[发明专利]基于深度学习的物联网应用流量检测方法

权利要求书

1.一种基于深度学习的物联网应用流量检测方法，其特征在于，该方法包括以下具体步骤：

步骤1：流量数据预处理

流量抓取：对物联网设备上运行的应用使用Wireshark进行抓取，并将所抓取的流量数据包Pcap文件封装成域名、源IP地址、目标IP地址、网络协议及字节长度五种数据结构；

人工标注：人工针对Pcap头文件信息与加密方式的不同进行应用流量的归属分类，即采用人工方式对于每一个抓取后的数据包封装后的数据结构进行人工分析，确定每个流量数据包具体属于何种应用；

步骤2：流量包数据结构化

Split Cap文件分割：将步骤1分类后的流量数据使用Split Cap工具进行Pcap文件的切割与筛选，得到经过分割后的单条流量数据样本，读取Pcap文件；

信息解析：选取包含关键信息的流量部分，即当前Pcap文件的前1024个字节，转换成为像素图形式；

二进制存储：根据流量包图结构的差异性，进行中值填充操作，最后保存为相同尺寸的流量图数据集X-Mnist；

步骤3：流量数据的检测识别

采用TensorFlow神经网络框架，将步骤2得到的数据集X-Mnist随机分为训练数据集与测试数据集，搭建TensorFlow模型并使用训练数据集进行云端训练，再通过测试数据集的测试之后，得到准确率90%-99%网络模型，设备端再进行网络模型下载，使用拟合模型进行应用检测，完成物联网应用流量分类；其中：

对访问物联网设备的所有流量包进行存储，在众多流量信息中分析Pcap文件中的头信息，通过域名选取的方式，将流量信息进行粗略筛选，整体分为应用级与系统级两个级别流量；系统级流量直接舍弃，再通过Pcap文件加密信息与流量头中所包含的通用域名信息，将应用级流量进行统一细分；

对具体流量细分完成之后，经过二次查验过程，在二次查验中，需经过访问脚本访问具体的已分类流量源地址，再次通过流量源地址确定应用类型，虽然每个应用所采用的源地址不同，但是能够将所有源地址经过地址查询机制进行确定，并将所有源地址进行集合汇总，通过二次查验保证原始数据集的正确性；

所述的流量数据使用Split Cap工具进行Pcap文件的切割，抽取成为若干个大小相同的数据段，再将各个数据段进行封装，封装成为各个应用下的对应着每个时钟周期的序列表，并将封装好的序列表作为下一步图结构化的输入。