專利名稱:一種網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)處理技術(shù)��,尤其涉及一種網(wǎng)絡(luò)流量的識(shí)別方法及其設(shè)備����。
背景技術(shù):
所謂聚類��,即將物理或抽象對(duì)象的集合分成由類似的對(duì)象組成的多個(gè)類的過(guò)程被稱為聚類�。由聚類所生成的簇是一組數(shù)據(jù)對(duì)象的集合,這些對(duì)象與同一個(gè)簇中的對(duì)象彼此相似,與其他簇中的對(duì)象相異��。網(wǎng)絡(luò)流控設(shè)備在對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控時(shí)���,往往通過(guò)對(duì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行聚類來(lái)挖掘出流量中的應(yīng)用數(shù)量?���,F(xiàn)有技術(shù)中的聚類方法是基于整個(gè)局域網(wǎng)網(wǎng)絡(luò)流量進(jìn)行聚類���,由于整個(gè)局域網(wǎng)內(nèi)的用戶����、應(yīng)用數(shù)量繁多�����,網(wǎng)絡(luò)流量復(fù)雜��,聚類準(zhǔn)確度難以得到保證�,且基于整個(gè)內(nèi)網(wǎng)的網(wǎng)絡(luò)流量聚類,樣本空間大�����,效率低。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是網(wǎng)絡(luò)流量聚類效率準(zhǔn)確度低���,且聚類效率慢的問(wèn)題���。解決上述技術(shù)問(wèn)題,本發(fā)明一方面提供了一種網(wǎng)絡(luò)流量聚類的方法�����,該方法包括以下步驟采集全局網(wǎng)絡(luò)流量��;將全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割�,生成樣本數(shù)據(jù)���; 根據(jù)樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類�����;根據(jù)流量類型選擇不同的特征組合進(jìn)行聚類���。本發(fā)明第二方面提供了一種網(wǎng)絡(luò)流量聚類的設(shè)備。該設(shè)備包括采集單元�,用于采集全局網(wǎng)絡(luò)流量�;樣本數(shù)據(jù)生成單元�,用于根據(jù)全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割,生成樣本數(shù)據(jù)�;一級(jí)聚類單元,根據(jù)樣本數(shù)據(jù)進(jìn)行流量類型分類�����;二級(jí)聚類單元���,根據(jù)流量類型選擇不同的特征組合進(jìn)行聚類��。根據(jù)本發(fā)明的方法及其設(shè)備����,網(wǎng)絡(luò)流量聚類準(zhǔn)確度高��、效率快����、流量識(shí)別范圍廣, 能夠準(zhǔn)確挖掘出網(wǎng)絡(luò)流量中的應(yīng)用數(shù)量�,可作為網(wǎng)絡(luò)流控設(shè)備功能實(shí)現(xiàn)。
圖1為本發(fā)明網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的應(yīng)用場(chǎng)景����;圖2為本發(fā)明實(shí)施例網(wǎng)絡(luò)流量聚類的方法流程圖��;圖3為本發(fā)明實(shí)施例網(wǎng)絡(luò)流量聚類的設(shè)備結(jié)構(gòu)圖�����;圖4為一個(gè)負(fù)載特征組合中頻繁項(xiàng)集產(chǎn)生過(guò)程示意圖���;圖5為另一個(gè)負(fù)載特征組合中頻繁項(xiàng)集產(chǎn)生過(guò)程示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�����,顯然���,所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例?���;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�����。
圖1為網(wǎng)絡(luò)流量聚類的方法及其設(shè)備的應(yīng)用場(chǎng)景��。如圖1所示��,局域網(wǎng)用戶11���、用戶12和用戶13通過(guò)網(wǎng)絡(luò)流控設(shè)備22訪問(wèn)網(wǎng)絡(luò)。網(wǎng)絡(luò)流控設(shè)備22可以獲取整個(gè)局域網(wǎng)里的所有用戶(用戶11����、用戶12和用戶13)的網(wǎng)絡(luò)流量。圖2為本發(fā)明實(shí)施例網(wǎng)絡(luò)流量聚類的方法流程圖����。該方法包括步驟201-204。在步驟201�����,采集全局網(wǎng)絡(luò)流量,即采集整個(gè)內(nèi)網(wǎng)所有用戶的網(wǎng)絡(luò)流量����。在步驟202,全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割���,生成樣本數(shù)據(jù)����。具體地�����,將在步驟201中采集的全局網(wǎng)絡(luò)流量按照內(nèi)網(wǎng)單用戶進(jìn)行流量切割��,分成多個(gè)單用戶的模型流量�����,生成樣本數(shù)據(jù)���。樣本數(shù)據(jù)可以是一個(gè)連接的相關(guān)信息輸出,例如�,連接的元組信息�����、包長(zhǎng)序列信息��、上下行流量計(jì)數(shù)信息����、時(shí)間戳信息以及DPI分類標(biāo)簽信息等����。在步驟203,根據(jù)樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類���。該步驟可以理解為針對(duì)網(wǎng)絡(luò)流量的第一級(jí)聚類�。具體地����,網(wǎng)絡(luò)流控設(shè)備根據(jù)在步驟202中生成的樣本數(shù)據(jù)對(duì)流量類型進(jìn)行分類, 即根據(jù)一個(gè)連接的相關(guān)信息輸出將網(wǎng)絡(luò)流量分為加密模型流量���、非加密模型流量����、P2P模型流量和CS模型流量等。在一個(gè)例子中�,通過(guò)統(tǒng)計(jì)一個(gè)連接中字節(jié)信息輸出來(lái)判斷網(wǎng)絡(luò)流量類型,例如�����,連接中每個(gè)字節(jié)的出現(xiàn)概率基于均等����,則判斷該連接是加密模型流量。在步驟204����,根據(jù)流量類型選擇不同的特征組合進(jìn)行流量聚類。該步驟可以理解為
二級(jí)聚類��。具體地���,根據(jù)在步驟203輸出的不同流量類型�,采用不同的特征組合進(jìn)行流量聚類���。例如���,針對(duì)加密的模型流量類型,可以選擇元組(tuple)特征組合���、樣本(pattern)特征組合或時(shí)間戳(timestamp)特征組合對(duì)加密的模型流量進(jìn)行聚類�����。針對(duì)非加密的模型流量類型���,可以選擇元組(tuple)特征組合、負(fù)載(payload)特征組合和時(shí)間戳(timestamp) 特征組合對(duì)非加密的模型流量進(jìn)行聚類�����。在一個(gè)例子中����,以元組(tuple)特征組合對(duì)加密的模型流量或非加密的模型流量進(jìn)行聚類為例進(jìn)行闡述。元組(tuple)特征組合對(duì)流量進(jìn)行聚類是將流量中的元組信息進(jìn)行拆分組合����,如元組信息中的傳輸層協(xié)議/源IP/源端口、傳輸層協(xié)議/目標(biāo)IP/目標(biāo)端口��、 傳輸層協(xié)議/源IP/目標(biāo)IP,分別以元組信息的各種組合統(tǒng)計(jì)連接���,如傳輸層協(xié)議/源IP/ 源端口����,傳輸層協(xié)議/目標(biāo)IP/目標(biāo)端口統(tǒng)計(jì)所有連接出現(xiàn)的次數(shù)�����,考慮連接的時(shí)間差��,取出頻繁項(xiàng)集(出現(xiàn)次數(shù)大于2)�。通過(guò)迭代的方式合并各個(gè)頻繁項(xiàng)集。合并規(guī)則是兩個(gè)基于不同元組組合到的兩個(gè)分類里面���,如果他們包含有相同的連接�,那這兩個(gè)類里面的所有連接屬于同一個(gè)類��。當(dāng)經(jīng)過(guò)迭代時(shí)���,無(wú)法再將集合合并�����,則迭代結(jié)束�����。例如�����,加密或非加密模型流量中的元組信息如表1所示表權(quán)利要求
1.一種網(wǎng)絡(luò)流量聚類的方法����,其特征在于包括以下步驟采集全局網(wǎng)絡(luò)流量�����;將所述全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割�����,生成樣本數(shù)據(jù)�;根據(jù)所述樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類;根據(jù)所述流量類型選擇不同的特征組合進(jìn)行聚類�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于所述將所述全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割�����,生成樣本數(shù)據(jù)的步驟包括對(duì)所述全局網(wǎng)絡(luò)流量進(jìn)行切割,分成多個(gè)單用戶的模型流量�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于所述根據(jù)所述樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類包括根據(jù)所述樣本數(shù)據(jù)將流量類型分成加密模型流量或非加密模型流量���。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于所述根據(jù)所述流量類型選擇不同的特征組合進(jìn)行聚類包括當(dāng)流量類型為加密模型流量時(shí)����,選擇元組特征組合����、樣本特征組合或時(shí)間戳特征組合進(jìn)行聚類。
5.根據(jù)權(quán)利要求3所述的方法����,其特征在于所述根據(jù)所述流量類型選擇不同的特征組合進(jìn)行聚類包括當(dāng)流量類型為非加密模型流量時(shí),選擇元組特征組合�����、負(fù)載特征組合或時(shí)間戳特征組合進(jìn)行聚類。
6.一種網(wǎng)絡(luò)流量聚類的設(shè)備����,其特征在于包括采集單元,用于采集全局網(wǎng)絡(luò)流量�;樣本數(shù)據(jù)生成單元,用于根據(jù)所述全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割���,生成樣本數(shù)據(jù)����;一級(jí)聚類單元�����,根據(jù)所述樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類�����;二級(jí)聚類單元��,根據(jù)所述流量類型選擇不同的特征組合進(jìn)行聚類�。
7.根據(jù)權(quán)利要求6所述的設(shè)備�,其特征在于所述樣本數(shù)據(jù)生成單元對(duì)所述全局網(wǎng)絡(luò)流量進(jìn)行切割�,分成多個(gè)單用戶的模型流量��。
8.根據(jù)權(quán)利要求6所述的設(shè)備��,其特征在于所述一級(jí)聚類單元根據(jù)所述樣本數(shù)據(jù)將流量類型分成加密模型流量或非加密模型流量�。
9.根據(jù)權(quán)利要求8所述的設(shè)備,其特征在于所述二級(jí)聚類單元選擇元組特征組合�����、樣本特征組合或時(shí)間戳特征組合對(duì)加密模型流量進(jìn)行聚類�。
10.根據(jù)權(quán)利要求8所述的設(shè)備,其特征在于所述聚類單元選擇元組特征組合��、負(fù)載特征組合或時(shí)間戳特征組合對(duì)非加密模型流量進(jìn)行聚類����。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)流量聚類的方法及其設(shè)備。所述方法包括以下步驟采集全局網(wǎng)絡(luò)流量��;將所述全局網(wǎng)絡(luò)流量按照單用戶進(jìn)行流量切割�,生成樣本數(shù)據(jù);根據(jù)樣本數(shù)據(jù)對(duì)流量進(jìn)行流量類型分類�����;根據(jù)流量類型選擇不同的特征組合進(jìn)行聚類。所述設(shè)備包括采集單元�、樣本數(shù)據(jù)生成單元、一級(jí)聚類單元和二級(jí)聚類單元���。本發(fā)明網(wǎng)絡(luò)流量聚類方法準(zhǔn)確度高�����、效率快���、流量識(shí)別范圍廣,能準(zhǔn)確挖掘出網(wǎng)絡(luò)流量中的應(yīng)用數(shù)量���,可作為網(wǎng)絡(luò)流控設(shè)備功能實(shí)現(xiàn)。
文檔編號(hào)H04L12/56GK102299863SQ20111029543
公開(kāi)日2011年12月28日 申請(qǐng)日期2011年9月27日 優(yōu)先權(quán)日2011年9月27日
發(fā)明者崔淵博, 梁志勇, 洪婷婷, 陳振昌, 齊曉璐 申請(qǐng)人:北京網(wǎng)康科技有限公司