[发明专利]一种对未知应用进行分类的方法及装置

权利要求书

1.一种对未知应用进行分类的方法，其特征在于，包括：

抓取未知应用的网络数据流量包，并对所述网络数据流量包进行预处理，获得所述网络数据流量包的报文向量集合；

采用预设的深度对抗模型，获取所述报文向量集合的报文特征；其中，所述深度对抗模型是基于伪报文向量集和真实报文向量集，进行对抗训练后获得的，所述伪报文向量集是对所述报文向量集合中的指定数量的报文向量进行编码与解码后获得的，所述真实的报文向量集是从所述报文向量集合中随机挑选出的所述指定数量的报文向量；

基于预设的聚类算法及预设应用类别数量，对所述报文特征进行聚类及迭代优化，获得最优聚类；

按所述最优聚类的聚类类别对所述未知应用进行分类。

2.如权利要求1所述的方法，其特征在于，对所述网络数据流量包进行预处理，获得所述网络数据流量包的报文向量集合，包括：

去除所述网络数据流量包的报文头，获取网络流量报文集；

从所述网络流量报文集中，依次取出指定数量的报文，获得所述网络流量报文集的每一个报文集；

对所述网络流量报文集的每一个报文集进行正则化处理，获得所述报文向量集合。

3.如权利要求1所述的方法，其特征在于，从预设的深度对抗模型中，获取所述报文向量集合的报文特征，包括：

从所述报文向量集合中随机挑选出两组相同数量的样本报文向量集，获得第一样本报文向量集和第二样本报文向量集；其中，所述第二样本报文向量集为所述真实报文向量集；

基于所述第一样本报文向量集和所述第二样本报文向量集，通过随机梯度下降算法对所述深度对抗模型中的模型参数进行更新迭代，直至所述深度对抗模型的误差收敛值达到预设值时，从所述预设的深度对抗模型中，获取所述报文向量集合的报文特征。

4.如权利要求3所述的方法，其特征在于，通过随机梯度下降算法对所述深度对抗模型中的模型参数进行更新迭代，直至所述深度对抗模型的误差收敛值达到预设值，包括：

每次对所述深度对抗模型中的模型参数进行更新迭代的过程如下：

通过所述深度对抗模型，对所述第一样本报文向量集和所述第二样本报文向量集进行计算与判断，获得伪报文向量集和判断结果；

基于所述判断结果及所述伪报文向量集和所述真实报文向量集，通过所述深度对抗模型的预设目标函数，计算所述深度对抗模型的误差收敛值；

当所述误差收敛值未达到所述预设值时，采用指定参数值更新所述模型参数；其中，所述指定参数值是根据所述深度对抗模型的参数更新公式计算得的；

当所述误差收敛值达到所述预设值时，停止对所述模型参数的更新。

5.如权利要求4所述的方法，其特征在于，通过所述深度对抗模型，对所述第一样本报文向量集和所述第二样本报文向量集进行计算与判断，获得伪报文向量集和判断结果，包括：

通过所述深度对抗模型中的生成模型，对所述第一样本报文向量集中的每一条样本报文向量进行仿制，生成所述伪报文向量集；其中，所述深度对抗模型包括所述生成模型和判别模型；

通过所述判别模型，判断所述伪报文向量集及所述第二样本报文向量集中的每一条报文向量的真假，获得所述判断结果。

6.如权利要求5所述的方法，其特征在于，从所述预设的深度对抗模型中，获取所述报文向量集合的报文特征，包括：

在停止对所述指定参数的更新之后，从训练完成的生成模型中获取第一特征集合，以及从训练完成的判别模型中获取第二特征集合；其中，所述第一特征集合用于表征所述第一样本报文向量中所有样本报文向量的分类特征，所述第二特征集合用于表征所述第二样本报文向量中所有样本报文向量的分类特征；

将所述第一特征集合和所述第二特征集合构成的特征集合，作为所述报文特征。