既有区别也有内在联系，本申请通过将这三种网络流的相关系数矩阵作为深度神经网络的输入，从而能够深层次了解网络流量的特征联系，提高分类精度。

用于对网络流数据进行标记的网络流标记单元；通过检测网络日志和每条网络流中的{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}五个字段，如果网络流与网络日志中有相同的五元组，则将该条网络流的标签标记为网络日志中对应的网络应用或者协议。

数据集处理模块：用于对数据集进行预处理及归一化处理，得到带有标记的网络流数据集；

CNN特征提取模块：用于重构训练数据集结构，并通过重构的训练数据集训练卷积神经网络(Convolutional Neural Network,CNN)，得到高维度的全局卷积特征；CNN特征提取模块具体包括以下操作：

1)将标记好的训练数据集输入卷积神经网络中；

2)基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，生成三维特征的网络流数据集结构。例如：每条网络流大致可以分为75个特征，其中前向流25个特征，反向流25个特征，传输流25个特征，分别计算二者之间的相关系数矩阵。

3)为了适应卷积神经网的数据输入格式，将数据集格式变换为(None,25,25,3)；例如：高级神经网络Keras，如果使用Theano和Caffe做后端，则使用(样本数，通道数，行或称为高，列或称为宽)通道在前的方式，称为channels_first；如果使用TensorFlow做后端，则使用(样本数，行或称为高，列或称为宽，通道数)通道在后的方式，称为channels_last。变换后的数据格式(None,25,25,3)可以看成是25x25的彩色图片3通道，能更好的卷积操作得到全面的卷积特征。

4)用重构的训练数据集训练卷积神经网络，得到高维度的全局卷积特征；卷积神经网络一般包括以下几种层：

LSTM预测模块：用于将卷积神经网络输出的全局卷积特征重新调整结构后输入长短期记忆网络(LSTM，Long Short-Term Memory)进行训练，并输出最终的流量分类预测结果；其中，LSTM网络由不同的网络单元或者记忆块组成。LSTM单元一般会输出两种状态到下一个LSTM单元，即单元状态和隐藏状态。记忆块负责记忆各个隐藏状态或前面时间步的事件，这种记忆方式一般是通过输入门、遗忘门和输出门三种门控机制实现的。

测试模块：用于使用相同结构的测试数据集评估模型的精确度并测试验证，提高模型的分类精度和鲁棒性；通过用同样结构的测试集验证模型，自动卷积得到很多的高维特征，并用训练深度神经模型可以取得较高的分类识别率和准确率。

图3是本申请实施例提供的基于深度神经网络的流量分类方法的硬件设备结构示意图。如图3所示，该设备包括一个或多个处理器以及存储器。以一个处理器为例，该设备还可以包括：输入系统和输出系统。

处理器、存储器、输入系统和输出系统可以通过总线或者其他方式连接，图3中以通过总线连接为例。

存储器作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块，从而执行电子设备的各种功能应用以及数据处理，即实现上述方法实施例的处理方法。

存储器可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至处理系统。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入系统可接收输入的数字或字符信息，以及产生信号输入。输出系统可包括显示屏等显示设备。

所述一个或者多个模块存储在所述存储器中，当被所述一个或者多个处理器执行时，执行上述任一方法实施例的以下操作：

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本申请实施例提供的方法。

本申请实施例提供了一种非暂态(非易失性)计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行以下操作：

本申请实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行以下操作：

本申请实施例的基于深度神经网络的流量分类方法、系统及电子设备提出基于CNN+LSTM的流量分类方案，该方案首次利用每条网络流的前向流、反向流、传输流特征作为全局特征，通过分析挖掘这三者之间的关联，可以充分的了解网络行为；同时，使用深度学习神经网络算法做流量分类，可以自动卷积提取高维特征，不断迭代特征学习，自动学习参数，直到学习率不在发生变化，结果取得了很好的分类精度。相比现有技术，本申请能够提高网络流量分类的精度和性能。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

一种基于深度神经网络的流量分类方法，其特征在于，包括以下步骤：

步骤a：对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；

步骤b：重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；

步骤c：将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。
根据权利要求1所述的基于深度神经网络的流量分类方法，其特征在于，所述步骤a还包括：采集原始网络流量，并获取相应的网络日志；其中，所述原始网络流量通过网络数据中心或者模拟局域网环境进行采集，所述网络日志内容包括网络应用间的交互行为、网络应用和服务端的传输负载。
根据权利要求2所述的基于深度神经网络的流量分类方法，其特征在于，在所述步骤a中，所述对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记具体包括：

步骤a1：将拥有相同的五元组{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}的网络包{packet_1,packet_2,…,packet_n}归并为对应的网络流Flow_i＝{packet_1,packet_2,…,packet_n}(i＝1,2,…,n)；

步骤a2：提取包特征{Size-packet,Interval-packet,…}、流特征{Length-flow,Flow packet-per,…}、状态连接特征{Flag-Cnt,Active,…}，以及每条网络流的{前向流(client->server)，反向流(server->client)，传输流(tcp,udp)}三维特征；

步骤a3：检测网络日志和每条网络流中的{源IP,源Port,目的IP，目的Port,传输协议(TCP,UDP)}五个字段，如果网络流与网络日志中有相同的五元组，则将该条网络流的标签标记为网络日志中对应的网络应用或者协议。
根据权利要求1所述的基于深度神经网络的流量分类方法，其特征在于，所述步骤a还包括：对数据集进行预处理及归一化处理。
根据权利要求1至4任一项所述的基于深度神经网络的流量分类方法，其特征在于，在所述步骤b中，所述卷积神经网络的训练过程具体包括：

步骤b1：将标记好的数据集输入卷积神经网络中；

步骤b2：基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，生成三维特征的网络流数据集结构；

步骤b3：为了适应卷积神经网的数据输入格式，将数据集格式变换为(None,25,25,3)；其中，变换后的数据格式(None,25,25,3)可以看成是25x25的彩色图片3通道；

步骤b4：用变换后的数据集训练卷积神经网络，得到高维度的全局卷积特征。
根据权利要求5所述的基于深度神经网络的流量分类方法，其特征在于，在所述步骤b中，所述卷积神经网络包括卷积层、池化层和全连接层；所述卷积层用于提取局部特性；所述池化层用于将卷积之后产生的高维度特征分成几个区域，取每个区域的最大值或者平均值，得到新的较小维特征；所述全连接层用于将所有高维的特征转换成全局特征。
根据权利要求5所述的基于深度神经网络的流量分类方法，其特征在于，在所述步骤c中，经过LSTM网络训练后，得到多维的序列相关流(Corr-Flow Vector)向量特征；然后连接全连接层，并用softmax做激活函数，输出预测的每个类的概率矩阵，最终得到流量分类预测结果。
根据权利要求7所述的基于深度神经网络的流量分类方法，其特征在于，所述步骤c后还包括：用相同结构的测试数据集评估模型的精确度并测试验证。
一种基于深度神经网络的流量分类系统，其特征在于，包括：

数据集生成模块：用于对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；

CNN特征提取模块：用于重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；

LSTM预测模块：用于将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。
一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述1至8任一项所述的基于深度神经网络的流量分类方法的以下操作：

步骤a：对原始网络流量进行特征提取，生成各种类型的网络流数据，并根据网络日志对网络流数据进行标记，生成用于构建深度神经网络的数据集；其中，所提取的特征包括每条网络流的前向流、反向流、传输流三维特征；

步骤b：重构数据集结构，并通过重构的数据集训练CNN网络，所述CNN网络基于提取的三维特征，分别计算每条网络流中的前向流和反向流特征、前向流和传输流特征、反向流和传输流特征之间的相关系数矩阵，输出高维度的全局卷积特征；

步骤c：将所述CNN网络输出的全局卷积特征输入LSTM网络进行训练，并输出流量分类预测结果。