(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111531536.2 (22)申请日 2021.12.14 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘盈　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 47/2483(2022.01) H04L 47/2441(2022.01)H04L 69/22(2022.01) H04L 9/40(2022.01) H04L 12/66(2006.01) (54)发明名称 一种流量的识别方法及装置、 存 储介质 (57)摘要 本申请提供一种流量的识别方法及装置、 存 储介质。 流量的识别方法， 包括： 获取待识别流量 对应的有效载荷数据； 所述有效载荷数据包括多 个字节； 基于 所述有效载荷数据， 提取目标特征； 所述目标特征包括： 卡方值、 字节平均值、 第一误 差和第二误差； 其中， 所述卡方值用于表征所述 多个字节的出现频率与预设频率之间的关系， 所 述字节平均值为所述多个字节的字节值的平均 值， 所述第一误差用于表征所述多个字节对应的 二维坐标点的分布特征， 所述第二误差用于表征 所述多个字节对应的三维坐标点的分布特征； 根 据所述目标特征和预先训练好的流量识别模型 确定所述待识别流量的流量类型。 该识别方法用 以实现准确且高效的流 量识别。 权利要求书2页 说明书9页 附图1页 CN 114244779 A 2022.03.25 CN 114244779 A 1.一种流 量的识别方法， 其特 征在于， 包括： 获取待识别流 量对应的有效载荷数据； 所述有效载荷数据包括多个字节； 基于所述有效载荷数据， 提取目标特征； 所述目标特征包括： 卡方值、 字节平均值、 第一 误差和第二误差； 其中， 所述卡方值用于表征所述多个字节的出现频率与预设频率之间的 关系， 所述字节平均值为所述多个字节的字节值的平均值， 所述第一误差用于表征所述多 个字节对应的二 维坐标点的分布特征， 所述第二误差用于表征所述多个字节对应的三维坐 标点的分布特 征； 根据所述目标 特征和预先训练好的流 量识别模型确定所述待识别流 量的流量类型。 2.根据权利要求1所述的识别方法， 其特 征在于， 所述 卡方值表示 为： 其中， i代表所述多个字节中的各个字节， observed为各 个字节的出现频率， expected为所述预设频率。 3.根据权利要求1所述的识别方法， 其特 征在于， 所述第一 误差表示 为： 其中， N1为所述多个字节对应的二维坐标点的数量， n1为所述二维坐标 点中， 满足第一预设条件的二维坐标点的数量， 所述第一预设条件为落入所述多个字节的 字节值范围对应的内切圆。 4.根据权利要求3所述的识别方法， 其特征在于， 所述多个字节对应多个第一字节组， 每个第一字节组中包括两个字节， 每个第一字节组对应一个二维坐标点， 该第一字节组中 的第一字节的字节值为二 维坐标点的横坐标， 该第一字节组中的第二字节的字节值为二 维 坐标点的纵坐标。 5.根据权利要求1所述的识别方法， 其特 征在于， 所述第二 误差表示 为： 其中， N2为所述多个字节对应的三维坐标点的数量， n2为所述三维坐 标点中， 满足第二预设条件的二维坐标点的数量， 所述第二预设条件为落入所述多个字节 的字节值范围对应的内切球。 6.根据权利要求5所述的识别方法， 其特征在于， 所述多个字节对应多个第二字节组， 每个第二字节组中包括三个字节， 每个第二字节组对应一个三维坐标点， 该第二字节组中 的第一字节的字节值为三 维坐标点的横坐标， 该第二字节组中的第二字节的字节值为三 维 坐标点的纵坐标， 该第二字节组中的第三字节的字节值 为三维坐标点的竖坐标。 7.根据权利要求1所述的识别方法， 其特 征在于， 所述识别方法还 包括： 获取训练数据集； 所述训练数据集中包括第一数据集和第二数据集， 所述第一数据集 为： 加密流 量对应的有效载荷数据， 所述第二数据集 为压缩流 量对应的有效载荷数据； 对所述第一数据集进行特征提取， 获得加密流量特征， 以及对所述第二数据集进行特 征提取， 获得压缩流量特征； 所述加密流量特征和所述压缩流量特征均包括： 所述卡方值、 所述字节 平均值、 所述第一 误差和所述第二 误差； 基于所述加密流量特征和所述压缩流量特征对初始的流量识别模型进行训练， 获得所权　利　要　求　书 1/2 页 2 CN 114244779 A 2述训练好的流 量识别模型。 8.根据权利要求1所述的识别方法， 其特征在于， 所述获取待识别流量对应的有 效载荷 数据， 包括： 获取所述待识别流 量； 对所述待识别流 量按照预设的协议格式进行解析， 获得 所述有效载荷数据。 9.一种流 量的识别装置， 其特 征在于， 包括： 获取模块， 用于获取待识别流量对应的有效载荷数据； 所述有效载荷数据包括多个字 节； 处理模块， 用于： 基于所述有效载荷数据， 提取目标特征； 所述目标特征包括： 卡方值、 字节平均值、 第一 误差和第二误差； 其中， 所述卡方值用于表征所述多个字节的出现频率与预设频率之间的 关系， 所述字节平均值为所述多个字节的字节值的平均值， 所述第一误差用于表征所述多 个字节对应的二 维坐标点的分布特征， 所述第二误差用于表征所述多个字节对应的三维坐 标点的分布特 征； 根据所述目标 特征和预先训练好的流 量识别模型确定所述待识别流 量的流量类型。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被计算机运行时， 执行如权利要求1 ‑8任一项所述的流量的识别方 法。权　利　要　求　书 2/2 页 3 CN 114244779 A 3