[发明专利]一种基于DPI和SVM技术的网络流量识别系统及方法

说明书

技术领域

本发明属于网络管理领域，特别涉及一种基于DPI和SVM技术的网络流量识别系统及方法。

背景技术

网络流量识别技术是指通过获取基于IP协议承载的未知网络数据流量，采用特定的识别方法，分析出该网络流量中包含的成分，将网络上传输的数据流与具体的网络协议或者网络应用类型对应起来的技术；网络流量识别技术目前主要有基于网络端口的识别方法、基于数据包分析的识别方法以及基于数据流分析的识别方法三大类。

(1)基于端口的网络流量识别方法：基于端口的识别方法是将网络端口和相应的网络应用相对应，得到端口进而判别是哪一种应用协议。例如web应用的80端口，DNS(53)，FTP(20,21)，e-mail(25,110)等；基于端口识别的方法最大的优势在于识别的速度快，并且识别系统实现起来简单，端口的知识库组建和扩展都很容易；但是基于网络端口识别方法的局限性也越来越明显，因为随着网络应用不使用默认的端口实现，越来越多的使用动态分配的端口；而且许多应用或者恶意行为为了绕过防火墙，隐藏原本的端口；所以该方法准确率越来越低。

(2)基于数据包分析的识别方法：基于数据包分析识别方法准确率最高，并且速度快；使用最多的为深度包监测技术(DPI)，是通过检查数据包有效载荷，通过匹配已知特征库确定是哪一个应用层的协议而得到结果；但是这种方法要求更多的资源(包括处理的时间和存储的空间)，尤其是对加密的数据流无能为力，而且检测数据包应用层内容牵涉到隐私问题。

(3)基于数据流分析的识别方法：因为DPI等基于数据包有效载荷进行流量识别对于加密的数据流无能为力以及查看数据包内容在法律上牵涉到隐私的问题，基于数据流分析的识别方法在此环境之下被提出；基于数据流分析的识别方法是从宏观的角度，对数据流进行数据统计，包括单位时间数据流数目、数据流的位速率、流大小以及流的生存周期(数据流的开始和结束时间之差)；基于数据流的识别方法，最常见的是将统计的特征用于机器学习进行识别；但是这种方法的准确度没有DPI技术高，对于流的统计有时候需要等待一条数据流结束，而且当发生丢包情况时，对识别的结果有一定的影响。

发明内容

本发明要解决的技术问题在于，针对基于端口识别技术的准确率低，基于DPI的技术对数据加密的业务识别困难，基于机器学习的识别技术存在丢包的缺陷，提出了将DPI和SVM相结合的网络流量识别系统及方法。

本发明解决其技术问题所采用的技术方案是：首先在网络上捕获数据包，提取常见特征后，将数据流通过DPI识别，然后在DPI识别过程中再进行提取特征，最后将该特征和之前提取的常见特征整合一起作为SVM的特征输入对数据流进行分类。

本发明采用的技术方案如下：

一种基于DPI和SVM技术的网络流量识别系统，包括捕获模块、分析模块、DPI识别模块、SVM分类模块、训练模块、特征库、数据库；分析模块分别与捕获模块、DPI识别模块、SVM分类模块、训练模块相连；DPI识别模块、训练模块分别与SVM分类模块相连；特征库与DPI识别模块相连；数据库分别与DPI识别模块和SVM分类模块相连。

基于上述系统的网络流量识别方法，包括以下步骤，

步骤1、捕获模块从网络上获取数据包，并将数据包传送给分析模块；

  步骤2、分析模块对数据包进行会话重组和特征提取，并将得到的数据流发送至训练模块和DPI识别模块，将提取出的特征传送至SVM分类模块；

  步骤3、训练模块对获得的数据流进行训练，并将得到的特征发送给SVM分类模块；

    步骤4、DPI识别模块将接收到的数据流通过特征匹配进行识别，并且在特征匹配的过程中再次对数据流进行特征提取，将提取的特征发送给SVM分类模块，同时标识该数据流是否需要重新识别，如果是，则进入步骤5，否则将数据流发送至数据库，转步骤6；

    步骤5、DPI识别模块将需要重新识别的数据流发送给SVM分类模块，SVM分类模块根据其得到的特征对数据流进行分类，并将数据流发送至数据库，转步骤6；

步骤6、数据库将得到的数据流进行结果统计。