[发明专利]应用识别模型建立方法、流量数据的识别方法及装置

权利要求书

1.一种基于深度学习的应用识别模型建立方法，应用于主机与网络侧节点进行数据传输的环境，所述主机上设置有至少一条具备数据处理能力的主机进程，包括：

获取所述主机传输的多条主机数据，其中，各主机数据中携带有所述主机中对该主机数据进行处理的主机进程名称；

获取所述网络侧节点接收的多条流量数据，其中，各流量数据中携带有所述网络侧节点接收该流量数据时的数据包载荷；

对各主机数据与各流量数据进行比对，以查找出其中具备关联性的至少一对主机数据和流量数据；

对各对具备关联性的主机数据和流量数据的参数进行处理，以获取各对具备关联性的主机数据和流量数据所对应的主机进程名称与数据包载荷间的对应关系；

利用各对主机进程名称与数据包载荷的对应关系建立所述应用识别模型；

所述应用识别模型按如下步骤使用，包括：

获取所述应用识别模型的输入数据，经卷积层和池化层处理，生成输入数据的深度特征；

将所述深度特征送至与神经网络相同的全连接层，并对所述深度特征进行解析；

由所述全连接层将所述深度特征的解析结果传输至输出层，向外输出。

2.根据权利要求1所述的方法，其中，对各主机数据与各流量数据进行比对，以查找出其中具备关联性的至少一对主机数据和流量数据，包括：

对各主机数据与各流量数据携带的各参数进行比对；

根据多组参数相同，或者，相同参数比例超过比例阈值的比对规则，以查找出具备关联性的主机数据和流量数据对。

3.根据权利要求2所述的方法，其中，

主机数据携带的参数至少包括：主机数据的传输时间、源IP地址、源端口号、目标IP地址、目标端口号、处理主机数据的进程名称；

流量数据携带的参数至少包括：流量数据的接收时间、源IP地址、源端口号、目标IP地址、目标端口号、流量数据的数据包载荷。

4.根据权利要求2所述的方法，其中，根据多组参数相同，或者，相同参数比例超过比例阈值的比对规则，以查找出具备关联性的主机数据和流量数据对之后，还包括：

根据筛选规则对确定的具备关联性的主机数据和流量数据对进行筛选，进一步筛选出其中具备伪关联性的主机数据和流量数据对；

删除所述具备伪关联性的主机数据和流量数据对。

5.根据权利要求4所述的方法，其中，根据筛选规则对确定的具备关联性的主机数据和流量数据对进行筛选，进一步筛选出其中具备伪关联性的主机数据和流量数据对，包括下列至少之一：

若一条主机数据与两条以上流量数据具备关联性，则确定此关联性为伪关联性；

若一条主机数据与一条流量数据具备关联性，但是两者时间差超过时间差阈值，则确定此关联性为伪关联性。

6.根据权利要求1至5任一项所述的方法，其中，利用各对主机进程名称与数据包载荷的对应关系建立所述应用识别模型，包括：

分别对主机进程名称和数据包载荷进行机器语言转化，转化为机器可识别的机器数据；

进一步在转化后的主机进程名称和数据包载荷间建立对应关系，并利用该对应关系建立所述应用识别模型。

7.根据权利要求6所述的方法，其中，对主机进程名称进行机器语言转化，转化为机器可识别的机器数据，包括：

将主机进程名称与从0开始且逐一递增的有序列表进行映射，将各主机进程名称转化为对应自然数。

8.根据权利要求6所述的方法，其中，对数据包载荷进行机器语言转化，转化为机器可识别的机器数据，包括：

将十六进制串的数据包载荷转化为对应的十进制数；

对转化后的十进制数除以255，得到L个[0,1]的浮点数，其中，L为数据包载荷的长度。

9.根据权利要求1所述的方法，其中，所述卷积层和所述池化层多层叠加使用，且叠加越多，所述深度特征越深。