| 发明名称 | 一种基于小波能量谱的流量识别方法 | ||
| 摘要 | 本发明涉及基于小波能量谱的流量识别方法。属于流量识别技术领域,该方法包括:首先对网络流量数据进行定期采样,将采样数据分解为不同的数据流;使用有效载荷方法分析数据流的应用协议类型,对各应用协议的数据流进行离散小波变换,计算其在不同尺度上的以2为底的小波能量谱的对数并进行零均值化处理,统计相同应用协议的小波能量谱的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中;对数据流进行多尺度特征提取步骤的处理,对数据流的多尺度特征与特征数据库中各应用协议的多尺度特征标准逐一计算欧氏距离,具有最小欧式距离的应用协议作为流量识别的结果;本发明同时具有高的识别正确率和低的运算复杂度。 | ||
| 申请公布号 | CN102594836A | 申请公布日期 | 2012.07.18 |
| 申请号 | CN201210067294.0 | 申请日期 | 2012.03.06 |
| 申请人 | 青岛农业大学 | 发明人 | 时鸿涛;徐鹏民;盖凌云 |
| 分类号 | H04L29/06(2006.01)I;H04L12/56(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 代理人 | ||
| 主权项 | 一种基于小波能量谱的流量识别方法,其特征在于,包括1)网络流量采样步骤、2)获取应用协议特征数据库的多尺度特征提取步骤和3)对数据流进行特征提取和识别步骤三部分:1)所述的网络流量采样步骤,具体包括:11)对网络流量数据进行定期采样,采样内容包括TCP/IP和UDP/IP数据包,采样数据为单位时间内传输的字节数量,包括上行和下行两个方向;12)将采样数据分解为不同的数据流:上述采样数据包含多个数据流,而每一个数据流是包含一个确定的本地ip地址、一个确定的目的ip地址以及一个确定的目的端口的网络流量的传输字节数量;并通过<local ip,remote ip,remote port>3元组使每一个数据流被唯一定义;2)获取应用协议特征数据库的多尺度特征提取步骤,具体包括:21)通过有效载荷分析获得数据流的应用协议类型;22)对各应用协议的数据流进行多尺度特征提取步骤的处理,得到各应用协议的数据流的由小波能量谱表示的多尺度特征;所述的多尺度特征提取步骤,包括:使用离散小波变换对数据流进行小波分解,得到各级小波系数;然后计算数据流在不同时间尺度上的以2为底的小波能量谱的对数,并进行零均值化处理;23)统计各应用协议的数据流在不同时间尺度上的零均值化的以2为底的小波能量谱的对数的数学期望,并将数学期望作为各应用协议的多尺度特征标准存储到特征数据库中;3)对数据流进行特征提取和识别,具体包括:31)对数据流进行多尺度特征提取步骤的处理,所述的多尺度特征提取步骤同步骤22),得到该数据流的由小波能量谱表示的多尺度特征;32)对数据流的多尺度特征与特征数据库中各应用协议的多尺度特征标准逐一计算欧氏距离;33)以数据流的多尺度特征与特征数据库中各多尺度特征标准之间具有最小欧式距离的应用协议,作为流量识别的结果。 | ||
| 地址 | 266109 山东省青岛市城阳区长城路700号 | ||