[发明专利]一种软件定义网络中基于深度包检测技术的加密流量智能识别方法

权利要求书

1.一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：包括以下步骤：

步骤S1：软件定义网络控制器收集网络流量，去除OpenFlow协议数据包头，生成原始网络流量；

步骤S2：将原始网络流量通过软件定义网络北向接口发送至应用层部署的深度包检测模块，识别出未加密的网络流应用类型，其中，深度包检测模块由开源深度包分析库nDPI经软件定义网络控制器北向Restful API接口，部署至应用层；

步骤S3：将其余加密的网络流量采用pcap格式保存在本地；

步骤S4：通过双向流量特征提取工具CICFlowMeter，从pacp文件中提取流级统计特征，形成CSV格式文件；

步骤S5：使用随机森林方法作为加密流量的智能分类器，对CSV本地离线数据集分析并建立智能分类初始模型；

步骤S6：调整加密流量智能分类初始模型的参数，进而验证分类效果；由此获得加密流量智能分类模型，并加以应用于加密网络流量的在线识别。

2.根据权利要求1所述的一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：所述步骤S1的具体内容为：当软件定义网络数据平面的交换机接收到新的网络流时，将流量上传至控制器中，控制器对流量解析，去除OpenFlow协议数据包头，生成原始网络流量。

3.根据权利要求1所述的一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：步骤S2中所述识别出未加密的网络流应用类型的具体内容为：采用开源的nDPI库作为深度包检测功能模块的核心，将步骤S1中生成的原始网络流量，通过北向接口发送至应用层部署的深度包检测模块，由nDPI识别网络流是否加密并识别出未加密的网络流应用类型。

4.根据权利要求1所述的一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：所述步骤S4，采用CIC开发的双向网络流量特征提取工具CICFlowMeter，从加密网络流数据集pcap 文件中统计出30个主要流级特征，形成CSV格式的报告文件；报告文件中每条流用六个元素作为唯一标识，分别是 FlowID、SourceIP、DestinationIP、SourcePort、DestinationPort、Protocol。

5.根据权利要求4所述的一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：所述步骤S5具体包括以下步骤：

步骤S51：随机抽取加密网络流数据集70%数据作为加密流量智能识别方法的训练数据集D，30%作为测试数据集T；每条数据包括30个流统计特征并标注Chat、Video、Mail、VoIP、SNS、P2P类型；

步骤S52：用K-means聚类方法将步骤S51的训练数据集清洗，去除噪声数据；

步骤S53：输入的网络数据训练样本D个数为N，用Bagging抽样方式选择n个样本构建一个新的训练集d，以此来生成一个决策树，其中n≤N；

步骤S54：随机选择特征对决策树进行分裂；当一个样本有Z个属性时，不放回的随机从中选取z个属性作为候选特征集C，用Gini系数或信息熵作为衡量标准，选择z中最好的特征对节点进行分裂，其中z≤Z；

步骤S55：所有决策树都按照步骤S54进行分裂，并且都不剪枝，直到无法分裂为止，使用随机森林方法作为加密流量的智能分类的初始模型构建完成。

6.根据权利要求5所述的一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，其特征在于：所述步骤S6具体包括以下步骤：利用步骤S5中30%的测试数据集，通过准确率、精确率、召回率、F1-Measure四个评价指标，调整加密流量智能分类模型的树木数量、树的最大深度、决策树划分时考虑的参数包括的最大特征数、叶子节点最少样本数和内部节点再划分所需最小样本数，验证模型的分类效果，进而得到加密网络流量的智能分类模型；当有新的网络流量到达交换机，执行步骤S1、步骤S2，若为未加密流量则直接识别，若为加密流量，则进一步执行步骤S3、步骤S4，并传输至构建的加密流量智能分类模型，识别出加密流量的应用类型。