[发明专利]基于负载映射与随机森林的非加密流量识别方法

权利要求书

1.一种非加密移动应用流量识别方法，具体包括：

方法基于随机森林分类器，包括预处理阶段、随机森林分类器建模阶段和预测阶段；

预处理阶段，负责提取数据包负载中的有用信息，以降低训练和预测时的复杂度，且能降低噪声；

随机森林分类器建模阶段，将负载映射为向量空间中的TFIDF向量，以此进行随机森林分类器的训练；

预测阶段，对未知标签的流量，提取出数据包负载，经过预处理阶段，提取出有用信息，同样经过负载映射到向量空间，将该向量输入到分类器模型中，得到预测标签。

2.根据权利要求说明1所述方法，其特征在于，用于训练与测试的HTTP流量负载，仅截取”\r\n\r\n”之前的内容，删去无用的数据部分。

3.根据权利要求说明1所述方法，其特征在于，对流量负载依照空格、斜杠等分隔符进行分词，引入自然语言处理领域中的方法，计算单词的逆文档频率(TFIDF)以映射到向量空间，以TFIDF值衡量单词的重要程度，即建立的分类特征是重要单词的TFIDF值，训练流量样本集可被视为向量集合。

4.根据权利要求说明1所述方法，其特征在于，对所有单词的TFIDF值进行从高到低的排序，选择重要度高的单词建立词袋模型，将重要度低的单词从词袋中删去。

5.根据权利要求说明1所述方法，其特征在于，对训练向量集合，随机抽样生成数据子集D₁、D₂、......、D_N，对于某数据子集D_i，当建立随机森林分类器时，树的节点属性分裂方法采用二分法，假设某单词的TFIDF取值有k个，将这k个取值从小到大排列，记为{a₁，a₂，...，a^k}，基于划分点a^t可将D_i分为两个子集和其中表示该单词的TFIDF取值不大于a^t的样本，表示该单词的TFIDF取值大于a^t的样本。

6.根据权利要求说明1所述方法，其特征在于，所述方法还包括：

在构建随机森林的第i棵树T_i时，若输入的所有训练样本都属于同一类C_k，则T_i为单节点树，并将类C_k作为该节点的类标记；否则，对于每一个特征A，对其可能取的每一个值a，计算基尼指数，计算公式定义为其中，D_i1和D_i2表示按照分割点a将数据集合划分成的两部分，D_im基尼指数计算公式为C_k表示D_im中属于第k类的样本子集，由于基尼指数刻画了集合的不确定性，故选择基尼指数最小的特征A_g及其对应的切分点作为最优特征和最优切分点，将训练数据集分配到两个子节点中，递归进行以上步骤，直到满足迭代停止的条件。

7.根据权利要求说明1所述方法，其特征在于，随机森林分类器对于每条样本x，都会输出该样本属于目标应用的概率P(Y＝1|x)，以及样本不属于目标应用的概率P(Y＝0|x)，选择概率值大的作为最终的标签。