一种基于双路自编码的未知流量识别方法及系统

技术特征：
1.一种双路自编码的未知流量识别方法，其特征在于，包括：对获取的网络数据包序列进行预处理，筛选得到未知流量数据；提取所述未知流量数据的协议载荷特征和流量统计特征；采用双路自编码器模型对所述协议载荷特征和流量统计特征进行编码，得到第一瓶颈特征和第二瓶颈特征；将所述第一瓶颈特征和第二瓶颈特征进行融合，得到融合特征；采用聚类方法对融合特征进行聚类，得到若干个类簇集合；采用流的三元组信息对若干个类簇集合进行优化调整，得到未知流量的识别结果。2.根据权利要求1所述的双路自编码的未知流量识别方法，其特征在于，所述预处理包括：采用nfstream和ndpi工具来将网络数据包序列重新组合成网络流并打上相应的应用协议标签，并按照协议类型对流量进行过滤，得到未知类流量数据。3.根据权利要求1所述的双路自编码的未知流量识别方法，其特征在于，在所述提取所述未知流量数据的协议载荷特征和流量统计特征具体包括：根据确定的协议载荷的提取长度参数，提取所述未知流量数据的协议载荷特征；提取未知流量数据的流量统计特征；将所述未知流量数据的协议载荷特征转换为二维矩阵形式，将所述未知流量数据的流量统计特征转换为一维向量形式。4.根据权利要求1所述的双路自编码的未知流量识别方法，其特征在于，所述采用双路自编码器模型包括：卷积自编码器和深度自编码器，所述卷积自编码器用于提取所述协议载荷特征的低维嵌入，得到第一瓶颈特征；所述深度自编码器用于提取流量统计特征的低维嵌入，得到第二瓶颈特征。5.根据权利要求4所述的双路自编码的未知流量识别方法，其特征在于，所述卷积自编码器的结构包括：在传统自编码器模型的基础上，使用卷积层、池化层来代替原来的全连接层；所述深度自编码器的结构包括：传统自编码器模型中引入深度学习网络，所述深度学习网络包括若干个堆叠的全连接层。6.根据权利要求1所述的双路自编码的未知流量识别方法，其特征在于，所述第一瓶颈特征和第二瓶颈特征聚合的过程包括：将所述第一瓶颈特征和第二瓶颈特征按照前后拼接的方式融合在一起，得到融合特征。7.根据权利要求1所述的双路自编码的未知流量识别方法，其特征在于，所述流的三元组信息为：<目的ip地址，目的端口号，传输层协议>，所述优化调整的规则包括：如果当前类簇中属于某个类别的三元组的流量数量大于其他类簇，则其他类簇中属于该三元组的流量将调整到当前类簇中，那么具有相同三元组信息的未知流量将被分配给同一类簇中。8.一种双路自编码的未知流量识别系统，其特征在于，包括：预处理模块，其被配置为：对获取的网络数据包序列进行预处理，筛选得到未知流量数据；特征提取模块，其被配置为：提取所述未知流量数据的协议载荷特征和流量统计特征；模型处理模块，其被配置为：采用双路自编码器模型对所述协议载荷特征和流量统计特征进行编码，得到第一瓶颈特征和第二瓶颈特征；融合模块，其被配置为：将所述第一瓶颈特征和第二瓶颈特征进行融合，得到融合特征；
聚类模块，其被配置为：采用聚类方法对融合特征进行聚类，得到若干个类簇集合；识别模块，其被配置为：采用流的三元组信息对若干个类簇集合进行优化调整，得到未知流量的识别结果。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一项所述的双路自编码的未知流量识别方法中的步骤。10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一项所述的双路自编码的未知流量识别方法中的步骤。

技术总结
本发明属于网络安全技术领域，提供了一种双路自编码的未知流量识别方法及系统。该方法包括，对获取的网络数据包序列进行预处理，筛选得到未知流量数据；提取所述未知流量数据的协议载荷特征和流量统计特征；采用双路自编码器模型对所述协议载荷特征和流量统计特征进行编码，得到第一瓶颈特征和第二瓶颈特征；将所述第一瓶颈特征和第二瓶颈特征进行融合，得到融合特征；采用聚类方法对融合特征进行聚类，得到若干个类簇集合；采用流的三元组信息对若干个类簇集合进行优化调整，得到未知流量的识别结果。的识别结果。的识别结果。


技术研发人员：王风宇 付亚婷 李晓帆 孔健 于光耀
受保护的技术使用者：山东大学
技术研发日：2022.03.21
技术公布日：2022/6/28