[发明专利]一种基于两阶段序列特征学习的网络流量分类方法及系统

说明书

本发明涉及一种基于两阶段序列特征学习的网络流量分类方法，方法包括：在数据包和网络流两个层次上分两阶段使用长短时记忆神经网络学习网络流量的序列特征，第一阶段在流量字节序列的基础上生成数据包向量序列，第二阶段在数据包向量序列的基础上进一步生成网络流向量，最后使用分类器对网络流向量执行流量分类。该方法充分考虑了网络流量的内部结构组织关系，有效利用了长短时记忆神经网络的时序特征学习能力，得到比较综合全面的流量特征后再进行分类，能够实现更加准确的网络流量分类效果。

技术领域

本发明涉及计算机网络流量分析领域，具体涉及一种基于两阶段序列特征学习的网络流量分类方法及系统。

背景技术

网络流量分类是指按照具体业务需求将网络流量归类至某目标类别，是网络管理和网络安全领域的一项基本任务。例如，在网络管理领域，可以将流量分类为不同的优先级，以实现更好的服务质量控制；在网络安全领域，可以将流量分为正常流量和恶意流量，以实现网络异常检测并采取防护措施。

目前，主流的流量分类方法包括：基于端口的方法、基于深层包检测的方法、基于统计的方法、基于行为的方法。在传统机器学习方法在网络流量分类的应用中，流量特征的选取是包含上述的流量结构化信息的。一般的网络流量特征分为两类，包特征和流特征。其中，包特征是指数据包的相关特征(例如：包大小和包方向)，流特征是指整个网络流的相关特征(例如：流持续时间和每秒流比特数)。

由于随机端口和伪装端口技术的大量应用，通过端口分类的方法准确率偏低。目前，研究较多的是基于统计的方法和基于行为的方法，它们属于传统的机器学习分类方法，特点是需手工设计流量特征，使用不同的流量特征集得到的分类效果往往差别很大。

发明内容

本发明的目的是在于克服目前基于深度学习的网络流量分类方法没有充分利用网络流量结构化信息的问题，提供一种网络流量分类方法，能够分阶段学习数据包和网络流两个层次的网络流量的序列特征，在此基础上实现更加准确的流量分类效果。

为实现上述目的，本发明提供了一种基于两阶段序列特征学习的网络流量分类方法，所述方法包括：在数据包和网络流两个层次上分两阶段使用长短时记忆神经网络学习网络流量的序列特征，第一阶段在流量字节序列的基础上生成数据包向量序列，第二阶段在数据包向量序列的基础上进一步生成网络流向量，最后使用分类器对网络流向量执行流量分类。

第一方面，本申请实施例提供了一种基于两阶段序列特征学习的网络流量分类方法，该分类方法具体包括：对流量字节序列进行数据包序列特征学习，确定数据包向量序列；对数据包向量序列进行网络流序列特征学习处理，确定网络流向量；根据网络流向量进行网络流量分类。

在本方案中，利用两阶段用序列特征学习处理，即数据包序列特征学习处理和网络流序列特征学习处理，充分考虑了网络流量数据的内部结构组织关系，有效利用目标网络的时序特征学习能了，得到全面网络流量数据特征，再进行分类，能够实现更加准确的网络流量分类效果，以克服目前基于深度学习的网络流量分类方法没有充分利用网络流量结构化信息的问题。

在一个可选的实现方式中，上述“对流量字节序列进行数据包序列特征学习，确定数据包向量序列”可以包括：使用长短时记忆神经网络对每个数据包的流量字节序列进行数据包序列特征学习，所述每个数据包生成一个对应的数据包向量，每个网络流生成一个对应数据包向量序列。

在另一个可选的实现方式中，上述“所述数据包向量序列进行网络流序列特征学习处理，确定网络流向量”可以包括：使用长短时记忆神经网络对所述每个网络流的数据包向量序列数据进行网络流序列特征学习，所述每个网络流生成一个对应的所述网络流向量。

在又一个可选的实现方式中，上述“长短时记忆神经网络”可以为长短时记忆神经网络，其结构为单向网络或双向网络，层数为至少一层。