于:
[0081] 對所述流量數(shù)據(jù)的數(shù)據(jù)包載荷進行機器語言轉(zhuǎn)化��,轉(zhuǎn)化為所述應(yīng)用識別模型可識 別的數(shù)據(jù)���。
[0082] 可選地����,所述轉(zhuǎn)換模塊還適于:
[0083] 將十六進制串的數(shù)據(jù)包載荷轉(zhuǎn)化為對應(yīng)的十進制數(shù)����;
[0084]對轉(zhuǎn)化后的十進制數(shù)除以255,得到L個[0���,1]的浮點數(shù)����,其中����,L為數(shù)據(jù)包載荷的長 度。
[0085] 可選地����,所述識別模塊還適于:
[0086] 選取概率最大值作為所述流量數(shù)據(jù)的判定結(jié)果,確定所述流量數(shù)據(jù)對應(yīng)的進程名 稱�����。
[0087] 在本發(fā)明實施例中,分別對主機數(shù)據(jù)與流量數(shù)據(jù)進行比對�,查找出其中的關(guān)聯(lián)點, 進而依據(jù)關(guān)聯(lián)性篩選具備關(guān)聯(lián)性的主機數(shù)據(jù)與流量數(shù)據(jù)��。在主機側(cè)����,主機數(shù)據(jù)是由具體進 程發(fā)出,而在網(wǎng)絡(luò)側(cè)�����,流量數(shù)據(jù)獲取時能夠確定其對應(yīng)的數(shù)據(jù)包載荷��,本發(fā)明實施例通過主 機數(shù)據(jù)與流量數(shù)據(jù)的關(guān)聯(lián)性����,進一步分析確定出實際對應(yīng)的主機進程名稱與數(shù)據(jù)包載荷的 對應(yīng)關(guān)系,并根據(jù)該對應(yīng)關(guān)系生成應(yīng)用識別模型���。后續(xù)該應(yīng)用識別在使用流量數(shù)據(jù)時��,可以 根據(jù)流量數(shù)據(jù)的數(shù)據(jù)包載荷對應(yīng)查找到發(fā)送該主機數(shù)據(jù)的進程名稱����,進而確定出發(fā)送該主 機數(shù)據(jù)的應(yīng)用。而應(yīng)用的識別能夠確定該應(yīng)用的優(yōu)先級�����,進而確定該流量數(shù)據(jù)的處理優(yōu)先 級�,有利于合理優(yōu)化和配置企業(yè)中的應(yīng)用及網(wǎng)絡(luò),保證信息的快速傳遞和工作的高效開展���。 即�,采用本發(fā)明實施例能夠建立識別流量數(shù)據(jù)的發(fā)起應(yīng)用的應(yīng)用識別模型��,只要將流量數(shù) 據(jù)輸入本發(fā)明實施例建立的應(yīng)用識別模型即可迅速得到該流量數(shù)據(jù)由主機的何種應(yīng)用發(fā) 出���,無需人工參與,也無須在主機端增加識別軟件�,大大增加了應(yīng)用識別的準確性、便利性 和效率��。
[0088] 上述說明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段��, 而可依照說明書的內(nèi)容予以實施����,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠 更明顯易懂�����,以下特舉本發(fā)明的【具體實施方式】����。
[0089] 根據(jù)下文結(jié)合附圖對本發(fā)明具體實施例的詳細描述,本領(lǐng)域技術(shù)人員將會更加明 了本發(fā)明的上述以及其他目的��、優(yōu)點和特征��。
【附圖說明】
[0090] 通過閱讀下文優(yōu)選實施方式的詳細描述��,各種其他的優(yōu)點和益處對于本領(lǐng)域普通 技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實施方式的目的���,而并不認為是對本發(fā)明 的限制����。而且在整個附圖中,用相同的參考符號表示相同的部件����。在附圖中:
[0091] 圖1示出了根據(jù)本發(fā)明一個實施例的基于深度學(xué)習(xí)的應(yīng)用識別模型建立方法的處 理流程圖;
[0092] 圖2示出了根據(jù)本發(fā)明一個實施例的應(yīng)用識別模型的使用流程示意圖�����;
[0093] 圖3示出了根據(jù)本發(fā)明一個實施例的一種流量數(shù)據(jù)的識別方法�;
[0094] 圖4示出了根據(jù)本發(fā)明一個實施例的基于深度學(xué)習(xí)的應(yīng)用識別模型建立裝置的結(jié) 構(gòu)示意圖;
[0095] 圖5示出了根據(jù)本發(fā)明一個實施例的流量數(shù)據(jù)的識別裝置的結(jié)構(gòu)示意圖��;以及
[0096] 圖6示出了根據(jù)本發(fā)明一個實施例的應(yīng)用識別模型的建立過程以及后續(xù)的流量數(shù) 據(jù)識別過程的一個系統(tǒng)示意圖����。
【具體實施方式】
[0097] 下面將參照附圖更詳細地描述本公開的示例性實施例�。雖然附圖中顯示了本公開 的示例性實施例,然而應(yīng)當理解���,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例 所限制�����。相反�����,提供這些實施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍 完整的傳達給本領(lǐng)域的技術(shù)人員。
[0098] 為解決上述技術(shù)問題��,本發(fā)明實施例提出建立一種新的應(yīng)用識別模型�,該應(yīng)用識 別模型基于深度學(xué)習(xí)生成,深度學(xué)習(xí)是機器學(xué)習(xí)領(lǐng)域的一個分支���,其本質(zhì)建立一套自動分 析學(xué)習(xí)的深度神經(jīng)網(wǎng)絡(luò)�,它模仿人腦的機制來學(xué)習(xí)數(shù)據(jù)���,近年來在圖像��、語音和文本領(lǐng)域取 得了顯著的成果����。本發(fā)明實施例所建立的應(yīng)用識別模型還具備自學(xué)習(xí)的能力�����,能夠針對數(shù) 據(jù)進行分析從而確定出深度學(xué)習(xí)特征,自動學(xué)習(xí)模型參數(shù)����,不依賴于人工分析和文件特征 庫。并且����,應(yīng)用識別模型的建立也使得識別過程中,無需到主機安裝識別軟件�����,也不需要在 主機端進行數(shù)據(jù)存儲和運算�����,能夠?qū)τ脩魧崿F(xiàn)無感知狀態(tài)��,提高用戶感受體驗��。
[0099] 基于該發(fā)明構(gòu)思�����,本發(fā)明實施例提出一種基于深度學(xué)習(xí)的應(yīng)用識別模型建立方 法�����,該方法應(yīng)用于主機與網(wǎng)絡(luò)側(cè)節(jié)點進行數(shù)據(jù)傳輸?shù)沫h(huán)境����,其中,從主機側(cè)獲取的數(shù)據(jù)后文 簡稱為主機數(shù)據(jù)��,從網(wǎng)絡(luò)側(cè)節(jié)點獲取的數(shù)據(jù)后文簡稱為流量數(shù)據(jù)���。且主機上設(shè)置有至少一 條具備數(shù)據(jù)處理能力的主機進程��。圖1示出了根據(jù)本發(fā)明一個實施例的基于深度學(xué)習(xí)的應(yīng) 用識別模型建立方法的處理流程圖��。參見圖1���,該方法至少包括:
[0100] 步驟S102、獲取主機傳輸?shù)亩鄺l主機數(shù)據(jù)���,其中��,各主機數(shù)據(jù)中攜帶有主機中對該 主機數(shù)據(jù)進行處理的主機進程名稱(process);
[01 01 ]步驟S104����、獲取網(wǎng)絡(luò)側(cè)節(jié)點接收的多條流量數(shù)據(jù),其中��,各流量數(shù)據(jù)中攜帶有網(wǎng)絡(luò) 側(cè)節(jié)點接收該流量數(shù)據(jù)時的數(shù)據(jù)包載荷(pay load);
[0102] 步驟S106���、對各主機數(shù)據(jù)與各流量數(shù)據(jù)進行比對����,以查找出其中具備關(guān)聯(lián)性的至 少一對主機數(shù)據(jù)和流量數(shù)據(jù)��;
[0103] 步驟S108��、對各對具備關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)的參數(shù)進行處理�����,以獲取各 對具備關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)所對應(yīng)的主機進程名稱與數(shù)據(jù)包載荷間的對應(yīng)關(guān)系����;
[0104] 步驟S110、利用各對主機進程名稱與數(shù)據(jù)包載荷的對應(yīng)關(guān)系建立應(yīng)用識別模型��。
[0105] 在本發(fā)明實施例中��,分別對主機數(shù)據(jù)與流量數(shù)據(jù)進行比對�����,查找出其中的關(guān)聯(lián)點����, 進而依據(jù)關(guān)聯(lián)性篩選具備關(guān)聯(lián)性的主機數(shù)據(jù)與流量數(shù)據(jù)。在主機側(cè)�,主機數(shù)據(jù)是由具體進 程發(fā)出,而在網(wǎng)絡(luò)側(cè)�,流量數(shù)據(jù)獲取時能夠確定其對應(yīng)的數(shù)據(jù)包載荷,本發(fā)明實施例通過主 機數(shù)據(jù)與流量數(shù)據(jù)的關(guān)聯(lián)性����,進一步分析確定出實際對應(yīng)的主機進程名稱與數(shù)據(jù)包載荷的 對應(yīng)關(guān)系,并根據(jù)該對應(yīng)關(guān)系生成應(yīng)用識別模型��。后續(xù)該應(yīng)用識別在使用流量數(shù)據(jù)時����,可以 根據(jù)流量數(shù)據(jù)的數(shù)據(jù)包載荷對應(yīng)查找到發(fā)送該主機數(shù)據(jù)的進程名稱,進而確定出發(fā)送該主 機數(shù)據(jù)的應(yīng)用�����。而應(yīng)用的識別能夠確定該應(yīng)用的優(yōu)先級,進而確定該流量數(shù)據(jù)的處理優(yōu)先 級�����,有利于合理優(yōu)化和配置企業(yè)中的應(yīng)用及網(wǎng)絡(luò)�,保證信息的快速傳遞和工作的高效開展。 即����,采用本發(fā)明實施例能夠建立識別流量數(shù)據(jù)的發(fā)起應(yīng)用的應(yīng)用識別模型,只要將流量數(shù) 據(jù)輸入本發(fā)明實施例建立的應(yīng)用識別模型即可迅速得到該流量數(shù)據(jù)由主機的何種應(yīng)用發(fā) 出��,無需人工參與����,也無須在主機端增加識別軟件,大大增加了應(yīng)用識別的準確性����、便利性 和效率。
[0106] 在一個優(yōu)選的實施例中�,步驟S106需對各主機數(shù)據(jù)與各流量數(shù)據(jù)進行比對,以查 找出其中具備關(guān)聯(lián)性的至少一對主機數(shù)據(jù)和流量數(shù)據(jù)�。因主機數(shù)據(jù)和流量數(shù)據(jù)均攜帶有多 組參數(shù),對于數(shù)據(jù)而言���,參數(shù)通常包括了數(shù)據(jù)的最核心內(nèi)容或者標識類內(nèi)容���,因此可以直接 將對各主機數(shù)據(jù)與各流量數(shù)據(jù)攜帶的各參數(shù)進行比對����。若其中存在主機數(shù)據(jù)和流量數(shù)據(jù)符 合多組參數(shù)相同(例如3組以上)��,或者�,相同參數(shù)比例超過比例閾值(例如60%以上)的比對 規(guī)則����,則確定兩者應(yīng)該具備關(guān)聯(lián)性,依次比對以查找出具備關(guān)聯(lián)性的所有主機數(shù)據(jù)和流量 數(shù)據(jù)對����。
[0107] 在一個具體的實施例中,主機數(shù)據(jù)攜帶的參數(shù)至少包括:主機數(shù)據(jù)的傳輸時間��、源 IP地址�、源端口號、目標IP地址�、目標端口號、處理主機數(shù)據(jù)的進程名稱���。流量數(shù)據(jù)攜帶的參 數(shù)至少包括:流量數(shù)據(jù)的接收時間��、源IP地址�、源端口號、目標IP地址����、目標端口號、流量數(shù) 據(jù)時的數(shù)據(jù)包載荷���。此時����,若主機數(shù)據(jù)的源IP地址���、源端口號�����、目標端口號與流量數(shù)據(jù)的源 IP地址�、源端口號�����、目標端口號相同,則可以認為該條主機數(shù)據(jù)與該條流量數(shù)據(jù)應(yīng)該是具備 關(guān)聯(lián)性的�����。
[0108] 進一步�,大多數(shù)關(guān)聯(lián)數(shù)據(jù)可以采用上述比對方式確定,但是仍有些特殊情況����,本發(fā) 明實施例稱之為具備偽關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)對�����。若存在這些特征情況���,則需要根 據(jù)篩選規(guī)則對確定的具備關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)對進行篩選�����,進一步篩選出其中具 備偽關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)對���,并刪除具備偽關(guān)聯(lián)性的主機數(shù)據(jù)和流量數(shù)據(jù)對。
[0109] 若滿足下述任意一條則符合本發(fā)明實施例所指的特殊情況,確定該關(guān)聯(lián)性為偽關(guān) 聯(lián)性:
[0110] 第一��、若一條主機數(shù)據(jù)與兩條以上流量數(shù)據(jù)具備關(guān)聯(lián)性���,則確定此關(guān)聯(lián)性為偽關(guān) 聯(lián)性�;
[0111] 因一條主機數(shù)據(jù)發(fā)送之后�����,網(wǎng)絡(luò)側(cè)節(jié)點接收到的也必須是一條數(shù)據(jù)���,若出現(xiàn)兩條 以上關(guān)聯(lián)的流量數(shù)據(jù)����,證明數(shù)據(jù)傳輸過程可能混淆了其他數(shù)據(jù)�����,此時確定的關(guān)聯(lián)性并非是 唯一確定的���。若這條數(shù)據(jù)應(yīng)用于建立應(yīng)用識別模型����,則有可能出現(xiàn)同一條流量數(shù)據(jù)被識別 出兩個應(yīng)用的情況,影響應(yīng)用識別模型的結(jié)果的準確性����。
[0112] 第二、若一條主機數(shù)據(jù)與一條流量數(shù)據(jù)具備關(guān)聯(lián)性�,但是兩者時間差超過時間差 閾值,則確定此關(guān)聯(lián)性為偽關(guān)聯(lián)性�。
[0113] 因網(wǎng)絡(luò)時代的數(shù)據(jù)高速通路,數(shù)據(jù)傳輸過程通常較為快速����,時間很短,若兩者時間 相差太大�����,則有可能主機數(shù)據(jù)丟失��,網(wǎng)絡(luò)側(cè)節(jié)點接收的并非是這一條主機數(shù)據(jù)對應(yīng)的流量 數(shù)據(jù)���,為保證建立應(yīng)用識別模型的數(shù)據(jù)的準確性,這種情況不與采用����。
[0114] 考慮到應(yīng)用識別模型本身是作為機器模型存在,而主機進程名稱和數(shù)據(jù)包載荷均 不是機器語言,因此���,在實施時�,可以預(yù)先分別對主機進程名稱和數(shù)據(jù)包載荷進行機器語言 轉(zhuǎn)化�,轉(zhuǎn)化為機器可識別的機器數(shù)據(jù),進一步在轉(zhuǎn)化后的主機進程名稱和數(shù)據(jù)包載荷間建 立對應(yīng)關(guān)系��,并利用該對應(yīng)關(guān)系建立應(yīng)用識別模型�����。
[0115] 具體地���,可以將主機進程名稱與從0開始且逐一遞增的有序列表進行映射���,將各主 機進程名稱轉(zhuǎn)化為對應(yīng)自然數(shù)。另外�,可以將十六進制串的數(shù)據(jù)包載荷轉(zhuǎn)化為對應(yīng)的十進 制數(shù);對轉(zhuǎn)化后的十進制數(shù)除以255,得到L個[0,1]的浮點數(shù)����,其中,L為數(shù)據(jù)包載荷的長度�����。
[0116] 本發(fā)明實施例提供了一個主機進程名稱與數(shù)據(jù)包載荷進行機器語言轉(zhuǎn)化的具體 實施例。表一示出了根據(jù)本發(fā)明實施例得到的主機進程名稱和數(shù)據(jù)包載荷的對應(yīng)關(guān)系列 表��。
[0117] 表一
[0118]
[0119] 首先����,對數(shù)據(jù)包載荷進行轉(zhuǎn)換。對于Pay load:將十六進制串轉(zhuǎn)化為對應(yīng)的0-255的 十進制數(shù)����,再對每個數(shù)除以255。對于每個樣本�����,得到的是L個[0�����,1]的浮點數(shù)��,L為載荷的長 度����,具體轉(zhuǎn)化結(jié)果請參見表二。
[0120] 表二
[0121]
[0123] 其次�,對主機進程名稱進行轉(zhuǎn)換。具體地��,將名稱映射到一個從0開始逐一遞增且 有序的表�����,具體見表三����。
[0124] 表三
[0125]
[0126] 為方便檢索,進一步將表三中各進程采用數(shù)字索引替代���,進而生成表四:
[0127] 表四
[0128]
[0129] 在訓(xùn)練數(shù)據(jù)轉(zhuǎn)換結(jié)束之后�����,本發(fā)明實施例則基于識別的數(shù)據(jù)生成應(yīng)用識別模型并 使用��。圖2示出了根據(jù)本發(fā)明一個實施例的應(yīng)用識別模型的使用流程示意圖�。本發(fā)明實施例 提供的應(yīng)用識別模型基于卷積神經(jīng)網(wǎng)絡(luò)(CNN)生成��,是一種深度學(xué)習(xí)模型����,常用于圖像識別 領(lǐng)域:如手寫體數(shù)字識別�����、人臉識別���、圖片分類等。本發(fā)明實施例提供的應(yīng)用識別模型與傳 統(tǒng)CNN模型最大的區(qū)別在于卷積和池化的窗口維度不是適用于二維圖像的n*n����,而是l*n(n 是卷積或池化基本單元的大小)��。
[0130] 具體的�����,應(yīng)用識別模型的使用流程包括:
[0131] 首先���,獲取應(yīng)用識別模型的輸入數(shù)據(jù)�����,經(jīng)卷積層和池化層處理��,生成輸入數(shù)據(jù)的深 度特征;輸入的數(shù)據(jù)先經(jīng)過若干的卷積層和池化層�����。通常卷積層和池化層成對使用���,或