針對互聯(lián)網(wǎng)中存在的大量未知協(xié)議導致網(wǎng)絡管理和維護網(wǎng)絡安全十分困難的問題,提出了一種未知協(xié)議的分類識別方法。結(jié)合自編碼器技術(shù)和改進的K-means聚類技術(shù)針對網(wǎng)絡流量實現(xiàn)了未知協(xié)議的分類識別。利用自編碼器對網(wǎng)絡流量進行降維和特征提取,使用聚類技術(shù)對降維后數(shù)據(jù)進行無監(jiān)督的分類,最終實現(xiàn)對網(wǎng)絡流量的無監(jiān)督識別分類。實驗結(jié)果表明,所提方法分類效果優(yōu)于傳統(tǒng)的K-means、DBSCAN、GMM算法,且具有更高的效率。 

【文章來源】：通信學報. 2020,41(06)北大核心EICSCD

【文章頁數(shù)】：10 頁

【部分圖文】：

自編碼器模型

網(wǎng)絡協(xié)議流量數(shù)據(jù)包含鏈路層數(shù)據(jù)、TCP/UDP頭、應用層協(xié)議數(shù)據(jù)。本文進行協(xié)議識別主要是關(guān)注應用層協(xié)議頭的部分數(shù)據(jù)，而不是關(guān)注載荷部分數(shù)據(jù)。因此只選擇了包含協(xié)議頭部的數(shù)據(jù)分組作為分類的流量數(shù)據(jù)。協(xié)議流量數(shù)據(jù)形式如圖3所示，每一條數(shù)據(jù)都是一幀流量。為了保證輸入數(shù)據(jù)長度固定，需要將輸入數(shù)據(jù)進行截斷和填充。例如，選擇長度l作為輸入長度，需要對長度短于l的消息數(shù)據(jù)進行階段處理，對其填充0使長度為l。這樣會導致數(shù)據(jù)的損失和噪聲的產(chǎn)生。選擇的長度需要在減少數(shù)據(jù)損失和噪聲產(chǎn)生的基礎(chǔ)上盡可能選取全部有效的控制信息。對于數(shù)據(jù)集I=(m 1,m 2,m 3,,m n)，這里每個數(shù)據(jù)對象mi=(m i1,m i2,m i3,,mij,mi mi)為不定長的消息，其中mij代表消息mi的第j個字節(jié)。為了保證能夠不損失有效信息并減少填充噪聲，截取長度l設定為

其中，t是包括所有控制信息的最短長度。為了便于數(shù)值計算，需要將長度對齊后的數(shù)據(jù)集從十六進制轉(zhuǎn)化為十進制。為了便于訓練神經(jīng)網(wǎng)絡時進行矩陣運算，需要將向量進行歸一化操作，如式(3)所示。4.2 DEC模型

【參考文獻】：
期刊論文
[1]基于連續(xù)特征的未知協(xié)議消息聚類算法[J]. 盧政宇,李光松,申瑩珠,張彬.  山東大學學報(理學版). 2019(05)



本文編號：3621512