[发明专利]一种获得具有准确应用类型标识的网络流量数据集的方法

权利要求书

1.一种获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，包括以下步骤： 

A.依据预定的用于映射应用程序的应用类型名称和应用类型标识创建一个Socket Hash表； 

B. 针对数据流，在应用程序使用套接字调用处理数据包时利用Hook机制截获相应的数据包，并至少获取其中的流出主机的数据包的应用类型名称和五元组信息；

C.进而，在所述Socket Hash表中匹配有步骤B获得的应用类型名称时，建立数据包与相应应用类型标识的对应关系；并依据该对应关系添加表项至预设的NDIS Hash表中；

D.在网络协议驱动与小端口驱动进行数据交互中利用Hook机制截获流出主机的所述数据包，在该数据包匹配有NDIS Hash表项时，标记该数据包；

E.在网络边界依据被标记数据包的五元组信息把具有相同应用类型标识的数据包汇聚流。

2.根据权利要求1所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，对所述步骤E获得的数据包汇聚流按照被定义的数据集依据定义把所述数据包汇聚流制作数据集以备调用。

3.根据权利要求2所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，在制作数据集前还包括对数据进行过滤和隐私保护的步骤；

其中，过滤步骤是把数据流中数据包数目小于10或者持续时间小于0.01秒的数据流过滤掉；

隐私保护则是在采集到的数据含有IP地址时，把IP地址映射到内网的地址段内。

4.根据权利要求3所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，通过Webservice接口对所述数据集进行定义。

5.根据权利要求2所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，还包括对所获得的数据集进行描述的步骤，被描述的内容连同数据集一同发布。

6.根据权利要求1至5任一所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，在NDIS Hash表项中含有相应数据包的三元组。

7.根据权利要求1所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，一个过程是步骤B获得的信息通过直接存储器存取的方法写到内存中，而在步骤C中，当有以直接存储器存取操作时，使用除留余数法及开放地址法把所述信息写到所述NDIS Hash表中；

在此过程中，需将所操作的内存缓冲区对其他进程锁定。

8.根据权利要求1所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，在网络边界处，依据路由镜像，通过基于FPGA的接口卡获得所述数据包汇聚流。

9.根据权利要求1所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，对数据包的标记为标记在数据包的包头上，从而在数据包汇聚流时，通过对包头信息的识别获取所述应用类型标识。

10.根据权利要求1所述的获得具有准确应用类型标识的网络流量数据集的方法，其特征在于，在步骤C中，当Socket Hash表中没有匹配步骤B获得的应用类型名称时，统一标记为一个设定的应用类型标识。