(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210641577.5 (22)申请日 2022.06.08 (71)申请人 中国人民解 放军陆军工程大 学 地址 210007 江苏省南京市秦淮区后标营 路88号 (72)发明人 洪征　吴吉胜　马甜甜　司健鹏　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 董建林 (51)Int.Cl. H04L 69/06(2022.01) H04L 69/22(2022.01) H04L 69/329(2022.01) H04L 43/02(2022.01) H04L 43/04(2022.01)H04L 43/0876(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) G06V 10/762(2022.01) G06V 10/82(2022.01) (54)发明名称 一种基于深度聚类的未知网络协议识别方 法、 系统、 装置及存 储介质 (57)摘要 本发明公开了一种基于深度聚类的未知网 络协议识别方法、 系统、 装置及存储介质， 识别方 法包括从网络中获取原始网络数据包并进行数 据预处理， 得到应用层协议数据； 将应用层协议 数据进行特征提取， 得到协议数据特征； 将协议 数据特征输入 预训练的协议识别模 型， 获得协议 识别结果。 通过预训练的自编码器模 型中的编码 器， 利用NIN层和BLS TM层提取协议数据的时空特 征， 并利用通道注意力机制和空间注 意力机制进 行特征的强化。 在未知协议识别阶段， 通过构建 协议识别模型， 对协议数据进行聚类， 不断训练 协议识别模型， 当模型损失函数收敛时达到最 优， 并获得最终的协议识别结果。 权利要求书2页 说明书9页 附图2页 CN 115037805 A 2022.09.09 CN 115037805 A 1.一种基于深度聚类的未知网络协议识别方法， 其特 征在于， 包括： 获取待识别网络协议的原 始网络数据包并进行 数据预处 理， 得到应用层协议数据； 将应用层协议数据进行 特征提取， 得到协议数据特 征； 将协议数据特征输入预训练的协议识别模型， 获得协议识别结果； 其中所述协议识别 模型包括编码器和与编码器相连 的聚类层； 编码器用于对协议数据特征进行编码处理， 聚 类层用于对提取的输入特 征进行聚类优化。 2.根据权利要求1所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述数 据预处理包括对待识别网络协议的原始网络数据包依次进 行网络流量清洗、 网络流重组与 切分以及协议数据归一 化。 3.根据权利要求1所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述特 征提取的方法包括采用训练好的自编 码器模型对应用层协议数据依次提取 空间特征、 进 行 通道注意力学习 、 进行空间注意力学习和提取时间特 征。 4.根据权利要求3所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述自 编码器模型包括解码 器和协议识别模 型的编码 器， 所述编码 器包括依次连接的NIN层、 通道 注意力层、 空间注意力层以及BLSTM层， 解码器包括依次连接的BLSTM层、 通道注意力层、 空 间注意力层以及N IN层。 5.根据权利要求4所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述 NIN层包括依次连接的4个卷积层， 每个卷积层利用多个相同大小的卷积核提取数据的空间 特征， 并采用ReLU为激活函数； 所述通道注意力层包括一个全局最大池化层、 一个全局平均池化层、 两个全连接层和 一个Reshape层； 全局最大池化层与全局平均池化层并联， 并同时与串联的两个全连接层连 接， 全连接层通过一个Sigmo id激活函数与Reshape层连接； 所述空间注意力层包括依次连接的一个全局最大池化层、 一个全局 平均池化层和一个 卷积层； 所述BLSTM层包括串联的两个BLSTM块。 6.根据权利要求3所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述自 编码器模型的损失函数计算公式为： 式中， x为输入自编码器模型的数据； θ表示解码器的参数， β表示编码器的参数； gθ(fβ (x))为自编码器模型的输出 结果。 7.根据权利要求1所述的基于深度聚类的未知网络协议识别方法， 其特征在于， 所述协 议识别模型的损失函数采用聚类层的KL散度损失函数， KL散度损失函数的计算公式包括： 式中， i代表的是数据样本编号； j代表的是数据样本簇编号； uj为编号为j的数据样本 簇； zi为编号为i的数据样本， qij表示zi属于uj的预测概率分布； pij为zi属于uj的目标概率分 布；权　利　要　求　书 1/2 页 2 CN 115037805 A 2式中， α 为概率论中t分布的自由度； k为聚类的数据样本簇的总簇数； ut为属于t分布的 数据样本 簇； 式中， n为数据样本的总数目； k为聚类的数据样本簇的总簇数； tj表示所有数据样本属 于数据样本簇uj的概率总和； s表示所遍历的数据样本簇的编 号； ts表示所有数据样本属于 编号为s的遍历的数据样 本簇的概率总和； qis为数据样 本zi属于编号为s的遍历数据样 本簇 的预测概 率分布。 8.一种基于深度聚类的未知网络协议识别系统， 其特 征在于， 包括： 预处理模块： 获取待识别网络协议的原始网络数据包并进行数据预处理， 得到应用 层 协议数据； 特征提取模块： 将应用层协议数据进行 特征提取， 得到协议数据特 征； 协议识别模块： 将协议数据特 征输入预训练的协议识别模型， 获得协议识别结果。 9.一种基于深度聚类的未知网络协议识别装置， 其特 征在于， 包括处 理器及存 储介质； 所述存储介质用于存 储指令； 所述处理器用于根据所述指令进行操作以执行根据权利要求1～7任一项所述方法的 步骤。 10.计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该程序被处理器执行 时实现权利要求1～7任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 115037805 A 3