[发明专利]基于多层神经网络的网络应用识别方法

说明书

本发明公开了一种基于多层神经网络的网络应用识别方法，通过提取数据流特征对神经网络进行训练，克服了现有技术中无法识别加密流量、识别效率低的问题。本发明实现的步骤是：1)抓取网络流量数据包；2)生成网络数据流的特征集合；3)生成数据集；4)生成训练集和测试集；5)构建多层神经网络；6)训练神经网络；7)对测试样本集进行识别。本发明具有能够识别加密流量、模型简单、识别速度快的优点，可用于识别网络流量的网络应用类型。

技术领域

本发明属于通信技术领域，更进一步涉及网络流量识别技术领域中的一种基于多层神经网络的网络应用识别方法。本发明通过获取网络流量的信息，用于识别该网络流量的网络应用类型。

背景技术

网络应用识别技术是指通过获取网络流量的某些信息识别出该网络流量所属的网络应用，也称网络流量识别技术。网络应用识别不但能够优化网络配置，降低网络安全隐患，而且能够根据用户的行为分析提供更好的服务质量。现有的网络应用识别方法主要分为四种类型：基于端口的网络应用识别、基于深度包检测的网络应用识别、基于深度流检测的网络应用识别和基于深度学习方法的网络应用识别。

中国科学院计算机网络信息中心在其申请的专利文献“一种基于网络包载荷的卷积神经网络流量分类方法及系统”(专利申请号：CN 201811122301.6，申请公布号：109361617A)中公开了一种基于网络包载荷的卷积神经网络流量分类方法。该方法的具体步骤是：将网络抓包所得pcap文件中所有的数据包传输层的去除头部后的载荷数据提出取来，将整个数据包的载荷的信息转换为字节序列，随机打乱数据顺序并且进行训练集、验证集和测试集的分割；将结构化的数据输入一维卷积神经网络进行训练，完成神经网络隐藏单元的权重参数调整；在验证集和测试集上进行性能验证，若达不到性能指标，则反馈给模型训练模块继续调整模型参数。该方法存在的不足之处是，使用了深度卷积神经网络对整个数据包的载荷信息进行检测，网络结构复杂，识别效率低。

山东大学在其申请的专利文献“一种基于BP神经网络进行流量识别的方法”(专利申请号：CN 201410382172.X，申请公布号：CN 104144089A)中公开了一种利用BP神经网络的网络实时识别方法。该方法的具体步骤是：通过获取简单的网络数据流的数据包包头信息生成特征值，从中选取合适的特征值作为BP神经网络的输入，得到样本训练集，然后实时抓取网络数据流提取特征作为BP神经网络的输入进行实时识别。该方法存在的不足之处是，该方法仅通过提取网络数据流的数据包包头信息生成特征值，因此无法识别改变了数据包包头信息的加密流量的网络应用类型。

发明内容

本发明的目的在于针对上述现有技术不足，提出一种基于多层神经网络的网络应用识别方法。

实现本发明目的的思路是，目前的网络流量识别方法都具有识别效率低，且无法识别加密流量的缺点，而数据流特征不会受到流量加密技术的影响，具有不变性。本发明将通过提取数据流特征，然后构建一个通过训练神经网络来识别流量的模型。

为实现上述目的，本发明的技术方案包括如下：

(1)抓取网络流量数据包：

使用网络嗅探工具，在网络流量高峰时段，分别抓取有线网络环境下和无线网环境下的一段网络流量，将网络流量中的数据包组成数据包集合；

(2)生成网络数据流的特征集合：

(2a)将数据包集合中相同属性的数据包划分成一个小集合，作为一条网络数据流，重复选取直到将数据包集合中的所有数据划分完，最终得到由多条网络数据流组成的网络数据流集合；

(2b)提取每一条网络数据流中每个数据包的13种特征，将所有数据包的特征组成该条网络数据流的流特征，将所有的流特征组成流特征集合；

(3)生成数据集：