[发明专利]一种基于网络流行为的内容感知方法

说明书

本发明提供一种基于网络流行为的内容感知方法，它包括以下步骤：在外部网络环境采集网络流量并提取观测特征作为训练样本；利用训练样本对模型进行训练；将未知类型的网络流输入模型识别其内容；利用识别的网络流数据和历史模型参数进行增量学习，更新模型参数，保证模型分类的连续性。本发明利用了隐马尔可夫模型的动态建模能力和深度神经网络强大的非线性表示能力，实验结果表明了本方法的可行性，以及对比现有技术方案的性能优势。

技术领域

本发明属于网络技术领域，更具体地，涉及一种基于网络流行为的内容感知方法。

背景技术

网络流量的分类和识别是很多网络管理问题的基础。通过准确识别网络流量的类型，网络管理员可以根据给定的策略为不同类型的网络应用/服务提供不同的服务质量；其次，通过网络流量的识别，可以掌握当前网络资源的使用状况，为网络基础架构规划提供依据；此外，流量分类也是入侵检测系统的关键部分，通过识别异常的网络流量来阻止攻击，是网络安全领域的重要检测手段。

常用的流量分类方法主要由四种：1)基于端口的方法，2)基于分组载荷特征的方法，3)基于流的方法，4)混合特征的方法。

1)基于端口的方法

基于端口的方法是指利用网络应用在IANA(Internet Assigned NumbersAuthority)注册的端口号来识别流量对应的应用类型。例如，HTTP协议使用80端口，SMTP协议使用25端口，FTP协议使用21端口等。端口识别的方法具有简单高效的特点，不需要复杂的计算，可以部署在高速的网络链路中，实现流量的实时分类。但是端口号方法不能实现对以下几种类型流量的识别：一是使用动态端口进行通信的网络应用；二是使用熟知的端口号来伪装自身流量，以达到逃避防火墙检测的目的。

2)基于分组载荷特征的方法

基于分组载荷特征的方法又称DPI(参见论文“Tongaonkar A,Torres R,Iliofotou M,et al.Towards self adaptive network traffic classification[J].Computer Communications,2015,56:35-46.”)(Deep Packet Inspection，深度包检测)，该方法通过检查应用层载荷是否包含特定的结构模式，比如关键字和字符串，该结构模式只存在于特定的应用层协议的消息中，所以该方法的识别结果非常精确。DPI方法也有其缺陷和不足：一是随着人们关于网络安全意识的提升，越来的越多的应用使用加密的协议传输数据(参见论文“Velan P,M,P,et al.A survey of methods forencrypted traffic classification and analysis[J].International Journal ofNetwork Management,2015,25(5):355-374.”)，DPI对加密的流量难以处理；其次，对用户数据包解析涉及到隐私保护问题；三是无法获得有关私有协议的特征结构描述。

3)基于流的方法