[发明专利]互联网流量区分方法

权利要求书

1.一种互联网流量区分方法，其特征在于，包括以下步骤：

100.流出被测量网络中部分主机的数据依据应用程序与预定的应用类型标签的映射关系而被标记；

200.在被测量网络边界处镜像流出被测量网络的网络流量，进而将该镜像的网络流量转发两路以备处理，一路用于半监督聚类分析，转步骤310，另一路用于监督学习分类，转步骤320；

310.半监督聚类分析：将镜像的网络流量聚类成簇的集合，对其中包含有应用类型标签的流量样本的簇进行标记，并将其中没有包含应用类型标签的流量样本的簇所包含的所有流量样本都映射为半监督聚类分析得出的新的应用类型；然后将半监督聚类分析的结果输出；

400.依据半监督聚类分析的结果中新的应用类型，添加新的应用程序与应用类型标签的映射关系项；

320.监督学习分类：

321.使用镜像的网络流量中的被标记的流量样本，即有标签数据训练分类器；

322.依据所述分类器对未被标记的流量进行分类，并把分类后的分类结果输出；

500.对半监督聚类分析的结果与步骤322分类结果输出的流量进行成分对比分析，以用于指导分类训练器的生成和半监督聚类分析方法。

2.根据权利要求1所述的互联网流量区分方法，其特征在于，步骤100包括：

101.依据预定的用于映射应用程序的应用类型名称和应用类型标签创建一个Socket Hash表； 

102.针对数据流，在应用程序使用套接字调用处理数据包时利用Hook机制截获相应的数据包，并至少获取其中的流出主机的数据包的应用类型名称；

103.进而，在所述Socket Hash表中匹配有步骤102获得的应用类型名称时，建立数据包与相应应用类型标记的对应关系；并依据该对应关系添加表项至预设的NDIS Hash表中；

104.在网络协议驱动与小端口驱动进行数据交互中利用Hook机制截获流出主机的所述数据包，在该数据包匹配有NDIS Hash表项时，标记该数据包。

3.根据权利要求2所述的互联网流量区分方法，其特征在于，在步骤102获取的信息还包括流出主机的数据包所属流的五元组；

相应地，在NDIS Hash表项中含有相应数据包的三元组。

4.根据权利要求2所述的互联网流量区分方法，其特征在于，对数据包的标记为标记在数据包IP头部中，从而在数据包汇聚流时，通过对包头信息的识别获取所述应用类型标记。

5.根据权利要求1所述的互联网流量区分方法，其特征在于，在网络边界处通过基于FPGA的接口卡镜像并转发流出被测网络的网络流量。

6.根据权利要求1所述的互联网流量区分方法，其特征在于，所述步骤监督学习分类采用被标记的流量样本生成分类器的步骤如下：

301.针对流量样本中的所有数据包，提取每个数据包的五元组信息，然后查找初始创建的流记录表以判断在该表中是否存在所获得五元组信息相匹配的流；若有，转下一步，否则在所述流记录表中添加新的流记录；

302.对流记录表中满足观测窗口要求的数据包依序进行存储并根据对应的五元组信息及包序列号进行成流汇聚；

303.当一条流记录中的数据包个数等于观测窗口包个数上限时，计算该流的特征信息，与获取的匹配的应用类型形成特征进而存储到文件；

304.以所述文件为基础，依据选定的监督学习算法进行训练，生成判断流量为对应应用类型的规则，规则的集合形成分类器。