[发明专利]一种基于流集的在线流量识别方法

摘要

本发明属于网络监督领域，具体的涉及一种基于流集的在线流量识别方法，其中硬件部分包括10G骨干线路接入模块、流量筛选模块和数据处理模块，该在线流量识别方法的步骤包括：步骤一：捕捉网络数据流量，提取其报文；步骤二：流集信息表的生成与维护；步骤三：对流集进行检测；步骤四：对流集进行分类。本发明很好地解决了高速链路在线流识别准确度低、效率不高等问题，极大的提高了对高速链路在线流识别的准确性、可靠性和有效性。本申请实施例在多种不同的类型的流量数据上进行验证，该在线流量识别技术比参考算法的分类性能均有不同程度的提升。

主权项

1.一种基于流集的在线流量识别方法，硬件部分包括10G骨干线路接入模块、流量筛选模块和数据处理模块，其中，数据经过10G骨干线路接入模块进入流量筛选模块，然后流入数据处理模块，其特征在于：该在线流量识别方法的步骤包括：步骤一：捕捉网络数据流量，提取其报文，所述捕捉网络数据流量的具体方法是：10G骨干线路接入模块通过连接骨干网络中的10G POS互联网流量，完成输入10G POS光传输到10G ETH以太网输入的协议转换；对已在匹配范围内的流进行跟踪，对输入原始包进行过滤筛选，进而区分出所需数据流量；步骤二：流集信息表的生成与维护，所述流集信息表的生成与维护的具体方法为：流集信息表用来存储线路中流集的信息，流集的信息包含流数、应用类别、流集时间窗和流集分类错误率估计；由于流集信息表空间有限，无法存放线路中所有出现的流集信息，因此采用LRU算法，将出现频度最低的流集放置于链表尾部，当流集数量超过流集信息表容量后，将链表尾部的端点淘汰；步骤三：对流集进行检测，所述流量筛选模块对流集进行检测包括：流集匹配规则检测、流集时间窗匹配规则检测和流集错误率匹配规则检测；所述流集匹配规则检测是：对接收报文进行处理，根据报文的源目三元组，查询报文所属流集是否在流集信息表中存在对应的表项，然后提取表项中的应用类别信息对报文进行标记处理；所述流集时间窗匹配规则检测是：检测流集信息表中的流集三元组信息是否过期，过期则需要进行删除处理；所述流集错误率匹配规则检测是：检测流集的分类错误率是否大于设定的错误率阈值，如果大于阈值，则需要对流集重新进行分类处理；步骤四：对流集进行分类，所述对流集进行分类的具体方法为：数据处理模块对流入报文、定位流表，提取流特征并进行流类型判别，并根据流分类置信度对流集的分类错误率进行估计，最终投票得出流集对应的应用类别，更新流集信息表中的相关信息。