本發(fā)明公開了一種改進(jìn)k?means的未知協(xié)議數(shù)據(jù)幀分類方法，屬于未知協(xié)議識(shí)別技術(shù)領(lǐng)域，包括：對(duì)獲取到的比特流數(shù)據(jù)幀的長(zhǎng)度進(jìn)行對(duì)齊處理；將數(shù)據(jù)幀中每個(gè)字節(jié)作為一個(gè)屬性，計(jì)算各屬性的信息熵來確定其權(quán)重，用于加權(quán)歐式距離；計(jì)算各個(gè)數(shù)據(jù)幀的密度，基于高密度數(shù)據(jù)集中通過最大最小距離準(zhǔn)則確定聚類中心；基于簇內(nèi)簇間加權(quán)歐式距離確定最佳聚類個(gè)數(shù)k，并輸出最佳k值下的聚類結(jié)果；可以對(duì)未知比特流形式協(xié)議的數(shù)據(jù)幀進(jìn)行快速準(zhǔn)確的聚類，效率、準(zhǔn)確率高。

技術(shù)領(lǐng)域

本發(fā)明屬于未知協(xié)議識(shí)別技術(shù)領(lǐng)域，具體說是針對(duì)未知網(wǎng)絡(luò)環(huán)境下多種未知協(xié)議數(shù)據(jù)幀分類中效率不高、準(zhǔn)確率低的問題，提出的一種改進(jìn)k-means的未知協(xié)議數(shù)據(jù)幀分類方法。

背景技術(shù)

無(wú)線通信在作戰(zhàn)環(huán)境中占據(jù)主要位置，交戰(zhàn)雙方大量的指揮、控制、情報(bào)信息通過無(wú)線通信傳遞。因此，成功截取敵方指揮信息并解析，甚至反向入侵干擾地方的指揮命令，對(duì)戰(zhàn)場(chǎng)信息對(duì)抗有著重要的意義。未知協(xié)議識(shí)別往往會(huì)以協(xié)議的分層為基礎(chǔ)，對(duì)于協(xié)議未知的網(wǎng)絡(luò)數(shù)據(jù)，當(dāng)前主要的研究?jī)?nèi)容為對(duì)協(xié)議的特征進(jìn)行提取，而處理的對(duì)象則為具有相同協(xié)議屬性的比特流數(shù)據(jù)幀，基于比特流數(shù)據(jù)幀的未知數(shù)據(jù)鏈路協(xié)議的識(shí)別則是一項(xiàng)重要的研究。如何將多數(shù)據(jù)鏈路層協(xié)議進(jìn)行聚類以獲得相同協(xié)議屬性的數(shù)據(jù)幀是該研究中的首要問題，因此對(duì)比特流數(shù)據(jù)幀的處理分析成為協(xié)議識(shí)別與分析的首要工作。

針對(duì)多種未知協(xié)議數(shù)據(jù)幀分類的問題，國(guó)內(nèi)外展開了很多研究，但由于比特流協(xié)議數(shù)據(jù)幀具有字段長(zhǎng)度靈活，控制開銷小，結(jié)構(gòu)緊湊等特點(diǎn)，使得現(xiàn)有的研究中存在一些不足。如基于距離累加和的初始聚類中心選擇算法，采用K-means算法對(duì)預(yù)處理后的數(shù)據(jù)幀進(jìn)行聚類，提高了算法的穩(wěn)定性和效率，但該算法的局限性在于處理數(shù)據(jù)段較長(zhǎng)或存在可擴(kuò)展字段的協(xié)議數(shù)據(jù)幀時(shí)效果不佳；基于主成分分析(PCA)和密度峰聚類的無(wú)監(jiān)督聚類算法通過信息增益來確定主成分分析的維數(shù)，能有效去除未知協(xié)議數(shù)據(jù)幀中的冗余信息，同時(shí)基于距離指數(shù)加權(quán)改進(jìn)密度峰聚類算法可以自動(dòng)確定聚類中心，完成對(duì)未知協(xié)議數(shù)據(jù)幀有效的分類，但該方法中的信息增益閾值難以確定；基于改進(jìn)K-means的比特流未知協(xié)議分類模型根據(jù)二進(jìn)制流的特點(diǎn)對(duì)大量的比特流協(xié)議數(shù)據(jù)幀進(jìn)行分析，以此來確定值和初始聚類中心，最后將聚類好的協(xié)議簇使用基于信息熵的混雜度評(píng)價(jià)方法進(jìn)行評(píng)價(jià)，對(duì)未知協(xié)議識(shí)別進(jìn)行分類具有較高的準(zhǔn)確率，但是該方法需要分析大量的協(xié)議數(shù)據(jù)幀才能獲得近似值，時(shí)間復(fù)雜度較高；利用K-means和DBSCAN算法相結(jié)合的方式進(jìn)行未知多協(xié)議數(shù)據(jù)幀的分類方法雖然實(shí)現(xiàn)未知協(xié)議條件下數(shù)據(jù)幀的聚類得到滿意的聚類結(jié)果，但是該方法在進(jìn)行初始聚類時(shí)的聚類中心個(gè)數(shù)是指定的，在未知協(xié)議條件下，后續(xù)的聚類算法往往得不到滿意的結(jié)果。

發(fā)明內(nèi)容

為解決現(xiàn)有技術(shù)中存在的不足，本發(fā)明提供一種改進(jìn)k-means的未知協(xié)議數(shù)據(jù)幀分類方法，可以對(duì)未知比特流形式協(xié)議的數(shù)據(jù)幀進(jìn)行快速準(zhǔn)確的聚類，效率、準(zhǔn)確率高。

本發(fā)明為解決其技術(shù)問題所采用的技術(shù)方案是：一種改進(jìn)k-means的未知協(xié)議數(shù)據(jù)幀分類方法，包括：

對(duì)獲取到的比特流數(shù)據(jù)幀的長(zhǎng)度進(jìn)行對(duì)齊處理；

將數(shù)據(jù)幀中每個(gè)字節(jié)作為一個(gè)屬性，計(jì)算各屬性的信息熵來確定其權(quán)重，用于加權(quán)歐式距離；

計(jì)算各個(gè)數(shù)據(jù)幀的密度，基于高密度數(shù)據(jù)集中通過最大最小距離準(zhǔn)則確定聚類中心；

基于簇內(nèi)簇間加權(quán)歐式距離確定最佳聚類個(gè)數(shù)k，并輸出最佳k值下的聚類結(jié)果。

進(jìn)一步的，對(duì)獲取到的比特流數(shù)據(jù)幀的長(zhǎng)度進(jìn)行對(duì)齊處理，具體為：將64B作為對(duì)齊處理后數(shù)據(jù)幀的長(zhǎng)度，大于此長(zhǎng)度的數(shù)據(jù)幀部分舍去，不足此長(zhǎng)度的數(shù)據(jù)幀通過0補(bǔ)齊。