收藏
下载资源 加入会员免费下载

基于分类决策树的网络纯净性检测装置及方法.pdf

上传人:111****112 文档编号:663172 上传时间:2018-03-02 格式:PDF 页数:11 大小:430.08KB
返回 下载 相关 举报
摘要
申请专利号:

CN201310142240.0

 申请日:

2013.04.23
公开号:

CN104125106A

 公开日:

2014.10.29
当前法律状态:

实审

 有效性:

审中
法律详情:

实质审查的生效IPC(主分类):H04L 12/26申请日:20130423|||公开
IPC分类号:

H04L12/26; H04L29/06

 主分类号:

H04L12/26
申请人:

中国银联股份有限公司
发明人:

柴洪峰; 吴杰; 鲁志军; 叶家炜; 王明博; 严明
地址:

200135 上海市浦东新区含笑路36号银联大厦
优先权:

专利代理机构:

中国专利代理(香港)有限公司 72001

 代理人:

方世栋;朱海煜
PDF下载: PDF下载
内容摘要

本发明提出了基于分类决策树的网络纯净性检测装置及方法。其中,所述方法包括:按照预定的采样时间窗口周期性地采样网络上的数据流;分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。本发明所公开的基于分类决策树的网络纯净性检测装置及方法具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境。

权利要求书

1.  一种基于分类决策树的网络纯净性检测装置,所述基于分类决策树的网络纯净性检测装置包括:
网络数据流采样模块,所述网络数据流采样模块按照预定的采样时间窗口周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器;
决策树分类器,所述决策树分类器分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块以实施报警,其中,所述报警指令包含异常数据流的信息;
报警模块,所述报警模块基于接收到的所述报警指令执行相关的报警操作。

2.  根据权利要求1所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述基于分类决策树的网络纯净性检测装置进一步包括协议过滤器,所述协议过滤器在所述决策树分类器之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则将所述采样的数据流转发到所述决策树分类器进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器。

3.  根据权利要求2所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述决策树分类器在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。

4.  根据权利要求3所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型:该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。

5.  根据权利要求4所述的基于分类决策树的网络纯净性检测装置,其特征在于,以如下方式基于分类决策树确定所述采样的数据流的类型:从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。

6.  根据权利要求5所述的基于分类决策树的网络纯净性检测装置,其特征在于,以如下方式基于训练数据集生成所述分类决策树:(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性,并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本,则以该集合中占多数的数据流类型作为该叶子节点的值。

7.  一种基于分类决策树的网络纯净性检测方法,所述方法包括下列步骤:
(A1)按照预定的采样时间窗口周期性地采样网络上的数据流;
(A2)分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。

说明书

基于分类决策树的网络纯净性检测装置及方法
技术领域
本发明涉及网络纯净性检测装置及方法,更具体地,涉及基于分类决策树的网络纯净性检测装置及方法。
背景技术
目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富(尤其在云计算环境中),网络纯净性检测装置及方法变得越来越重要。网络数据流的纯净性检测的主要目的是为了保证特定网络中只允许存在某些特定类型的数据流(即正常的数据流),而其它类型的数据流则被视为异常数据流,当检测到异常数据流时需要进行报警或者数据流清洗操作。
现有的网络纯净性检测装置及方法通常基于如下两种方式:(1)根据数据包使用的传输层端口来判断其承载的应用层协议的类型;(2)利用深度包检测(Deep Packet Inspection,DPI)的方法对数据包的负载进行分析,并根据通信的行为或者特定的模式匹配来判断上层的应用协议。
然而,现有的网络纯净性检测装置及方法存在如下问题:(1)针对第一种方式,由于只能检测使用公知端口的应用层协议(例如HTTP协议使用TCP 80端口,DNS协议使用UDP 53端口等),故该方法的准确率较低并且适用范围较窄;(2)针对第二种方式,由于需要事先了解每种应用层协议的特征,因此仅适用于识别已知的常用协议且在某些情况下是不可行的(例如有些协议的负载本身是经过加密的),故其适用范围有限并且资源消耗较多。
因此,存在如下需求:提供具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境(例如云计算环境)的基于分类决策树的网络纯净性检测装置及方法。
发明内容
为了解决上述现有技术方案所存在的问题,本发明提出了具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境(例如云计算环境)的基于分类决策树的网络纯净性检测装置及方法。
本发明的目的是通过以下技术方案实现的:
一种基于分类决策树的网络纯净性检测装置,所述基于分类决策树的网络纯净性检测装置包括:
网络数据流采样模块,所述网络数据流采样模块按照预定的采样时间窗口周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器;
决策树分类器,所述决策树分类器分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块以实施报警,其中,所述报警指令包含异常数据流的信息;
报警模块,所述报警模块基于接收到的所述报警指令执行相关的报警操作。
在上面所公开的方案中,可选地,所述基于分类决策树的网络纯净性检测装置进一步包括协议过滤器,所述协议过滤器在所述决策树分类器之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则将所述采样的数据流转发到所述决策树分类器进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器。
在上面所公开的方案中,可选地,所述决策树分类器在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。
在上面所公开的方案中,优选地,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型:该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。
在上面所公开的方案中,优选地,以如下方式基于分类决策树确定所述采样的数据流的类型:从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。
在上面所公开的方案中,优选地,以如下方式基于训练数据集生成所述分类决策树:(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性,并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本,则以该集合中占多数的数据流类型作为该叶子节点的值。
本发明的目的也可以通过以下技术方案实现:
一种基于分类决策树的网络纯净性检测方法,所述方法包括下列步骤:
(A1)按照预定的采样时间窗口周期性地采样网络上的数据流;
(A2)分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。
本发明所公开的基于分类决策树的网络纯净性检测装置及方法具有以下优点:(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。    
附图说明
结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中:
图1是根据本发明的实施例的基于分类决策树的网络纯净性检测装置的示意性结构图;
图2是根据本发明的实施例的分类决策树的实例的示意图;
图3是根据本发明的实施例的基于分类决策树的网络纯净性检测方法的流程图。
具体实施方式
图1是根据本发明的实施例的基于分类决策树的网络纯净性检测装置的示意性结构图。如图1所示,本发明所公开的基于分类决策树的网络纯净性检测装置包括决策树分类器1、网络数据流采样模块2和报警模块4。其中,所述网络数据流采样模块2按照预定的采样时间窗口(其可以由用户根据实际需求而配置)周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器1。所述决策树分类器1分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块4以实施报警,其中,所述报警指令包含异常数据流的信息。所述报警模块4基于接收到的所述报警指令执行相关的报警操作。
可选地,本发明所公开的基于分类决策树的网络纯净性检测装置进一步包括协议过滤器3,所述协议过滤器3在所述决策树分类器1之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则将所述采样的数据流转发到所述决策树分类器1进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器1。
可选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,所述决策树分类器1在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI(深度包检测)技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块4以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型:该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,以如下方式基于分类决策树确定所述采样的数据流的类型:从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,以如下方式基于训练数据集生成所述分类决策树:(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性(即对训练样本具有最高区分度的特征量),并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本(即不同类型的数据流样本包含了相同的特征量),则以该集合中占多数的数据流类型作为该叶子节点的值。
图2是根据本发明的实施例的分类决策树的实例的示意图。如图2所示,在该例子中,数据流由包含传输层协议类型、源IP地址、目的IP地址、源端口号和目的端口号五个元素的组来标识,并且在分类时同时考虑了上行和下行数据流,其中,针对每个数据流,选取最初四个数据包方向、平均数据包长度、平均数据包间隔时间以及数据流持续时间作为特征量,其中,最初四个数据包方向反映出链接建立时的交互过程(示例性地,可以设定下行数据包方向为0,上行数据包方向为1,则该特征量可以表示为由四位二进制数组成的整数)。此外,该例子中,在计算平均数据包长度时,仅考虑包含实际负载的数据包,而仅包含例如ACK的纯TCP数据包不会加入到计算之中,另外,平均数据包间隔时间指的是在该数据流内部的每个数据包之间间隔的平均时间。
由上可见,本发明所公开的基于分类决策树的网络纯净性检测装置具有下列优点:(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。
图3是根据本发明的实施例的基于分类决策树的网络纯净性检测方法的流程图。如图3所示,本发明所公开的基于分类决策树的网络纯净性检测方法包括下列步骤:(A1)按照预定的采样时间窗口(其可以由用户根据实际需求而配置)周期性地采样网络上的数据流;(A2)分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。
可选地,本发明所公开的基于分类决策树的网络纯净性检测方法进一步包括:在基于分类决策树确定所述采样的数据流的类型之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则随后基于分类决策树确定所述采样的数据流的类型,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不进行后续的处理。
可选地,本发明所公开的基于分类决策树的网络纯净性检测方法进一步包括:在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI(深度包检测)技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则执行相关的报警操作,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型:该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,以如下方式基于分类决策树确定所述采样的数据流的类型:从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。
优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,以如下方式基于训练数据集生成所述分类决策树:(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性(即对训练样本具有最高区分度的特征量),并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本(即不同类型的数据流样本包含了相同的特征量),则以该集合中占多数的数据流类型作为该叶子节点的值。
由上可见,本发明所公开的基于分类决策树的网络纯净性检测方法具有下列优点:(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。
尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到:在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。

基于分类决策树的网络纯净性检测装置及方法.pdf_第1页
第1页 / 共11页
基于分类决策树的网络纯净性检测装置及方法.pdf_第2页
第2页 / 共11页
基于分类决策树的网络纯净性检测装置及方法.pdf_第3页
第3页 / 共11页
点击查看更多>>
资源描述

《基于分类决策树的网络纯净性检测装置及方法.pdf》由会员分享,可在线阅读,更多相关《基于分类决策树的网络纯净性检测装置及方法.pdf(11页珍藏版)》请在专利查询网上搜索。

1、10申请公布号CN104125106A43申请公布日20141029CN104125106A21申请号201310142240022申请日20130423H04L12/26200601H04L29/0620060171申请人中国银联股份有限公司地址200135上海市浦东新区含笑路36号银联大厦72发明人柴洪峰吴杰鲁志军叶家炜王明博严明74专利代理机构中国专利代理香港有限公司72001代理人方世栋朱海煜54发明名称基于分类决策树的网络纯净性检测装置及方法57摘要本发明提出了基于分类决策树的网络纯净性检测装置及方法。其中,所述方法包括按照预定的采样时间窗口周期性地采样网络上的数据流;分析所述采样的。

2、数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。本发明所公开的基于分类决策树的网络纯净性检测装置及方法具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境。51INTCL权利要求书2页说明书5页附图3页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书5页附图3页10申请公布号CN104125106ACN104125106A1/2页21一种基于分类决策树的网络纯净性检测装置,所述基于分类决策树的网络纯净性检测装置包括网络数据流采样模块,所述网络数据流采样模块按照预定的。

3、采样时间窗口周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器;决策树分类器,所述决策树分类器分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块以实施报警,其中,所述报警指令包含异常数据流的信息;报警模块,所述报警模块基于接收到的所述报警指令执行相关的报警操作。2根据权利要求1所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述基于分类决策树的网络纯净性检测装置进一步包括协议过滤器,所述协议过滤器在所述决策树分类器之前预处理所述采样的数据流,如。

4、果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则将所述采样的数据流转发到所述决策树分类器进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器。3根据权利要求2所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述决策树分类器在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。4根据权利。

5、要求3所述的基于分类决策树的网络纯净性检测装置,其特征在于,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。5根据权利要求4所述的基于分类决策树的网络纯净性检测装置,其特征在于,以如下方式基于分类决策树确定所述采样的数据流的类型从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶。

6、子节点的值所代表的数据流的类型就是所述采样的数据流的类型。6根据权利要求5所述的基于分类决策树的网络纯净性检测装置,其特征在于,以如下方式基于训练数据集生成所述分类决策树(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性,并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本,则以该集合中占多数的数据流类型作为该叶子节点的值。7一种基于分类决策树的网络纯净性检测方法,所。

7、述方法包括下列步骤(A1)按照预定的采样时间窗口周期性地采样网络上的数据流;权利要求书CN104125106A2/2页3(A2)分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。权利要求书CN104125106A1/5页4基于分类决策树的网络纯净性检测装置及方法技术领域0001本发明涉及网络纯净性检测装置及方法,更具体地,涉及基于分类决策树的网络纯净性检测装置及方法。背景技术0002目前,随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富尤其在云计算环境中,网络纯净性检测装。

8、置及方法变得越来越重要。网络数据流的纯净性检测的主要目的是为了保证特定网络中只允许存在某些特定类型的数据流即正常的数据流,而其它类型的数据流则被视为异常数据流,当检测到异常数据流时需要进行报警或者数据流清洗操作。0003现有的网络纯净性检测装置及方法通常基于如下两种方式(1)根据数据包使用的传输层端口来判断其承载的应用层协议的类型;(2)利用深度包检测(DEEPPACKETINSPECTION,DPI)的方法对数据包的负载进行分析,并根据通信的行为或者特定的模式匹配来判断上层的应用协议。0004然而,现有的网络纯净性检测装置及方法存在如下问题(1)针对第一种方式,由于只能检测使用公知端口的应用。

9、层协议(例如HTTP协议使用TCP80端口,DNS协议使用UDP53端口等),故该方法的准确率较低并且适用范围较窄;(2)针对第二种方式,由于需要事先了解每种应用层协议的特征,因此仅适用于识别已知的常用协议且在某些情况下是不可行的(例如有些协议的负载本身是经过加密的),故其适用范围有限并且资源消耗较多。0005因此,存在如下需求提供具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境(例如云计算环境)的基于分类决策树的网络纯净性检测装置及方法。发明内容0006为了解决上述现有技术方案所存在的问题,本发明提出了具有高的稳定性和准确性,资源消耗低并且能够适用于各种复杂网络环境(例如云计。

10、算环境)的基于分类决策树的网络纯净性检测装置及方法。0007本发明的目的是通过以下技术方案实现的一种基于分类决策树的网络纯净性检测装置,所述基于分类决策树的网络纯净性检测装置包括网络数据流采样模块,所述网络数据流采样模块按照预定的采样时间窗口周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器;决策树分类器,所述决策树分类器分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块以实施报警,其中,所述报警指令包含异常数据流的信息;说明书CN104125106。

11、A2/5页5报警模块,所述报警模块基于接收到的所述报警指令执行相关的报警操作。0008在上面所公开的方案中,可选地,所述基于分类决策树的网络纯净性检测装置进一步包括协议过滤器,所述协议过滤器在所述决策树分类器之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则将所述采样的数据流转发到所述决策树分类器进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器。0009在上面所公开的方案中,可选地,所述决策树分类器在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI技术检验所述采样的。

12、数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。0010在上面所公开的方案中,优选地,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。0011在上面所公开的方案中,优选地,以如下方式基于分类决策树确定所述采样的数据流的类型从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与。

13、当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。0012在上面所公开的方案中,优选地,以如下方式基于训练数据集生成所述分类决策树(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性,并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类。

14、型的数据流样本,则以该集合中占多数的数据流类型作为该叶子节点的值。0013本发明的目的也可以通过以下技术方案实现一种基于分类决策树的网络纯净性检测方法,所述方法包括下列步骤(A1)按照预定的采样时间窗口周期性地采样网络上的数据流;(A2)分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。0014本发明所公开的基于分类决策树的网络纯净性检测装置及方法具有以下优点(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。附图说明0。

15、015结合附图,本发明的技术特征以及优点将会被本领域技术人员更好地理解,其中说明书CN104125106A3/5页6图1是根据本发明的实施例的基于分类决策树的网络纯净性检测装置的示意性结构图;图2是根据本发明的实施例的分类决策树的实例的示意图;图3是根据本发明的实施例的基于分类决策树的网络纯净性检测方法的流程图。具体实施方式0016图1是根据本发明的实施例的基于分类决策树的网络纯净性检测装置的示意性结构图。如图1所示,本发明所公开的基于分类决策树的网络纯净性检测装置包括决策树分类器1、网络数据流采样模块2和报警模块4。其中,所述网络数据流采样模块2按照预定的采样时间窗口(其可以由用户根据实际需。

16、求而配置)周期性地采样网络上的数据流,并将采样的数据流传送到决策树分类器1。所述决策树分类器1分析所述采样的数据流,并基于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则构造报警指令,并将所述报警指令传送到报警模块4以实施报警,其中,所述报警指令包含异常数据流的信息。所述报警模块4基于接收到的所述报警指令执行相关的报警操作。0017可选地,本发明所公开的基于分类决策树的网络纯净性检测装置进一步包括协议过滤器3,所述协议过滤器3在所述决策树分类器1之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型。

17、,则将所述采样的数据流转发到所述决策树分类器1进行后续的处理,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不将所述采样的数据流转发到所述决策树分类器1。0018可选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,所述决策树分类器1在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基于DPI(深度包检测)技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则构造报警指令并将所述报警指令传送到报警模块4以实施报警,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。0019优选地,在本发明所公开的基于分类决策。

18、树的网络纯净性检测装置中,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。0020优选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,以如下方式基于分类决策树确定所述采样的数据流的类型从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终到达叶子节点,则该叶子节点的值所代表的数据流的类型就是。

19、所述采样的数据流的类型。0021优选地,在本发明所公开的基于分类决策树的网络纯净性检测装置中,以如下方式基于训练数据集生成所述分类决策树(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性(即对训练样本具有最高区分度的特征量),并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本说明书CN104125106A4/5页7属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本(即不同类型的数据流样本包含了相同的特征量),则以该。

20、集合中占多数的数据流类型作为该叶子节点的值。0022图2是根据本发明的实施例的分类决策树的实例的示意图。如图2所示,在该例子中,数据流由包含传输层协议类型、源IP地址、目的IP地址、源端口号和目的端口号五个元素的组来标识,并且在分类时同时考虑了上行和下行数据流,其中,针对每个数据流,选取最初四个数据包方向、平均数据包长度、平均数据包间隔时间以及数据流持续时间作为特征量,其中,最初四个数据包方向反映出链接建立时的交互过程(示例性地,可以设定下行数据包方向为0,上行数据包方向为1,则该特征量可以表示为由四位二进制数组成的整数)。此外,该例子中,在计算平均数据包长度时,仅考虑包含实际负载的数据包,而。

21、仅包含例如ACK的纯TCP数据包不会加入到计算之中,另外,平均数据包间隔时间指的是在该数据流内部的每个数据包之间间隔的平均时间。0023由上可见,本发明所公开的基于分类决策树的网络纯净性检测装置具有下列优点(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。0024图3是根据本发明的实施例的基于分类决策树的网络纯净性检测方法的流程图。如图3所示,本发明所公开的基于分类决策树的网络纯净性检测方法包括下列步骤(A1)按照预定的采样时间窗口(其可以由用户根据实际需求而配置)周期性地采样网络上的数据流;(A2)分析所述采样的数据流,并基。

22、于分类决策树确定所述采样的数据流的类型以判断所述采样的数据流是否是异常数据流,如果所述采样的数据流是异常数据流,则执行相关的报警操作。0025可选地,本发明所公开的基于分类决策树的网络纯净性检测方法进一步包括在基于分类决策树确定所述采样的数据流的类型之前预处理所述采样的数据流,如果所述采样的数据流的传输层协议的类型不是正常数据流的类型,则随后基于分类决策树确定所述采样的数据流的类型,而如果所述采样的数据流的传输层协议的类型是正常数据流的类型,则不进行后续的处理。0026可选地,本发明所公开的基于分类决策树的网络纯净性检测方法进一步包括在基于分类决策树判断所述采样的数据流是异常数据流之后进一步基。

23、于DPI(深度包检测)技术检验所述采样的数据流,如果所述采样的数据流的关键字与正常数据流的关键字不匹配,则执行相关的报警操作,而如果所述采样的数据流的关键字与正常数据流的关键字相匹配,则不触发报警操作。0027优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,所述分类决策树包括至少两层,并且每个非叶子节点的值表示数据流的一个特征量的值,而每个叶子节点的值表示满足如下条件的数据流的类型该数据流的各个对应的特征量的值匹配该叶子节点对应的分类决策树的分支中的各个节点的值。0028优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,以如下方式基于分类决策树确定所述采样的数据流的类。

24、型从所述分类决策树的根节点开始,将所述采样的数据流的对应的特征量的值与当前层的对应节点的值相比较,如果相匹配,则针对该匹配的节点对应的下一层的节点重复执行与上述匹配操作相似的匹配操作,如果最终说明书CN104125106A5/5页8到达叶子节点,则该叶子节点的值所代表的数据流的类型就是所述采样的数据流的类型。0029优选地,在本发明所公开的基于分类决策树的网络纯净性检测方法中,以如下方式基于训练数据集生成所述分类决策树(1)对从训练数据集获得的数据流的连续的特征量取值进行离散化;(2)从根节点开始构造分类决策树,每次选取具有最大增益率的特征量做为分裂属性(即对训练样本具有最高区分度的特征量),。

25、并按照该特征量的可能取值构造不同的分支,随后递归地选取后续的特征量节点;(3)当到达叶子节点时,如果所有样本属于同一数据流类型,则以该数据流类型作为叶子节点的值,而如果包含了不同类型的数据流样本(即不同类型的数据流样本包含了相同的特征量),则以该集合中占多数的数据流类型作为该叶子节点的值。0030由上可见,本发明所公开的基于分类决策树的网络纯净性检测方法具有下列优点(1)具有高的稳定性和准确性;(2)算法复杂度较低,占用资源较少;(3)能够适用于各种复杂网络环境(例如云计算环境)。0031尽管本发明是通过上述的优选实施方式进行描述的,但是其实现形式并不局限于上述的实施方式。应该认识到在不脱离本发明主旨和范围的情况下,本领域技术人员可以对本发明做出不同的变化和修改。说明书CN104125106A1/3页9图1说明书附图CN104125106A2/3页10图2说明书附图CN104125106A103/3页11图3说明书附图CN104125106A11。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1