随着网络信息化的建设,网络用户数量和网络应用规模不断扩大。与此同时,网络流量急剧膨胀,网络流量中充斥着各种不安全因素,使得信息安全难以保障。如何准确地识别流量以达到对网络的监管作用,成为当前网络安全研究的重点。即时通信具有高实时性和低成本性的特点,它的出现改变了人与人之间的沟通方式,其流量占据了网络流量的很大一部分。不同的即时通信软件出于对自身的功能与性能需求等因素考虑,一般采用私有协议和加密协议传输数据来保证数据传输的安全,增加了流量识别的难度。因此,为了达到有效的网络管理、舆情监控、国防安全等目的,需要对即时通信流量进行有效地识别。传统的网络流量识别方法主要有:基于端口的识别方法,基于深度包检测的识别方法和基于用户行为特征的识别方法。随着人工智能的兴起,机器学习也经常被应用到流量的识别中来。由于端口复用技术的使用,导致基于端口的识别方法逐渐失效;而基于用户行为特征的方法由于识别类型单一,应用范围有限;较为常用的是基于深度包检测的方法,但其无法分析加密流量,特别是网络规模很大时,该技术无法满足实时性及准确性的要求。网络通信技术及各类应用软件的更新换代,导致传统的检测方法无法再起到很好的识别效果。但基于机器学习的方法可以对复杂行为进行描述,降低了建模的难度,成为当前的研究热点。针对上述问题,本文使用机器学习的方法对即时通信流量识别展开研究。通过对近年来流量识别相关领域的研究进展进行分析,提出了一个基于机器学习的即时通信流量识别方案,该方案通过提取即时通信流量中的心跳行为作为分类的特征来识别不同的即时通信协议。通过对即时聊天软件通信流量特点分析发现,不同即时聊天软件长连接中的心跳行为具有很大的差异性,一个心跳过程在包间隔时间和包大小两个方面有很明显的特征,而其他数据包的行为则具有很高的相似性。通过去除其他不具有区分度的数据包,可以明显的提高识别的精确度。本文提出了两种心跳包提取方法:基于统计的心跳包提取方法和基于关联规则挖掘的心跳包提取方法。基于统计的心跳包提取方法通过计算不同大小包簇的相似度来提取心跳过程;基于关联规则挖掘的心跳包提取方法是通过挖掘包之间的关联规则来提取心跳过程。本文首先对阿里旺旺、微信、钉钉、QQ等四款常用的即时通信软件进行了数据采集,对他们的心跳行为进行了分析,然后使用本文所设计的方案分别提取了这四种应用长连接中的心跳包,在特征提取部分提取了心跳过程的行为特征,采用递归特征消除RFE剔除了无用特征,以提高模型的计算速度和泛化能力。最后选取多种机器学习分类算法进行建模和测试,实验结果表明本方案通过提取心跳行为最高可以实现99%的识别准确率,弥补了现有工作在准确率等指标上的不足。