一种基于正迁移学的智能网络业务识别方法

摘要

在网络数据传输领域中，针对DPI和DFI对网络业务识别和管理方法中存在的网络业务识别速率慢，特征库更新不及时，整体识别率低及无法做到非实时离线检测和分析等问题，本发明提出了一种基于迁移学的智能网络业务识别方法，提高网络业务的分析效率和准确性。首先采用DPI和DFI并行检测的方法对网络业务进行检测、识别，而不是现有技术方案中常用的串行方式实现两种方法的结合，从而提高对网络业务的识别效率。由于DPI采用特征字的识别技术判定业务类型，对于特征库的更新需要及时、快速，所以本发明采用了正迁移学法建立、更新DPI的特征库。DFI无法识别的网络业务，采用关联流检测模块进行检测，进一步提高整体系统的业务识别效率。

主权项

权利要求1:一种基于正迁移学习的智能网络业务识别方法，其特征在于：该方法包括以下步骤：（1）利用抓包软件从网络中捕获需要识别的数据包，导入粗粒度归类协议模块，进行初步分类；（2）粗粒度归类协议模块根据数据包是否加密或协议特征是否已知，将数据包进行粗粒度分类：受限数据包和开放数据包，开放数据包是通过特征检测可以识别的数据包；受限数据包则是加密和特征未知的数据包；（3）将开放数据包直接发送至DPI模块进行检测识别，受限数据包传递给DFI模块，DPI模块和DFI模块中的数据包并行且独立地进行操作、识别；（4）DPI模块将收到的数据包进行拆包处理，提取特征字符串，与后台特征库（通过正迁移学习法建立、更新）匹配，根据匹配结果判定业务类别，将识别的数据包发送至输出模块进行转发操作；未识别的数据包生成检测失败报告，交给用户管理界面决定是否丢弃；（5）DFI模块收到受限数据包后，DFI不进行拆包处理，直接统计网络流量中的流标签与DFI模块中的流量检测模型（由流量持续时间、连接平均包的大小等统计特征形成的检测模型）比对，比对相同，说明识别出网络业务类型，则将识别的数据包发送至检测输出模块；否则将未识别数据包发送给关联流检测模块；（6）关联流检测模块不需要拆包操作，通过对网络流量特征识别实现非实时离线检测，首先将一些时间、空间属性相似性的网络流量进行关联，获取相关图，与已识别的网络流量组相比较，即若网络流量A为已识别的业务类型，则在A的生存期间内，有未被识别的网络流量B，并且B与A流关联程度在门限值内，则可判定B也为该业务类型，进而识别出DFI未识别的业务类型；（7）根据各检测模块输出的检测结果，将已识别的数据包归类放到各种应用类型专属的缓冲区中暂时缓存，再按一定的带宽控制策略将数据包发送出去；对未识别的数据包生成检测失败报告，发送给用户管理界面，根据用户需求判定是否需要继续发送，采用DPI和DFI并行检测的方法对网络业务进行检测、识别，而不是现有技术方案中常用的串行方式实现两种方法的结合，从而提高对网络业务的识别效率，采用正迁移学习法建立、更新DPI的特征库，提高特征库建立、更新的速度，对DFI无法识别的网络业务，采用关联流检测模块进行检测，进一步提高整体系统的业务识别能力。