[发明专利]一种基于双阶段判定的加密流量分类方法

说明书

本发明公开了一种基于双阶段判定的加密流量分类方法，将随机森林分类器分类的输出作为K近邻分类器的输入，最后对两种分类器结果进行融合比对，完成对流量数据的分类。本方法充分利用了随机森林算法的输出特性和双阶段判定的可靠性保证，可提高分类的准确率。本发明是基于双阶段的判定的加密流量分类算法。第一步将元特征序列通过训练之后可以得到第一阶段分类模型，即一个包含有k棵树的随机森林模型，然后取每一棵树的输出的标签作为一个新的复合特征向量，输入到K近邻分类器中进行第二阶段的分类，并且将两次分类之后的结果进行比对，只有两次分类的结果相同才算分类成功。这样的双阶段判定模型会使得最后的分类准确率显著提高。

技术领域

本发明属于网络安全与用户隐私领域，特别涉及一种基于双阶段判定的加密流量分类方法。

背景技术

近年来，随着互联网的高速发展，网络已经紧密地融入我们的生产与生活，网络安全也成为一个不可忽视的问题。在日常生活中，人们的网络安全意识也逐渐提高，越来越多的用户和企业开始重视信息的保护和安全传输。基于加密流量的网络行为识别技术，可以用来实现网络的安全监管，特别是非法业务和不良信息的监管。加密流量分析就是通过一些流量本身的特征去分析当前用户的上网行为，而不是通过数据包的内容分析。目前加密流量分析应用的最主要的技术就是网站指纹分析(website fingerprinting)，这是一种通过对网络流量的进行特征提取并结合有监督的分类模型对用户行为分类，并且可以准确判断出当前用户访问的网站。对于网站指纹分析技术来说，模型的构建是一个关键的问题。

选择一种准确率较高的分类模型，可以实现事半功倍的效果。加密流量分析的主要应用技术是网站指纹分析，而决定网站指纹分析的识别效果的一个关键因素就是分类模型的构建。如果一个分类模型构建失败，意味着在训练阶段的分类就是存在问题的，在以后的应用中测试分类判断也一定是失败的。所以一个准确的模型的构造确实可以对网站指纹识别技术的应用即对不同网站的识别带来很好的效果。

目前国内外关于加密流量分析使用的分类方法中基本使用的都是采用单一的机器学习分类模型，如随机森林(Random Forest)，支持向量机(SVM)等。这些机器学习的算法使用起来比较简单，但是准确率都受到了限制，无法达到令人满意的程度。曾经在2016 年USENIX发表的k-fingerprinting论文中也曾经提过一种KNN分类器和随机森林分类器结合的方法，它们的距离计算采用了海明距离，使得其在噪声流量很大的时候可以保持一个稳定性，但是准确率受到大幅限制，未能有效提高。

由此可见，关于加密流量分析使用的分类方法除了简单的机器学习分类模型之外，其他算法还未被深入研究，相关技术也尚未被广泛应用。

发明内容

本发明的目的在于提供一种基于双阶段判定的加密流量分类方法，以解决上述问题。

为实现上述目的，本发明采用以下技术方案：

一种基于双阶段判定的加密流量分类方法，包括以下步骤：

步骤1：生成加密流量样本第一阶段训练集。用户提供加密流量样本集合，集合中的每一个加密流量样本是包含数据包的原始流量文件，且有唯一的加密流量类型标签。将用户提供的d维特征向量，记为元特征向量。根据该特征向量，对每一个加密流量样本进行向量化表示。采用元特征向量对加密流量样本集合向量化表示后，保留每个加密流量样本的加密流量类型标签，得到加密流量样本第一阶段训练集。

步骤2：生成加密流量类型第一阶段判定模型C。以步骤1得到的加密流量样本第一阶段训练集作为输入，训练随机森林分类算法，得到第一阶段判定模型。该判定模型由 m棵决策树构成，每一棵决策树均有独立判定结果。该判定模型综合所有决策树的独立判定结果，输出综合判定结果。