当前位置:文档之家 › 在线聚类的网络流量识别

在线聚类的网络流量识别

  • 格式:pdf
  • 大小:213.65 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

基于BP神经网络聚类算法的P2P流量识别

基于BP神经网络聚类算法的P2P流量识别

习段 和检 验 段 , 再 训 练 网络 , 拟 合 学 习段 时 间 序
列, 使其 误 差平 方和 达到最 小 ; 最 后用 检验 段数 据
数据 挖 掘作 为 人 工 智 能 研究 的 热 点 , 其 基 本 原 理 是分 析数 据 库 中的数 据得 到有 用 的数据 或知
识, 其 中包 括 有 监督 机 器 学 习 的 分类 分 析 和 无 监 督 机 器学 习 的 聚类 分 析 , 利用 数 据 挖 掘 知 识 可 以 有 效识 别 P 2 P等 流 量 。有 监 督 的 机 器 学 习 算 法
策树 c 4 . 5分类 算 法 等 … 。无 监督 的机 器 学 习算
法 利 用聚类 算 法 对 训 练 样 本 ( 无类标 签 ) 进 行 聚 类, 根 据样 本属 性 间 的相 似程度 生成 不 同 的簇 , 当 簇 取得 较好 的类 内相似 度 和类 间相 异度 时结 束 训 练, 产 生模 型 用 于 识 别 , 包括基于划分、 密 度 和 模
无监 督 的 机 嚣 学 习 算 法 的优 点 , 能 快速 地进 行 精 确 的 流 量 识 别 , 即取 少 量 离线 的 流 量样 本 进 行 标 记 与 分
类. 然 后 利 用 分 类 结 果 为 聚 类 中心 对 大 量在 线 流 量 进 行 聚 类 识 别 。 这 样 既 提 高 了效 率 , 又 能 保 证 结 果 的 准确性。利用 B P神 经 网 络 对 所 采 集 的 少 量 流 量 数 据 中每 个 流按 包 大 小标 准差 、 变换 频 率 、 平 均值 、 包数 目和 总 字 节 数 5个 特 征 进 行 分 类 , 得 出 分 类 结 果 的 特 征 均值 , 对 大量 的在 线数 据 进 行 指 导 聚 类 。 多次 实 际 网络 测 试 结 果 的 准 确 率 很 高 , 证 明 该 算 法 模 型 是 可行 的 关键词 P 2 P流 量 识 别 B P神 经 网 络 聚 类 算 法 标 记 与 聚 类 加 密流 量

网络流量监控保护措施:检测异常网络流量的重要工具

网络流量监控保护措施:检测异常网络流量的重要工具

网络流量监控保护措施:检测异常网络流量的重要工具网络流量监控是一个网络安全领域的重要工作,它可以帮助组织监控和保护其网络资源免受异常流量的威胁。

在网络流量监控中,检测异常网络流量是一个关键的步骤,它可以帮助组织及时采取措施应对潜在的威胁。

在这篇文章中,我将介绍几种检测异常网络流量的重要工具。

1. 漏洞扫描工具:漏洞扫描工具可以扫描网络环境中的潜在漏洞,并提供有关这些漏洞的详细信息。

这些工具可以通过扫描网络设备、操作系统和应用程序等来检测异常网络流量。

它们可以检测到已知的漏洞并提供建议修复措施,帮助组织及时修补漏洞。

2. 入侵检测系统(IDS):入侵检测系统可以监视网络流量,识别和报告异常行为。

它们通过使用签名检测、统计分析和行为分析等技术来检测入侵行为。

当网络流量中存在异常时,IDS可以及时发出警报,并采取适当的措施来对抗入侵。

3. 流量分析工具:流量分析工具可以对网络流量进行深入分析,识别异常的流量模式。

例如,这些工具可以检测到异常的数据包大小、频率、来源和目的地等方面的模式。

通过对这些异常模式的分析,组织可以发现潜在的网络攻击或恶意行为。

4. 数据包嗅探器:数据包嗅探器是一种能够捕获和分析网络数据包的工具。

它们可以监视网络上的实时流量,并识别异常的数据包。

例如,它们可以检测到通过网络传输的恶意软件、网络钓鱼攻击或数据泄露等异常行为。

数据包嗅探器可以提供关于异常数据包的详细信息,帮助组织采取适当的应对措施。

除了上述工具,还有其他一些重要的措施可以帮助组织检测异常网络流量:1. 定期更新和维护网络设备和应用程序,以修补已知的漏洞,并减少网络攻击的风险。

2. 实施强大且复杂的密码策略,以保护网络设备和用户账户免受恶意攻击。

3. 配置防火墙和入侵防御系统,以过滤和阻止恶意流量。

4. 建立网络安全事件响应计划,以及时应对异常网络流量事件,并降低潜在的损失。

总之,检测异常网络流量是网络安全的重要组成部分。

基于聚类分析的网络异常流量入侵检测方法

基于聚类分析的网络异常流量入侵检测方法

TECHNOLOGY AND INFORMATION科学与信息化2023年1月下 65基于聚类分析的网络异常流量入侵检测方法陈晓燕濮阳市公安局情报指挥中心 河南 濮阳 457000摘 要 为了提高网络异常流量入侵检测方法的检测速度和检测准确率,满足现阶段网络流量检测的需求,本文基于聚类分析算法,对网络异常流量入侵检测方法展开研究。

具体做法是将流量进行采集和分类,基于聚类分析计算相似度,检测入侵的网络流量。

通过实验可知,文中提出的FART K-means聚类分析网络异常流量检测方法与传统方法相比,准确率提高了12.6%,运行速度提高了4.3s,能够满足设计需求,具有较好的实际应用效果。

关键词 聚类分析;网络流量;异常流量;入侵检测Network Anomalous Traffic Intrusion Detection Method Based on Cluster Analysis Chen Xiao-yanPuyang City Public Security Bureau intelligence command center, Puyang 457000, Henan Province, ChinaAbstract In order to improve the detection speed and accuracy of the network anomalous traffic intrusion detection method and meet the needs of network traffic detection at the present stage, this paper studies the network anomalous traffic intrusion detection method based on the cluster analysis algorithm. Specifically, traffic is collected and classified, the similarity is calculated based on cluster analysis, and network traffic intrusion is detected. It can be seen from experiments that the FART K-means cluster analysis network anomalous traffic detection method proposed in this paper improves the accuracy by 12.6% and the running speed by 4.3 s compared with the traditional method, which can meet the design requirements and has good practical application effects.Key words cluster analysis; network traffic; anomalous traffic; intrusion detection引言网络互动已经越来越成为人类生活中必不可少的部分。

网络流量分析中的流量识别技术综述

网络流量分析中的流量识别技术综述

网络流量分析中的流量识别技术综述概述随着互联网的迅速发展,网络流量的规模和复杂性越来越大。

网络流量分析作为一种重要的手段,可以帮助我们理解网络的运行机制、发现网络中的异常行为以及保护网络的安全。

而流量识别技术则是网络流量分析中的重要组成部分,它能够对网络流量进行分类和识别,从而实现针对性的分析和应用。

传统的流量识别技术在网络流量的分析过程中,我们通常会使用传统的流量识别技术,主要包括基于端口号的识别、基于标志位的识别和基于负载特征的识别。

基于端口号的识别是最简单、最常见的一种方法,它通过检测报文中的源端口或目的端口来实现流量的分类。

然而,由于现代网络中的应用程序通常会使用动态端口或将流量封装在非标准端口上,基于端口号的识别方法的准确性和可用性受到了一定的限制。

基于标志位的识别是另一种常用的方法,它通过检测报文的TCP或UDP头部中的标志位来实现流量的分类。

然而,该方法也会面临识别准确性和效率的问题。

基于负载特征的识别是一种比较高级的流量识别技术,它通过分析报文的负载内容来实现流量的分类。

该方法能够识别出加密流量、流量隐藏等特殊类型的流量,但由于负载内容的复杂性,该方法的准确性和效率也存在一定的挑战。

机器学习在流量识别中的应用近年来,机器学习技术的发展为流量识别带来了新的机遇。

机器学习技术通过训练模型,可以学习到网络流量的特征模式,并对未知流量进行分类识别。

常见的机器学习算法包括朴素贝叶斯分类器、支持向量机、决策树和神经网络等。

机器学习在流量识别中的应用可以分为两个阶段:训练阶段和测试阶段。

在训练阶段,我们使用已知的标注数据训练模型,从而构建分类器。

在测试阶段,我们使用学习到的分类器对未知的流量进行识别。

机器学习技术的优点在于它可以根据网络流量的动态变化不断调整模型,提高流量识别的准确性和鲁棒性。

深度学习在流量识别中的应用深度学习是机器学习的一种重要分支,它模拟了人脑的神经网络结构,可以通过多层神经元的连接提取更为复杂的特征信息。

网络流量识别的基本方法与技术

网络流量识别的基本方法与技术

网络流量识别的基本方法与技术1. 引言网络流量识别是在当今互联网时代中十分重要的一项技术。

随着网络的快速发展和应用的普及,对网络流量进行准确的识别和分析,有助于提高网络服务的质量、保护网络安全以及优化网络资源的分配。

本文将介绍网络流量识别的基本方法与技术,并探讨其在实际应用中的意义和挑战。

2. 传统基于端口的识别方法传统的基于端口的识别方法是最常见的一种方式。

该方法通过判断数据包传输时所使用的端口号,以识别通信协议或应用程序。

例如,HTTP通信通常使用80端口,而HTTPS通信则使用443端口。

然而,这种方法存在局限性,因为现代网络中存在大量的应用程序使用动态端口或进行端口的伪装。

3. 深度包检测(DPI)技术深度包检测(DPI)技术是一种较为先进的网络流量识别方法。

通过对数据包的内容进行深入分析,DPI能够实现对通信协议和应用程序的准确识别。

DPI技术能够判断特定应用程序的使用情况,例如视频流和音频流的传输。

然而,DPI技术也存在一些挑战,比如隐私保护和法律合规性等问题。

4. 基于机器学习的方法随着人工智能和机器学习的快速发展,基于机器学习的网络流量识别方法也得到了广泛应用。

这种方法利用训练好的机器学习模型,通过对流量数据进行特征提取和分类,以实现识别的目标。

例如,可以使用支持向量机(SVM)模型对网络流量进行分类。

但是,此方法对于大规模数据集处理的复杂性以及模型训练的困难性也是存在的挑战。

5. 基于行为分析的方法基于行为分析的方法是一种较新的网络流量识别技术。

该方法通过分析用户的行为模式和流量的特征,以识别出异常流量或潜在的安全威胁。

例如,当网络流量突然增加或用户行为异常时,可以通过行为分析来检测到潜在的网络攻击。

然而,该方法的准确性和实时性仍然需要进一步的研究和改进。

6. 结论网络流量识别是网络管理和安全保护中的关键技术。

本文介绍了传统基于端口的识别方法、深度包检测(DPI)技术、基于机器学习的方法以及基于行为分析的方法。

网络流量的特征分析与识别技术研究

网络流量的特征分析与识别技术研究

网络流量的特征分析与识别技术研究一、引言随着互联网的发展,网络流量成为网络中的重要数据之一,对于网络的性能监测和安全分析都有着至关重要的作用。

网络流量的特征分析与识别技术能够帮助我们了解网络流量的基本特征,判别流量的来源与去向,以及数据包的类型和协议,为网络管理者和安全管理员提供必要的指导和决策依据。

二、网络流量特征分析技术网络流量特征分析技术主要包括流量的统计特性、时空特性和行为特征的分析。

1. 统计特性分析统计特性主要指网络流量中的一些重要特征,如数据的大小、持续时间、发送方和接收方的IP地址、端口号和协议等。

统计特性分析能够帮助我们识别常见的流量类型,如HTTP、FTP、DNS 和SMTP等应用流量,同时也能识别网络钓鱼、DDoS攻击等恶意流量。

2. 时空特性分析时空特性是指网络流量在时间和空间上的变化特征。

对于时间变化的分析主要包括流量的变化趋势和周期性分析,能够帮助我们更好地理解网络流量的变化模式。

而空间特性主要关注流量的来源和去向,包括流量的流向、地理分布等,能够帮助我们找出异常流量和黑客攻击的来源。

3. 行为特征分析行为特征是指流量内在的、与网络协议和应用相关的特性。

行为特征分析可以发现流量中存在的恶意行为,例如病毒、木马和僵尸网络等,以及涉及隐私泄露和危险信息的行为。

三、网络流量识别技术网络流量识别技术是基于特征分析,对不同类型的流量进行分类和归纳,可以帮助我们快速识别网络的异常行为和安全威胁。

目前常见的流量识别技术主要包括深度学习、机器学习和模式匹配等技术。

1. 深度学习深度学习网络是基于神经网络的一种流量分类方法。

相较于传统的机器学习方法,深度学习更加准确且具备更好的泛化能力。

利用深度学习模型,可以提高准确率和识别速度,对于大量的数据和复杂的流量分析任务具有很好的适应性。

2. 机器学习机器学习是一种非常常见的流量分类技术,主要利用有监督和无监督的算法对流量进行分类分析。

其中,有监督学习算法包括SVM、决策树、k-最近邻等,无监督学习算法主要包括聚类分析、数据关联规则、模糊聚类和奇异值分解等。

网络流量分析及应用识别方法

网络流量分析及应用识别方法网络流量分析是指对网络中传输的数据进行捕获、监测和分析的过程,它可以帮助我们了解网络的使用情况、优化网络性能和发现潜在的网络安全问题。

而应用识别方法则是通过分析网络流量数据,识别出流量中所包含的具体应用或协议。

本文将介绍网络流量分析的重要性,并讨论几种常用的应用识别方法。

一、网络流量分析的重要性网络流量分析对于网络管理和安全非常重要,它可以帮助我们实时监测网络的使用情况,包括网络流量的大小、来源和目的地,以及所使用的协议和应用。

通过对网络流量的分析,我们可以了解网络中的瓶颈和拥塞点,以便及时调整网络架构和优化网络性能。

此外,网络流量分析还可以帮助我们发现潜在的网络安全威胁,如恶意软件、僵尸网络和数据泄露等。

二、网络流量分析的方法1. 抓包分析法抓包分析是最常用的网络流量分析方法之一,它通过在网络上设置监控设备,捕获通过网络传输的数据包,并对其进行解析和分析。

抓包分析法可以实时捕获网络流量数据,并提供详细的统计信息,如流量大小、传输速率和延迟等。

通过抓包分析,我们可以获取网络中的重要信息,如网络协议、源IP地址和目的IP地址等,以便进行进一步的分析和应用识别。

2. 流量行为分析法流量行为分析是基于对网络流量特征和行为模式的分析,来推断网络中应用的方法。

通过对流量数据的统计和建模,我们可以识别出具有特定行为模式的流量,如网页访问、文件传输和视频流等。

流量行为分析法可以通过分析流量的大小、持续时间、传输方向和协议等特征,来判断其所属的应用或协议类型。

3. 机器学习方法机器学习方法是一种基于统计模型和算法的自动化应用识别方法。

通过对大量的流量数据进行训练和学习,机器学习模型可以自动识别出流量中所包含的应用或协议。

常用的机器学习算法包括支持向量机(SVM)、随机森林(Random Forest)和深度神经网络(Deep Neural Network)等。

机器学习方法可以通过分析流量的特征向量,如源IP地址、目的IP地址和协议类型等,来预测流量所属的应用或协议。

基于聚类的异常流识别及可视化方法

基于聚类的异常流识别及可视化方法近年来,网络安全问题日益突出,恶意攻击和网络异常行为给网络运营商和企业带来了严重的损失。

为了及时发现和应对这些网络异常,研究人员提出了各种各样的异常流识别方法。

在这些方法中,基于聚类的异常流识别方法得到了广泛的应用和研究。

本文将介绍一种基于聚类的异常流识别及可视化方法。

一、异常流识别方法基于聚类的异常流识别方法是一种常用的网络异常检测方法。

它利用聚类算法将网络流量数据集划分为不同的簇,然后通过比较每个簇的特征与正常流量数据的特征来判断是否存在异常流。

常用的聚类算法包括K-means、DBSCAN等。

1. 数据预处理在进行聚类之前,首先需要对网络流量数据进行预处理。

预处理包括数据清洗、特征提取等步骤。

数据清洗主要是去除无效数据和异常数据,以保证后续聚类的准确性。

特征提取是将网络流量数据转化为可计算的特征向量,常用的特征包括数据包长度、流量大小、传输协议等。

2. 聚类算法在数据预处理完成后,可以利用聚类算法进行异常流识别。

K-means算法是一种常用的聚类算法,它将数据集划分为K个簇,使得同一个簇内的数据点之间的距离最小。

DBSCAN算法是一种基于密度的聚类算法,它将数据集划分为核心对象、边界对象和噪声对象。

根据聚类算法的结果,可以判断哪些流量数据属于异常流。

二、异常流可视化方法除了异常流的识别,可视化也是一种重要的方法,可以直观地展现异常流的分布和特征。

基于聚类的异常流识别方法可以结合可视化技术,使得异常流的分析更加直观和准确。

1. 散点图可视化散点图是一种简单直观的可视化方法,可以将异常流的特征用二维平面展示出来。

横轴和纵轴分别表示两个特征,每个数据点代表一个网络流量数据。

通过观察散点图,可以发现异常流的分布情况和异常行为的特点。

2. 热力图可视化热力图是一种用颜色来表示数值的可视化方法,可以将异常流的特征按照数值大小映射到不同的颜色上。

通过观察热力图,可以直观地了解异常流的分布情况和异常行为的强度。

聚类算法在流量分析中的应用

聚类算法在流量分析中的应用随着互联网的飞速发展,网络流量的规模和复杂度不断增加,网络运营商和企业面临着越来越大的挑战。

为了更好地管理和优化网络流量,聚类算法被广泛应用于流量分析中。

聚类算法能够对大规模的数据进行分类和分组,为网络管理和优化提供了重要的工具和技术支持。

本文将探讨聚类算法在流量分析中的应用,介绍其原理和方法,并展望其未来发展趋势。

一、聚类算法概述聚类是一种无监督学习算法,目的是将数据集分为若干个类别,使得同一类别内的数据点相似度较高,不同类别之间的数据点相似度较低。

聚类算法的目标是发现数据的内在结构和规律,从而对数据进行分析和理解。

常见的聚类算法包括K-means算法、层次聚类算法、DBSCAN算法等。

K-means算法是一种常用的聚类算法,其基本原理是随机选择k个数据点作为初始的聚类中心,然后将数据点分配到最近的聚类中心,并更新聚类中心的位置,直到收敛为止。

层次聚类算法将数据点逐步合并成大的聚类,形成树状结构,可以直观地展示数据的聚类关系。

DBSCAN算法是一种基于密度的聚类算法,能够有效地发现不规则形状的聚类。

网络流量数据是一种具有时序特性和高维度的数据,对于网络管理和优化来说是非常重要的信息源。

聚类算法可以对网络流量数据进行分类和分组,发现其中的规律和特征,为网络管理和优化提供重要的决策支持。

1. 流量分类网络流量数据包含了大量的信息,包括IP地址、端口号、协议类型、数据包大小等。

利用聚类算法可以将流量数据进行分类,根据不同的特征对流量进行分组,发现流量的模式和规律。

可以利用K-means算法对流量数据进行聚类,将不同的流量类型进行分类,比如视频流量、文件下载流量、网页浏览流量等,从而更好地理解和管理网络流量。

2. 异常检测网络流量中常常存在一些异常行为,比如DDoS攻击、端口扫描、流量突增等。

利用聚类算法可以对网络流量数据进行异常检测,发现其中的异常模式和规律。

可以利用DBSCAN 算法对流量数据进行聚类,发现其中的密度异常点,从而及时发现并应对网络安全威胁。

网络流量特征识别技术研究

网络流量特征识别技术研究随着网络技术的飞速发展,网络流量也呈现出爆炸式的增长。

然而,无论是企业还是个人用户,都面临着诸多安全风险。

为了保护个人隐私和企业机密,对网络流量进行检测和识别变得尤为重要。

为此,网络流量特征识别技术应运而生。

一、网络流量特征识别技术简介网络流量识别技术是指通过对网络流量进行深度分析,从中获取到网络传输的各个细节信息,最终将其分类和识别出来。

这一技术在防火墙、入侵检测、网络访问控制等方面都具有重要的应用。

网络流量特征识别技术的分类包括流量分析、协议识别、应用层协议识别、行为识别、异常检测等。

其中,流量分析和协议识别是网络流量特征识别技术的基础,而应用层协议识别、行为识别、异常检测等则是技术的延伸和深化。

目前,业界广泛采用的网络流量特征识别技术包括“数字指纹”技术、深度包检查技术、机器学习技术等。

二、数字指纹技术数字指纹技术是网络流量特征识别技术的一种,它基于一种特殊的算法,利用数字指纹和哈希函数来识别网络流量。

数字指纹即指一组二进制值,能够准确识别一个网络数据包的独特身份信息。

数字指纹技术的优点在于它能够快速实现流量识别,而且在进行流量匹配时,不需要耗费大量的网络资源。

最大的缺点在于数字指纹算法本身的复杂度较高,需要消耗大量的计算资源。

三、深度包检查技术深度包检查技术是网络流量特征识别技术的另一种。

与数字指纹技术不同,它并不依赖于特殊的算法,而是通过对网络数据包的深度检查来实现流量的识别。

深度包检查技术的优点在于它可以更准确地识别网络流量,并且在进行流量匹配时不会出现误判。

缺点则在于它需要消耗大量的网络资源,而且在进行流量匹配时,需要耗费更多的时间和计算资源。

四、机器学习技术机器学习技术是网络流量特征识别技术的一种新兴的技术。

它的基本原理是通过对网络流量数据的训练,来进行模型预测和分类。

与传统的网络流量特征识别技术相比,机器学习技术具有更高的准确率和效率。

同时,机器学习技术还可以实现自我学习和自我进化,可以不断优化识别结果。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Network Traffic Identification Based on Online Clustering
ZHANG Jian
1, 2
, QIAN Zongjue 1 , SHOU Guochu 1 , HU Yihong
1
( 1. School of Information and Communication Engineering,Beijing University of Posts and Telecommunications,Beijing 100876 ,China; 2. School of Communication and Electronic Engineering,Qingdao University of Technology,Shandong Qingdao 266033 ,China)
Comtest 数据集中基本应用层协议类型
传输层协议 generic 应用层协议类型 routing data DNS 流 /% 9. 8 10. 7 0. 2 20. 4 1. 4 28. 2 24. 9 1. 0 0. 3 3. 1
IPv4
UDP
OICQ BOOSTRAP HTTP
TCP
FTP bit torrent
( 1)
其中 N um 为满足条件的子流数. 簇 c j 的应用类型映
案中采用 NetMate 实现子流生成及特征提取功能. 为减少计算复杂度和资源开销,剔除冗余信息 特征, 提高应用类型识别准确度,运用基于 filter 相 关性特征选择( CFS) 方法从流量属性特征集中选取 最佳的特征子集. 1. 2 子流应用识别模块 抽样可降低对检测设备大内存和中央处理器 ( CPU) 能力的需求. 目前广泛采用的 2 类抽样机制 是数据包抽样和流抽样. 数据包抽样相对简单, 但 在推断如原始流分布等流特性方面还不够准确 . 流 抽样克服了数据包抽样的局限性, 其典型抽样方法 为随机流抽样和智能流抽样. 本文方案采用随机流 抽样. 通过抽样获得子流子集 S = { s i ,0 < i N } ,应 用层协议类型及异常流量类型集为 Y = { y j ,0 < j ≤ K } ,应用 DPI 技术确定了一部分子流的协议类型, 即生成{ s i ,y j } 映射关系表.
Abstract : To solve the problem of network traffic identification online, a clustering algorithm and a traffic identification scheme is proposed. The scheme uses a few number of the initial data packets in the flows as a subflow ,extracts the statistical features from subflows,and extracts the best feature subset of subflows by applying correlationbased filter approach. The network traffic flows are clustered by online density based spatial clustering of applications with noise algorithm,and mapped to application types by the dominant application in clusters. Experiments show that the scheme can identify new application types and encrypted flows,and can be implemented in online network traffic classification. Key words: traffic identification; online clustering algorithm; feature selection 随着网络业务类型的多样化,网络流量的测量 [1 ] 与分析成为关注的热点 . 及时准确地识别网络流 量对于流量工程及网络安全管理等有重要意义 . 网 络流量识别技术主要有端口方法 、 深度包检测方法、 [2 ] 流统计分析方法和机器学习等 . 端口的方法实现 简单,但越来越多的应用采用动态端口技术,限制 了该方法的应用. 深度包检测方法通过分析数据包 中的载荷来判断应用类型,具有准确性高的优点, 其缺陷是无法检测加密数据流,另外存储开销和计
2011 年 2 月 第 34 卷 第 1 期
北 京 邮 电 大 学 学 报 Journal of Beijing University of Posts and Telecommunications
Feb. 2011 Vol. 34 No. 1
5321 ( 2011 ) 01010304 文章编号: 1007-
IPv6
TCP 未识别流
ICMPv6
应用 NetMate 实现子流生成及特征提取功能, 共生成 38 项特征. 利用 Weka3. 7 评估子流数据集 的特 征 子 集,从 中 选 取 最 优 特 征 子 集 进 行 聚 类. FilterSubset 算法选取 4 个特征,如表 2 所示.
第1期

剑等: 在线聚类的网络流量识别 表1
网络层协议
105
为核对象; 而在 q 的 v eps 范围内的其他子流特征向量 定义为 q 的直接密度可达对象. 2. 2 OLDBSCAN 算法 基本 DBSCAN 算法步骤如下: 1 ) 所有子流特征向量设置为未归类 . 2 ) 选择任一向量为聚类的子流特征向量 p. 3 ) 如果 DBSCAN 判断 p 是核对象, 则将 q 和所 有 q 的直接密度可达对象定义为一个新簇 . 4 ) 如果 p 不是核对象,则将 p 归为噪声对象. 5 ) DBSCAN 算法遍历每个未聚类对象. 由于 DBSCAN 算法遍历整个数据集,不能用于 在线数据流的实时分类, 所以在该算法的基础上提 DBSCAN 算法如下: 出 OL1 ) 初始化: 以 DBSCAN 算法生成聚类,并积 累数据流集 Φ. 2 ) 当 Φ 满足聚类 c i ( 0 < i≤M) 的分类质量时, 改进算法对实时数据流特征向量 p 直接进行聚类 判决. 3 ) 如果 p∈c i ,则将 p 标签置为 c i , 同时用 p 替 换聚类 c i 中数据流时间最早的向量. 4 ) 如果 pc i , 则将 p 标签置为 T unknown , 保存 p 至 Φ 中,由应用映射模块将 T unknown 类型的数据流向 量提交至异常流量检测模块判别类型 . 5 ) 当聚类质量下降时,调整算法参数并依据 积累数据流集对其进行遍历聚类 ,形成新簇. 为解决数据流随时间变化所产生的概念漂移问 DBSCAN 算法评估聚类质量,根据实验结 题,OL果分析,定义如下 3 个标准: 1 ) 所有聚类中状态为 T unknown 的子流数占所有 子流数的比例不大于 10 % ; 2 ) 聚类数与应用类型之比 Q≥3 ; 3 ) 应用层协议映射表的任一簇中, 概率最大的 应用层协议的概率不小于 60 % . 若不能满足其中任一标准, 则聚类质量不符合 聚类标准, 将依据 Φ 重新创建各簇, 并基于新的簇 重新生成簇应用类型映射表.
104
北 京 邮 电 大 学 学 报
第 34 卷
期识别要求. 该方案包含了自适应在线聚类算法、 深度包检测( DPI) 检测机制, 具备识别加密数据流、 新 应用类型的能力, 能适应数据流特征随时间变化.
理数据流模块主要包括子流的生成、 特征提取、 聚 类、 应用层协议类型映射等; 在线低速处理模块包括 子流应用识别、 应用类型映射表的生成、 流 DPI 及异 常流量检测结果的反馈等. 方案的核心部分是将网 DBSCAN 算法进行聚 络流量以子流的形式采用 OL类,并应用 DPI 技术完成对抽样子流应用层协议的 识别.
Hale Waihona Puke 22. 1聚类算法
算法选择问题描述
目前一些聚类技术的分类方法采用基于距离的 原理, 缺点在于所形成的簇是球形的分割面. 基于 密度 的 聚 类 算 法 可 形 成 任 意 边 界 形 状 的 簇 . DBSCAN算法是基于密度算法的代表. 聚 类 算 法 根 据 流 量 特 征 直 接 进 行 聚 合, DBSCAN算法需要 2 个输入参数 v eps 、 v min-pts . v eps 确定 任一子流特征向量邻近距离; v min-pts 为任一子流特征 向量在邻近距离内的其他子流特征向量的最小数 目. 对于一个给定的子流特征向量 q, 在 q 的 v eps 范 围内的其他子流特征向量数达到 v min-pts , 则 q 被定义
0309 收稿日期: 2010基金项目: 国家高技术研究发展计划项目( 2008AA01Z218 ) mail: zhangj9860@ sina. com; 钱宗珏( 1930 —) ,男,教授,博士生导师. 作者简介: 张 剑( 1974 —) ,男,讲师,E-
算量大,不适合高速在线流量分类. 流量统计特征 [3 5 ] 的方法中, 分类算法 及机器学习对流量进行分类 运行速度快、 准确度高,但需要训练集建立流量模 型,训练集的选择对分类的准确度有较大影响; 分 类的业务类型是已知的,对未知类型无法识别. 本文提出一种基于密度的在线噪声空间聚类 ( OLDBSCAN) 算法及接入网流量分类方案. 该方 [4 ] 案采用流的若干初始数据包作为子流 ,基于子流 DBSCAN 算法满足接入网要求对数据流的早 的 OL-
在线聚类的网络流量识别

1, 2 1 1 1 剑 , 钱宗珏 , 寿国础 , 胡怡红 ( 1. 北京邮电大学 信息与通信工程学院,北京 100876 ; 2. 青岛理工大学 电子与通信工程学院,山东 青岛 266033 )