[发明专利]一种面向应用软件的网络流量细粒度分类系统及方法

说明书

本发明涉及一种面向应用软件的网络流量细粒度分类系统及方法，包括：数据收集与预处理模块、特征提取与模型训练模块、流关联分析模块；数据收集与预处理模块：收集操作系统背景流量，收集目标应用软件的网络流量，然后进行预处理，从中过滤掉背景流量数据包和错误数据包，并按照流量五元组提取出流；特征提取与模型训练模块：针对提取出的每条流，利用一阶马尔科夫模型对流中的包大小序列进行建模，计算包大小序列的转移概率矩阵，并将其作为特征向量训练分类模型；流关联分析模块：对分类器的分类结果进行置信度检验，将小于类别概率阈值的流标记为模糊流，将模糊流与非模糊流通过K近邻端口进行关联分析，修正模糊流的类别标签，得到最终的分类结果。

技术领域

本发明涉及一种面向应用软件的网络流量细粒度分类系统及方法，属于计算机网络技术领域。

背景技术

网络流量分类在网络管理和网络安全中发挥着重要的作用。例如，为了更好的进行网络设计和配置，网络管理人员需要充分了解流量的组成和应用的使用趋势；为了更好的进行服务质量控制(QoS)，需要首先将网络中的所有流量按不同应用类型进行划分，然后针对不同类型的应用提供不同的服务质量等级，从而确保关键业务服务质量，维持网络高效通畅运行。在网络安全方面，流量分类是入侵检测系统(IDS)的核心部分，其可发现网络中的突发流量(如分布式拒绝服务攻击)和未知流量，以便于及时采取有效的防御措施。为了有效的进行网络流量分类，多种流量分类方法被相继提出，这些流量分类方法可以被归纳为三个类别：基于端口的方法、基于包负载内容的方法、基于流(flow)统计的方法。

基于端口的方法通过检查网络数据包的传输层端口号，然后根据IANA[9]定制的知名端口号与应用协议的对应关系来将数据包与不同的应用协议关联起来。然而，随着网络应用的不断发展，基于端口的方法逐渐变得不再可靠。已有研究表明[Karagiannis T,Broido A,Brownlee N,et al.Is P2P dying or just hiding？[P2P trafficmeasurement][C]//IEEE Global Telecommunications Conference.2004.]、[MadhukarA,Williamson C.A Longitudinal Study of P2P Traffic Classification[C]//IEEEInternational Symposium on Modeling.2006.]，新型的P2P类应用普遍使用随机端口进行数据传输。与此同时，有些应用将自己的网络流量隐藏在知名的端口之后以规避防火墙的检测，进而导致基于端口的流量分类方法不再适用。

考虑到基于端口的流量分类方法的缺点，基于包负载内容的方法[7,8]被提出。基于包负载内容的方法通过分析数据包的载荷数据来对已知的应用签名进行匹配。基于包负载内容的方法具有准确率高的优点，然而，其同时面临以下不足：(1)非标应用和私有协议缺乏公开可用的协议规范，导致特征串难找易变；(2)无法应对加密网络流量；(3)对数据包内容的检查存在隐私保护问题；(4)系统时间和空间开销巨大。