[发明专利]加密网络隧道内的Web业务的标识和分类的方法和系统

权利要求书

1.一种加密网络隧道内的Web业务的标识和分类的方法，包括：

分析未加密数据分组的网络业务以便检测其中的分组业务模式、分组时间模式和分组大小模式；

将所检测的分组业务模式、所检测的分组时间模式和所检测的分组大小模式与所述未加密数据分组的至少一分组目的地和分组源相关联，以便创建训练语料库和从所述训练语料库构建的模型中的至少一个；

将所述训练语料库和所述模型中的所述至少一个存储在存储设备中；

观察已加密数据分组的分组业务模式、分组时间模式和分组大小模式；以及

将所述已加密数据分组的所观察的分组业务模式、所观察的分组时间模式和所观察的分组大小模式与所述训练语料库和所述模型中的至少一个相比较，以便针对用于所述已加密数据分组的预测网络主机和预测路径信息中的至少一个，对所述已加密数据分组进行分类。

2.根据权利要求1的方法，还包括改变所检测的分组业务模式、所检测的分组时间模式和所检测的分组大小模式以便模拟已加密数据的对应特性。

3.根据权利要求1的方法，其中使用至少一个随机森林创建所述训练语料库和所述模型中的所述至少一个。

4.根据权利要求3的方法，其中使用针对所述至少一个随机森林的多标签分类方案创建所述训练语料库和所述模型中的所述至少一个，其中每个标签是特定资源路径的前缀或域名的后缀。

5.根据权利要求3的方法，其中所述至少一个随机森林包括多个随机森林，每个随机森林均具有分别与之关联的不同参数，所述方法还包括基于预定准则从所述多个随机森林中选择最佳随机森林，并且其中使用所述最佳随机森林提供用于所述已加密数据分组的所述预测网络主机和所述预测路径信息中的所述至少一个。

6.根据权利要求1的方法，其中除了所述已加密数据分组的所观察的分组业务模式、所观察的分组时间模式和所观察的分组大小模式之外，所述观察步骤还观察所述已加密数据分组的其它网络业务特性，并且所述比较步骤还将所述已加密数据分组的所述其它网络业务特性与所述训练语料库和所述模型中的所述至少一个相比较，以便针对用于所述已加密数据分组的所述预测网络主机和所述预测路径信息中的所述至少一个，对所述已加密数据分组进行分类。

7.根据权利要求1的方法，其中基于包括在所述已加密数据分组中的多个输入超文本传输协议请求和响应对中的每个对的可能标签的排序，确定所述预测网络主机和所述预测路径信息中的所述至少一个。

8.根据权利要求1的方法，其中基于实值权重到包括在所述已加密数据分组中的多个输入超文本传输协议请求和响应对中的每个对的可能标签的映射，确定所述预测网络主机和所述预测路径信息中的所述至少一个。

9.根据权利要求1的方法，其中所述关联步骤考虑所述未加密数据分组的子域和资源路径。

10.根据权利要求1的方法，其中在没有与所述已加密数据分组对应的加密密钥的任何知识的情况下执行所述方法。

11.根据权利要求1的方法，其中在包括计算机可读程序的计算机可读介质上实现所述方法，其中所述计算机可读程序在计算机上执行时，导致所述计算机执行权利要求1的步骤。

12.一种加密网络隧道内的Web业务的标识和分类的系统，包括：

特性提取器，其用于分析未加密数据分组的网络业务以便检测其中的分组业务模式、分组时间模式和分组大小模式；

建模引擎，其用于将所检测的分组业务模式、所检测的分组时间模式和所检测的分组大小模式与所述未加密数据分组的至少一分组目的地和分组源相关联，以便创建训练语料库和从所述训练语料库构建的模型中的至少一个；以及

存储器，其用于存储所述训练语料库和所述模型中的所述至少一个，

其中所述特性提取器观察已加密数据分组的分组业务模式、分组时间模式和分组大小模式，并且

其中所述系统还包括预测引擎，其用于将所述已加密数据分组的所观察的分组业务模式、所观察的分组时间模式和所观察的分组大小模式与所述训练语料库和所述模型中的至少一个相比较，以便针对用于所述已加密数据分组的预测网络主机和预测路径信息中的至少一个，对所述已加密数据分组进行分类。