[发明专利]一种基于二维卷积神经网络的应用层协议识别方法

说明书

本发明提出一种基于二维卷积神经网络的应用层协议识别方法，包括以下步骤：数据预处理、分类模型的构建、未知网络流的应用层协议识别。本发明从捕获的原始网络数据中提取出网络流，将网络流转化为二维卷积神经网络的输入，由二维卷积神经网络在训练过程中自动提取特征作为协议识别的依据。最后，利用训练好的卷积神经网络分类模型进行网络协议识别。本发明能够避免应用层协议识别领域人工提取特征的困难，有效提高应用层协议识别结果的准确率。

技术领域

本发明涉及网络技术领域，尤其是一种基于二维卷积神经网络的应用层协议识别方法，该方法以网络数据流为分析对象，将网络数据流映射成二维特征矩阵输入二维卷积神经网络，通过卷积神经网络自动化提取出合适的特征用于识别网络流所对应的应用层协议，在训练好卷积神经网络之后，通过卷积神经网络对应用层协议归属信息未知的网络流量进行协议识别。

背景技术

应用层协议识别是指通过人工分析或自动化手段从IP协议承载的网络流量中提取出能够标识网络应用层协议的关键特征，然后以这些特征为基础准确标识网络流量所隶属的应用层协议。应用层协议识别技术有助于对网络流量的组成进行分析，能够为网络管理与维护、网络内容审计、网络安全防御等多个研究领域提供数据支撑。

根据对人力的依赖程度，应用层协议识别可以分为人工分析和自动分析两类。人工分析方法依靠研究人员的领域经验或先验知识获取协议特征信息，进而对网络流量进行协议识别。而自动分析方法则基于模式识别、机器学习等理论从网络流量中自动化提取协议特征，并以此特征作为协议识别的根据，减少了人工开销。

根据研究方法的不同，目前应用层协议自动识别方法主要包括基于预设规则的协议识别方法、基于载荷特征的协议识别方法、基于主机行为的协议识别方法以及基于机器学习的协议识别方法四种。

基于预设规则的协议识别方法中最典型的方法是利用端口进行协议识别。但是随着网络应用的快速发展，很多应用都向用户提供了自定义端口的功能，用户可以根据自己的喜好设置网络应用所使用的端口，这使得基于传统的IANA的端口分配规则越来越难准确识别流量类型。比如，不能因为通信使用了80端口，就判定其为HTTP协议的流量。基于载荷特征的协议识别方法主要是使用深度包检测和正则表达式技术，通过匹配数据包载荷中预定义的固定特征串，来进行协议识别。这种识别方法简单、准确度较高，但不能识别加密协议，而且当特征串的数量较多时，计算开销将显著增长，识别效果会降低。基于主机行为的协议识别方法主要利用了网络流量的统计特性，如数据流持续时间、字节数、传输间隔时间等在网络数据传输过程可直接测量的统计参数。此类方法有效避免前两种方法的特征提取操作，但因统计信息采集繁琐，且受网络环境影响，统计结果可能不稳定，应用层协议识别的准确度偏低。

面对与日俱增的网络流量，基于机器学习的协议识别方法是目前效果较好的一类应用层协议识别方法。根据分类模型结构的不同，机器学习方法可以分为浅层学习和深度学习两类。浅层学习算法本质上属于浅层结构算法，主要包括支持向量机、朴素贝叶斯、决策树、k-means等机器学习算法。这些算法在应用层协议识别领域应用时，难以表示复杂的非线性函数关系，处理复杂问题的泛化能力有限，而且依赖于人工选择特征，特征选择的好坏会严重影响协议识别效果。

相比于浅层学习算法，深度学习算法的特征是从原始数据中自动学习得到。深度学习算法不需要繁琐的特征提取与特征数据建模，仅需依据原始数据，通过多层网络学习得到原始数据的抽象高层特征。卷积神经网络是深度学习领域目前最为重要的模型。卷积神经网络已经应用在自然语言处理、图像分类与识别、语音识别等领域，并且取得了很好的效果，但在协议识别领域的应用相对较少。

目前，卷积神经网络在应用层协议识别领域的应用尚处于起步阶段。如何将网络流量转化为卷积神经网络的输入缺乏深入研究，卷积神经网络结构的设计也需要系统分析，充分考虑网络结构和参数对应用层协议识别过程的影响。在提高卷积神经网络训练效率的同时，提升应用层协议识别的准确率，是该领域研究的核心目标。

发明内容