一种基于前后向触发机制的多网络流统计特征提取方法

摘要

本发明公开了一种基于前后向触发机制的多网络流统计特征提取方法，该方法包括步骤：S1.设定前后向触发规则；S2.判断是否满足前向触发池；S3.多网络流统计特征提取；S4.判断是否满足后向触发池。本发明的方法采用前后向触发机制判断网络中多网络流统计特征提取的开始时间和结束时间，一方面减少了后继相关处理的开销，将同一应用、协议或目的的多个网络流进行了有效整合，提高了特征提取的准确性；另一方面过滤了网络中待处理的流量，能够有效改善传统网络管理的性能。本发明的方法可以为高速网络中高性能流量分类系统、内容监控系统的设计和实现提供技术支持。

说明书

技术领域

本发明涉及网络安全及网络管理领域，尤其涉及一种基于前后向 触发机制的多网络流统计特征提取方法。

背景技术

随着网络技术和网络带宽的迅速发展，网络中的数据流量也成倍 增加，在高速骨干网络上，数据流量已经达到每秒钟Gbit、甚至10Gbit 以上。传统网络流量处理系统通常基于网络数据包，处理效率已无法 满足目前高速网络环境下的监控要求，并且，随着数据包所负载的内 容越来越多以及加密协议的频繁使用，对于数据包的处理难度也越来 越大，数据包已经很难反映出网络流量的特性。

不同于基于数据包的流量处理系统，基于网络流的流量处理系统 将数据包依据五元组（<源地址，目的地址，源端口，目的端口，协 议>）进行了划分，降低了对同一网络流进行操作的次数，有效的减 少了待处理数据的数量级，同时，通过将数据包有效归类为网络流， 网络流量处理系统只需要关注网络流中较为重要的、具有代表意义的 数据包，提高了系统效率。

然而，网络技术的飞速发展导致网络应用及网络协议的急速更 替，越来越多的协议和应用为了保证网络安全及网络速度将整个数据 传输过程分散在多个网络流数据流中，对单一网络流的检测不能够反 映协议或应用的全部信息内容，因此，将具有相同目的或相同特性的 网络流进行有效整合，提取其所包含的统计特征以便后续的处理与操 作，成为了网络管理者迫切需要解决的难题。

同时，相对于需要进行处理的、有意义的网络流，网络环境中还 存在大量不需要进行过度关注的网络流，因此，模仿数据包转换为网 络流的形式，将网络流进行再次整合，可以对网络流进行合理过滤， 剔除不符合处理要求的网络流量，能够非常有效的降低待处理的数据 量，提高系统的处理效率。

传统的多网络流统计特征过程中，对数据的获取通常在整个网络 持续时间情况下，虽然采用滑动窗口机制可以在一定程度上减少待处 理的数据量，但依然有着较大的时间及空间的损耗，需要消耗较大的 系统资源。为了有效的解决这种情况，利用有效的前后向触发机制， 判定多网络流统计特征提取的开始时间以及结束时间，将整个网络运 行时间段切分成多个有效或无效的特征提取时间片。一方面，有效的 减少了待处理的数据量，降低了内存消耗，过滤了不必处理的对分析 无用的网络流量，提高了系统的效率；另一方面，通过合理的判定机 制，将具有相同目的或同一应用和协议产生的多网络流有效的进行了 整体，提高了统计特征的准确性，有效的反映出了协议及应用的通信 行为。

发明内容

（一）要解决的技术问题

本发明所要解决的技术问题是：如何提供一种在多网络流统计特 征提取过程中有效的触发机制，以便减少待处理数据量及系统消耗， 筛除不必要处理的流量，将同一应用或协议的多个网络流的统计特征 进行整合，更好的提高统计特征的准确性，应对迅速增长的海量数据 量所带来的挑战。

（二）技术方案

为了解决上述问题，本发明提供了一种基于前后向触发机制的多 网络流统计特征提取方法。

该方法包括步骤：

S1.设定前后向触发规则；

S2.判断是否满足前向触发池；

S3.多网络流统计特征的提取；

S4.判断是否满足后向触发池。

其中，步骤S1进一步包括：

S11.设定前向触发池规则；

其中，在步骤S11中，前向触发池规则包括前向触发池触发源 （Trigger Source）、前向触发池触发条件（Trigger Rules）；

其中，在步骤S11中，前向触发池触发源为能够直接或间接从网 络中获取的网络信息；

其中，在步骤S11中，前向触发池触发条件包括前向触发池大小 （Trigger Pool Sizes）、前向触发顺序（Trigger Sequence）以及每个触 发条件的触发最大次数；

S12.设定后向触发池规则；

其中，在步骤S12中，后向触发池规则包括前向触发池触发源 （Trigger Source）、后向触发池触发条件（Trigger Rules）；

其中，在步骤S12中，后向触发池触发条件包括后向触发池大小 （Trigger Pool Sizes）、后向触发顺序（Trigger Sequence）以及每个触 发条件的触发最大次数；

其中，步骤S2进一步包括：

S21.依据当前前向待触发源的要求从网络中获得特定的信息内 容；

S22.判断当前所处的触发阶段，如果为非触发阶段或前向触发 池阶段，则执行步骤S23；如果为后向触发阶段，则执行步骤S3；

S23.判断所提取的信息内容是否满足当前前向待触发源限定， 如果不满足，则执行步骤S21；如果满足，则执行步骤S24；

S24.已使用前向触发池数量加1或依据前向触发顺序进入下一 步前向待触发源；

S25.判断此次触发后，是否已满足全部前向触发池要求，如果 不满足，执行步骤S21；如果满足，则执行步骤S3。

其中，步骤S3进一步包括：

S31.按照统计特征要求，从网络流中提取所需要的统计信息；

S32.更新统计特征数据结构后，执行步骤S4。

其中，步骤S4进一步包括：

S41.判断所提取的信息内容是否满足后向待触发源限定，如果 不满足，则执行步骤S21；如果满足，则执行步骤S42；

S42.已使用后向触发池数量加1或依据后向触发顺序进入下一 步后向待触发源；

S43.判断此次触发后，是否已满足全部后向触发池要求，如果 不满足，执行步骤S21；如果满足，则结束此次多网络流统计特征提 取。

（三）有益效果

本发明的方法首先根据多网络流统计特征的提取要求，依据所针 对协议或应用的通信机制所完成的网络流量的特殊性，制定合理的前 向触发机制和后向触发机制，然后根据触发条件对网络中捕获的网络 流进行对比分析，判断是否满足触发条件，并以触发条件来判定多网 络流统计特征提取的开始时间以及结束时间。这种基于前后向触发机 制的多网络流统计特征提取方法不仅能够筛除不需要进行处理的流 量，减少待处理的数据量，提高系统效率；同时，尽可能的将同一应 用、协议或目的而产生的多个网络流有效的进行整合，提高了多网络 流统计特征提取的准确性。本发明的方法可以为高速网络中高性能流 量分类系统、内容监控系统的设计核实现提供技术支持。

附图说明

图1为依照本发明一种基于前后向触发机制的多网络流统计特征提 取方法。

图2为依照本发明一种基于前后向触发机制的多网络流统计特征 提取方法中的前后向触发机制流程。

图3为依照本发明一种基于前后向触发机制的多网络流统计特征 提取方法的实施例示意图。

具体实施方式

对于本发明所提出的基于前后向触发机制的多网络流统计特征 提取方法，结合附图和实施例详细说明。

针对目前的网络流聚类过程中所遇到的待处理数据量巨大，处理 效率较低，统计提取难度大、准确性较差的情况，本发明提出了一种 基于前后向触发机制的多网络流统计特征提取方法。该方法首先根据 多网络流统计特征的提取要求，依据所针对协议或应用的通信机制所 完成的网络流量的特殊性，制定合理的前向触发机制和后向触发机 制，然后根据触发条件对网络中捕获的网络流进行对比分析，判断是 否满足触发条件，并以触发条件来判定多网络流统计特征提取的开始 时间以及结束时间。这种基于前后向触发机制的多网络流统计特征提 取方法不仅能够筛除不需要进行处理的流量，减少待处理的数据量， 提高系统效率；同时，尽可能的将同一应用、协议或目的而产生的多 个网络流有效的进行整合，提高了多网络流统计特征提取的准确性。

如图1所示，依照本发明一种实施方式的基于前后向触发机制的 多网络流统计特征提取方法进行如下步骤，

S1.设定前后向触发规则；

S2.判断是否满足前向触发池；

S3.提取同一目的或应用的多个网络流的统计特征；

S4.判断是否满足后向触发池。

其中，步骤S1进一步包括：

S11.设定前向触发池规则；

其中，在步骤S11中，前向触发池规则包括前向触发池触发源 （Trigger Source）、前向触发池触发条件（Trigger Rules）；

其中，在步骤S11中，前向触发池触发源为能够直接或间接从网 络中获取的网络信息；

其中，在步骤S11中，前向触发池触发条件包括前向触发池大小 （Trigger Pool Sizes）、前向触发顺序（Trigger Sequence）以及每个触 发条件的触发最大次数；

S12.设定后向触发池规则；

其中，在步骤S12中，后向触发池规则包括前向触发池触发源 （Trigger Source）、后向触发池触发条件（Trigger Rules）；

其中，在步骤S12中，后向触发池触发条件包括后向触发池大小 （Trigger Pool Sizes）、后向触发顺序（Trigger Sequence）以及每个触 发条件的触发最大次数；

其中，步骤S2进一步包括：

S21.依据当前前向待触发源的要求从网络中获得特定的信息内 容；

S22.判断当前所处的触发阶段，如果为非触发阶段或前向触发 池阶段，则执行步骤S23；如果为后向触发阶段，则执行步骤S3；

S23.判断所提取的信息内容是否满足当前前向待触发源限定， 如果不满足，则执行步骤S21；如果满足，则执行步骤S24；

S24.已使用前向触发池数量加1或依据前向触发顺序进入下一 步前向待触发源；

S25.判断此次触发后，是否已满足全部前向触发池要求，如果 不满足，执行步骤S21；如果满足，则执行步骤S3。

其中，步骤S3进一步包括：

S31.按照统计特征要求，从网络流中提取所需要的统计信息；

S32.更新统计特征数据结构后，执行步骤S4。

其中，统计信息包含但不限于表1所示：

表1多网络流统计特征表

其中，步骤S4进一步包括：

S41.判断所提取的信息内容是否满足后向待触发源限定，如果 不满足，则执行步骤S21；如果满足，则执行步骤S42；

S42.已使用后向触发池数量加1或依据后向触发顺序进入下一 步后向待触发源；

S43.判断此次触发后，是否已满足全部后向触发池要求，如果 不满足，执行步骤S21；如果满足，则结束此次多网络流统计特征提 取。

实施例

以下通过具体的实施例来进一步说明本发明的技术方案。本实施 例的方法包括如下步骤：

S1.设定前后向触发规则；

步骤S1包括以下子步骤：

S11.设定前向触发池规则，某项目中，针对P2P协议进行流量聚 类，设定前向触发池源，如表1所示：

表1前向触发池源

其中，正向的定义为此网络流五元组<源IP、目的IP、源端口号、 目的端口号、协议号>的源IP地址等于所要聚类的网络流的源IP地址， 反向的定义为此网络流五元组<源IP、目的IP、源端口号、目的端口 号、协议号>的目的IP地址等于所要聚类的网络流的源IP地址；

设定前向触发池大小为1，设定每个前向触发源的触发次数最大 值为1；

S12.设定后向触发池规则，在此项目中，针对P2P协议进行流量 聚类，设定后向触发池源，如表1所示；

设定后向触发池大小为5，设定每个后向触发源的触发次数最大 值为1；

S2.判断是否满足前向触发池；

步骤S2包括以下子步骤：

S21.从网络中提取包含所要检测的同一IP地址的已结束的网络 流，根据前向和后向触发源，提取相关信息，如表2所示：

表2提取信息表

S22.判断当前所处的触发阶段，如果为非触发阶段或前向触发 池阶段，则执行步骤S23；如果为后向触发阶段，则执行步骤S3；

S23.如果此网络流为正向连接失败的TCP网络流或反向的UDP 流，则符合当前前向待触发源，执行步骤S24；否则，则执行步骤S21；

S24.对已使用前向触发池数量加1后，执行步骤S25；

S25.由于前向触发池的全部触发规则为正向连接失败的TCP网 络流或反向UDP流任意一个出现1次，所以目前已满足全部前向触发 规则，执行步骤S3。

S3.多网络流统计特征提取；

步骤S3包括以下子步骤：

S31.在此项目中，需要对后向触发阶段的全部网络流进行统计 特征提取，提取的统计特征如表3所示：

表3统计特征表

S32.提取网络流的统计特征并累加后，执行步骤S4。

步骤S4包括以下子步骤：

S41.如果此网络流为正向连接失败的TCP网络流或反向的UDP 流，则符合当前后向待触发源，执行步骤S42；否则，则执行步骤S21；

S42.对已使用后向触发池数量加1后，执行步骤S43；

S43.由于后向触发池触发规则为正向连接失败的TCP网络流或 反向UDP流出现总次数为5次，所以，判断已使用后向触发池数量是 否大于等于5，如果满足全部后向触发规则，对待检测的网络流完成 聚类操作；否则，执行步骤S21。