\subsection{基于主机行为的流量分类}在解决流量分类的有关问题时,该方法的主要措施是主机在传输层的行为模式,其往往可以在不读取流量包负载信息的状态下进行,这也决定了该方法的面临的风险较小。另一方面,该方法对于端口号的信息也没有明显的依赖,分析效率的整体水平较高。而路由器则可以在获取 Netflow 数据包信息环节发挥主要作用。因为主机行为的流分类也不可能十全十美,在面对一些应用子类型的识别方面往往显得无能为力,并且一旦传输层加密,该方法就无法发挥作用。\section{基于机器学习的网络流量分类方法}在现阶段,机器学习成为很多学习者的首选。其主要由建立分类模型和对模型的分类两类组成。在建立模型的过程中,如果选择这种办法,那么第一步需要采集训练样本,第二步则是发挥分类器的作用,完成有关数据的分类工作。另一方面,就学习方法而言,机器学习现在比较流行的是有监督学习和无监督学习流分类两种。\subsection{基于有监督学习的流量分类} 有监督的流量分类技术很多时候被人们称为统计方法技术。该技术的特点是,为了使得给定的样本充分反映数据流量的实际情况,首先分析数据集的特点,然后以此为依据,建立相应的函数,有的时候是建立模型。 建立完整的分类模型是数据分类的必要条件,然后如实对预定的数据类进行描述,紧接着需要对模型的准确率进行了解,在此基础上发挥模型的作用,对数据进行针对性的分类,操作环节如图 2 所示。\begin{figure}\centering\setlength{\belowcaptionskip}{10pt}\includegraphics[scale=0.8]{2.png}\caption{基于有监督机器学习的流量分类过程}\label{图 2}\end{figure} 在分类模型的构造方法方面,很多学者都提出了自己的看法,并且也给出了不同的方法,例如:贝叶斯方法、决策树方法等。贝叶斯分类方法主要表现为有向无环图,但是该图的绘制往往是在重点参考概率有关知识的基础的进行的,因此其在预测未知样本的类别方面往往具有明显的效果,同时可以根据概率大小将其进行排序,并把概率最大的作为最终类别。而所谓决策树,即将所有的决策通过树的形状表示出来,不同的分支表示相应的测试输出,而每个类别则是由节点来表示。而关联规则的分类,第一步就需要充分挖掘算法,准确发现其中存在的关联规则,在此基础上设置针对性的分类器。神经网络(neural networks)当中,具有不知一个的输入和输出单元,并且在参考不同权重的基础上,完成连接。不过这种网络会根据系统实际...
