[发明专利]一种软件定义网络中基于深度包检测技术的加密流量智能识别方法

说明书

本发明涉及一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，首先通过软件定义网络的控制器收集网络流量，去除OpenFlow协议数据包头，生成原始网络流量；接着将原始网络流量发送至应用层部署的深度包检测模块，识别出未加密的网络流应用类型；然后将其余的加密的网络流量采用pcap格式保存在本地；接着通过CICFlowMeter工具从pacp文件中提取流级统计特征，形成CSV格式文件；接着使用随机森林作为加密流量的智能分类器，对CSV本地离线数据集分析并建立智能分类初始模型；最后调整模型参数，进而应用于加密网络流量的在线识别。本发明有助于将在线识别的网络流量类型上报控制器，便于控制器及时制定更加合理的流量管理和控制策略。

技术领域

本发明涉及软件定义网络研究领域，特别是一种软件定义网络中基于深度包检测技术的加密流量智能识别方法。

背景技术

在网络服务应用层面，通常对流量进行更细致的识别，并获取更多的流量特征信息，就能够创建更细粒度的流量控制转发规则，从而提供更多类型的网络服务。软件定义网络（Software-Defined Networking，SDN）通过将控制逻辑与数据平面分离来打破 OSI 模型的垂直集成，使网络的灵活性、可见性和性能都得到显著改善。在SDN网络架构，OpenFlow协议匹配OSI模型中第1层到第4层的信息，包括入口端口、IP 地址和TCP/UDP等，可以实现数据流灵活调度。但由于5层之上的信息是不可见的，因此难以通过应用层协议对网络流量进行管理。深度包检测（Deep Packet Inspection，DPI）技术可以读取网络数据包的有效载荷，并对数据包内容的特征加以分析，识别出数据包的应用层协议等内容，进而制定更细粒度的流量管控策略。

发明内容

有鉴于此，本发明的目的是提供一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，有助于将在线识别的网络流量类型上报控制器，便于控制器及时制定更加合理的流量管理和控制策略。

本发明采用以下方案实现：一种软件定义网络中基于深度包检测技术的加密流量智能识别方法，包括以下步骤：

步骤S1：软件定义网络（Software-defined Network，SDN）控制器收集网络流量，去除OpenFlow协议数据包头，生成原始网络流量；

步骤S2：将原始网络流量通过软件定义网络北向接口发送至应用层部署的深度包检测模块，识别出未加密的网络流应用类型，其中，深度包检测模块由开源深度包分析库nDPI经软件定义网络控制器北向Restful API接口，部署至应用层；

步骤S3：将其余加密的网络流量采用pcap格式保存在本地；

步骤S4：通过双向流量特征提取工具CICFlowMeter，从pacp文件中提取流级统计特征，形成CSV格式文件；

步骤S5：使用随机森林方法作为加密流量的智能分类器，对CSV本地离线数据集分析并建立智能分类初始模型；

步骤S6：调整加密流量智能分类初始模型的参数，进而验证分类效果；由此获得加密流量智能分类模型，并加以应用于加密网络流量的在线识别。

进一步地，所述步骤S1的具体内容为：当软件定义网络数据平面的交换机接收到新的网络流时，将流量上传至控制器中，控制器对流量解析，去除OpenFlow协议数据包头，生成原始网络流量。

进一步地，步骤S2中所述识别出未加密的网络流应用类型的具体内容为：采用开源的nDPI库作为深度包检测（DPI）功能模块的核心，将步骤S1中生成的原始网络流量，通过北向接口发送至应用层部署的深度包检测模块，由nDPI识别网络流是否加密并识别出未加密的网络流应用类型。