[发明专利]一种网络流量分类方法及系统

说明书

本发明公开了一种网络流量分类方法及系统，所述方法包括：步骤1)获取网络数据流；步骤2)将所述数据流转化为二维矩阵，提取二维矩阵的方向梯度直方图特征A₁和局部二值模式直方图特征A₂，并将A₁和A₂进行拼接形成线性可分特征；步骤3)将所述线性可分特征输入支持向量机模型实现网络流量的分类。本发明的方法通过将矩阵数据视作灰度图的方式，提取方向梯度直方图和局部二值模式两种纹理特征，将流量数据转换到线性可分空间，提高分类性能并提升流量分类精度。

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络流量分类方法及系统。

背景技术

随着网络技术高速发展，互联网应用爆发式增长。快速增长的网络流量给网络服务质量(QoS)以及网络安全带来巨大压力。流量识别技术是提升网络管理水平、改善网络服务质量的重要技术之一，网络流量的有效识别和分类对网络安全保障具有重要的意义。

网络流量识别与分类技术有基于端口号的识别技术、深度包检测技术、基于行为的流量识别方法、基于流量特征的流量识别方法等。但在目前的网络环境中，某些软件使用使用动态端口或常用协议端口以隐蔽流量身份，基于端口号的识别技术已无法提供较高的分类精度。另外由于加密技术广泛应用，网络加密流量不断上升，加密流量的有效载荷经过加密后，深度包检测技术也无法进行匹配检测。基于行为的流量识别方法需要监控网络中的主机结点，消耗大量时间和空间资源，并且一般只能粗粒度识别流量类型，当网络中的主机同时运行多种应用时，行为特征就会变得不明显。

基于流量特征的检测技术主要使用机器学习技术建立分类模型，基于机器学习的检测方法需要人工刻画流量特征，主要是数据流层面和数据包层面的特征，对先验知识要求较高。特征大多在网络层或传输层就可完成特征提取，相比于深度包检测技术的复杂度大大下降。

发明内容

本发明的目的在于克服上述技术缺陷，提供了一种网络流量分类方法，该方法通过将矩阵数据视作灰度图的方式，提取方向梯度直方图和局部二值模式两种纹理特征，将流量数据转换到线性可分空间，提高分类性能。

为了实现上述目的，本发明提供了一种网络流量分类方法，所述方法包括：

步骤1)获取网络数据流；

步骤2)将所述网络数据流转化为二维矩阵，提取二维矩阵的方向梯度直方图特征A₁和局部二值模式直方图特征A₂，并将A₁和A₂进行拼接形成线性可分特征；

步骤3)将所述线性可分特征输入支持向量机模型实现网络流量的分类。

作为上述方法的一种改进，所述步骤1)具体为：从网络中截取数据流量包，将一系列具有相同源地址、目的地址、源端口、目的端口和协议的数据流量包汇聚为一个网络数据流。

作为上述方法的一种改进，所述步骤2)具体包括：

步骤2-1)将所述网络数据流转化为m*k的二维矩阵；

步骤2-2)将所述二维矩阵视为m*k大小的8位灰度图，提取方向梯度直方图特征向量A₁；

步骤2-3)将所述二维矩阵视为m*k大小的8位灰度图，提取局部二值模式直方图特征向量A₂；

步骤2-4)将特征向量A₁和特征向量A₂进行拼接形成线性可分特征。

作为上述方法的一种改进，所述步骤2-1)具体包括：

步骤2-1-1)选取常数m，获取所述网络数据流的前m个连续的数据包，对每个数据包读取TCP或UDP协议的有效载荷原始数据；