[发明专利]自动发现未知网络流的方法、装置、设备及存储介质

说明书

本发明公开了一种自动发现未知网络流的方法，包括：提取网络流的特征，将网络流的特征输入神经网络中进行处理，得到神经网络输出的网络流的分类结果，将分类结果输入到归一化指数函数中进行处理，得到分类结果对应的分类概率结果，当各个分类概率值均小于预设阈值时，确定所述网络流为应用类型未知的网络流。本发明还公开了一种自动发现未知网络流的装置、自动发现未知网络流的设备和存储介质。本发明通过将网络流的特征输入到神经网络进行处理，并将神经网络的输出经过归一化指数函数转换为概率，在概率低于预设阈值时判定该网络流的应用类型为未知，提供了一种准确高效的自动发现未知网络流的方法。

技术领域

本发明涉及计算机技术领域，尤其涉及一种自动发现未知网络流的方法、自动发现未知网络流的装置、自动发现未知网络流的设备及计算机存储介质。

背景技术

网络流识别技术是当今计算机网络非常重要的部分。它能够识别互联网中网络流的应用类型，从而有助于更好地管理网络，提供网络服务，过滤不符合审计要求的网络流量，探测网络中具有潜在威胁或攻击的网络流。所以,网络流识别技术对于网络管理、网络服务质量提升与安全防护起着至关重要的作用。

然而传统网络流识别技术对于已知网络流应用类型能够实现较好的识别，但是对于未知网络流，往往会将其归入已知网络流类型，较易出现误判情况。例如使用SVM支持向量机的方法，只能将一种网络流对应到一个已知的网络应用类型，并不能识别出未知的网络流。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种自动发现未知网络流的方法、自动发现未知网络流的装置、自动发现未知网络流的设备和计算机存储介质，旨在解决采用传统网络流识别技术会导致未知网络流的误判问题技术问题。

为实现上述目的，本发明提供一种自动发现未知网络流的方法，所述自动发现未知网络流的方法包括如下步骤：

获取网络数据包，根据所述网络数据包的五元组信息区分出网络流并提取所述网络流的特征；

将所述网络流的特征输入神经网络中进行处理，得到所述神经网络输出的所述网络流的分类结果，其中，所述神经网络的参数由已识别应用类型的网络流的特征训练得到；

将所述分类结果输入到归一化指数函数中进行处理，得到所述分类结果对应的分类概率结果；

将所述分类概率结果中的各个分类概率值分别与预设阈值进行判断；

当各个所述分类概率值均小于所述预设阈值时，确定所述网络流为应用类型未知的网络流；

其中，所述网络流的特征包括数据包长度特征、数据包时间特征和数据包服务类型特征。

优选地，所述获取网络数据包，根据所述网络数据包的五元组信息区分出网络流并提取所述网络流的特征的步骤之前还包括：

获取已识别应用类型的网络流，并提取所述已识别应用类型的网络流的特征；

将所述已识别应用类型的网络流的特征输入所述神经网络进行训练，以更新所述神经网络的参数。

优选地，所述将所述已识别应用类型的网络流的特征输入所述神经网络进行训练，以更新所述神经网络的参数的步骤包括：

将所述已识别应用类型的网络流的特征转换成特征向量或特征矩阵；

将所述特征向量或特征矩阵输入所述神经网络进行训练，以更新所述神经网络的参数。

优选地，所述数据包长度特征包括所述网络流的最大数据包长度、最小数据包长度、平均数据包长度和数据包长度方差；