[发明专利]识别网络流量类型的方法、装置、系统、设备和存储介质

权利要求书

1.一种识别网络流量类型的方法，其特征在于，所述方法包括：

对客户端与服务器之间通信的网络流量进行复制以获取所述网络流量；

从获取的网络流量中采集与所述网络流量的类型相关联的字段集；

对所述字段集进行判定和统计以获得特征参数集；以及

根据所述字段集中的至少一个字段和所述特征参数集中的至少一个特征参数进行层级划分，将层级划分结果作为识别的所述网络流量类型；

其中，对所述字段集进行判定和统计以获得特征参数集包括：

对所述字段集中的一个或多个字段进行判定，以生成对应的判定值作为第一特征参数集，其中所述第一特征参数集是所述特征参数集的第一子集；

对所述第一特征参数集中的一个或多个特征参数进行统计，以生成对应的统计值作为第二特征参数集，其中所述第二特征参数集是所述特征参数集的第二子集；

其中，根据所述字段集中的至少一个字段和所述特征参数集中的至少一个特征参数进行层级划分包括：

使用决策树算法将所述至少一个字段和所述至少一个特征参数作为输入值；

通过决策树中的各级节点对所述输入值中的一个或多个进行二元划分，其中各级节点中的每个节点表示不同的停止划分条件；以及

如果在一个节点处所述输入值中的一个或多个符合对应于该节点的停止划分条件，则在该节点处终止划分，否则继续划分。

2.根据权利要求1所述的方法，其特征在于，所述第一特征参数集是通过如下方式生成的：

将所述字段集中的一个或多个字段的取值分别与不同的判定条件进行匹配，

其中，所述不同的判定条件包括字段的取值是否命中特定字符、字段的取值是否为空、或字段的取值是否符合特定格式；以及

取决于匹配结果，生成对应于所述不同的判定条件的布尔值，以作为所述第一特征参数集中的特征参数。

3.根据权利要求1所述的方法，其特征在于，所述第二特征参数集是通过如下方式生成的：

将所述字段集中的至少一个字段取值相同的网络流量归类成一组或多组同类网络流量，其中所获取的网络流量是多个网络流量；

统计所获取的网络流量中每组同类网络流量的总流量数目；

统计每组同类网络流量中所述第一特征参数集中的特定特征参数的判定值为真的流量数目；以及

计算特定特征参数的判定值为真的流量数目占总流量数目的比例值，以作为所述第二特征参数集中的特征参数。

4.根据权利要求1-3中任一项所述的方法，其特征在于：

所述网络流量类型包括应用程序网络流量和网站网络流量；

所述网络流量是双向网络流量，包括网络请求和网络应答；以及

所述网络流量使用以下协议中的一个或多个进行传输：超文本传输协议和安全套接层上的超文本传输协议。

5.根据权利要求1所述的方法，其特征在于，通过以下步骤训练所述决策树以得到流量类型识别模型：

获取多个网络流量样本，所述多个网络流量样本被标记有已知网络流量类型；

从所述多个网络流量样本中采集每个网络流量样本的字段集；

对每个网络流量样本的字段集进行处理以获得每个网络流量样本的特征参数集；以及

使用标记有已知网络流量类型的所述多个网络流量样本，基于字段集中的至少一个字段、特征参数集中的至少一个特征参数来训练所述决策树以得到所述流量类型识别模型。