[发明专利]利用数据流头部特征的TCP流量在线识别方法及装置

权利要求书

1.一种利用数据流头部特征的TCP流量在线识别方法，其特征在于包括以下步骤：

步骤1，前期真实流量数据的获取：采集多个网络真实流量数据集，这些数据集在不同时间采自于待 部署网络；

步骤2，前期真实流量的数据流梳理：通过查找数据流的起始数据包，以及{源地址、目的地址、源端 口、目的端口、传输层协议类型}五元组将步骤1所得流量数据集分离为不同的TCP流，使得流量数据集 转换为TCP流的集合；

步骤3，对前期真实TCP流集合进行人工分类：使用净荷检查方法，对步骤2得到的TCP流集合进行 手工的流量识别分类，使步骤2的每一条流都与一种协议类型相对应；

步骤4，提取TCP流集合的包特征：得到每一条流中头部若干个数据包的特征，该若干个数据包的个 数为n，该特征包括包长、包的修正间隔时间、传输方向，并按照数据包在该流的先后顺序构建一个特征 序列；

步骤5，建立协议特征库：根据步骤3所得的数据流协议类型和步骤4所得的数据流特征，建立若干 组矩阵，每一个矩阵存储同一种协议数据流的同一序号数据包特征的联合概率密度，使得每一种协议有一 组联合概率密度矩阵与之对应，其中联合概率密度矩阵存储该类协议数据流头部若干数据包的特征的联合 概率密度；

步骤6，提取待分析数据流的数据包特征：按照数据包在该数据流的先后顺序，依次提取该数据流头 部n个数据包的特征，该特征包括包长、包的修正间隔时间、传输方向，组成一个特征序列；

步骤7，比对协议特征库：将步骤6所得到的特征序列与步骤5所得到的协议特征库进行比对，获得 该数据流属于某种协议的概率值；

步骤8，协议类型分类仲裁：根据步骤7所得到的概率值，最大概率值所对应的协议类型即判为该数 据流所属的协议类型。

2.根据权利要求1所述的方法，其特征在于，在TCP流量在线识别之前，存在一个离线处理阶段， 对前期的数据进行搜集，并进行人工分类，提取特征，构建协议特征库。

3.根据权利要求1所述的方法，其特征在于，采用参数的联合概率分布作为协议特征衡量的工具； 其存储和表达方式包括但不限于矩阵式存储结构，其数据预处理手段包括但不限于归一化和离散化。

4.根据权利要求1所述的方法，用于TCP业务的在线流量识别方法及装置，其特征在于，采集的特 征序列遵照同一数据流中数据包到达的顺序。

5.根据权利要求1所述的方法，用于TCP业务的在线流量识别方法及装置，其特征在于，分类仲裁 阶段按照最大概率原则或者加权最大概率原则的方式进行判决。

6.根据权利要求1所述的方法，其特征在于，步骤4中的数据包的特征包括以下的一种或者几种，

单个数据包的特征；

关联的多个数据包的特征。

7.一种利用数据流头部特征的TCP流量在线识别装置，其特征在于，

数据流分离模块，从监测流量中按照{源地址、目的地址、源端口、目的端口、传输层协议类型}五元 组进行数据流分离，并去掉不关心的数据流量；

属性提取模块，从数据流中按顺序提取头部n个数据包的特征，该特征包括数据包包长、包的修正间 隔时间、传输方向，组成特征序列；

分类仲裁模块，完成提取特征与协议特征库的比对，获得该数据流属于某种协议的概率值，以及按照 最大概率或者加权最大概率原则进行仲裁；

协议特征库，存储通过前期采集数据分析得到的协议特征，其特征在于：通过进行前期数据采集、数 据流分离以及数据流特征提取，得到TCP流的协议类型以及基于数据包包长、包的修正间隔时间、传输方 向的特征序列，并根据TCP流的协议类型和基于数据包包长、包的修正间隔时间、传输方向的特征序列， 建立若干组矩阵，每一个矩阵存储同一种协议对应的TCP流的同一序号数据包特征的联合概率密度，使得 每一种协议有一组联合概率密度矩阵与之对应，其中联合概率密度矩阵存储该类协议对应的TCP流头部若 干个数据包的特征的联合概率密度，该若干个数据包的个数为n。