[发明专利]基于CNN和LSTM的在线加密流量分类方法

权利要求书

1.一种基于CNN和LSTM的在线加密流量分类方法，其特征在于，包括：

通过动态窗口对原始加密数据流进行切分，获得带有时间序列关系的n个子流；

分别提取n个子流的统计特征，以及对n个子流均进行转换后使用采用CNN提取相应的有效载荷特征；

对每一子流的有效载荷特征与统计特征进行融合，采用LSTM从时间角度对融合后的综合性特征进行相关处理，再通过分类器得到识别结果。

2.根据权利要求1所述的一种基于CNN和LSTM的在线加密流量分类方法，其特征在于，所述通过动态窗口对原始加密数据流进行切分，获得带有时间序列关系的n个子流包括：

针对原始加密数据流，通过流量切分工具根据原始加密数据流五元组信息，切割为各个独立的单元；切割有两种标准方式，一种为会话，另一种为流；五元组信息为源IP地址、源端口号、目的IP地址、目的端口号与传输层协议；

使用动态窗口对各个独立的单元进行切分，对于切分后的子流进行采样，获得带有时间序列关系的n个子流。

3.根据权利要求1所述的一种基于CNN和LSTM的在线加密流量分类方法，其特征在于，所述对n个子流均进行转换后使用采用CNN提取相应的有效载荷特征包括：

针对每一子流，提取有效载荷部分的前m个数据包的前m字节内容，并转化成m＊m的图片，形成二维矩阵x^m*m，再输入到CNN中进行有效载荷特征的提取；其中，若数据包或者字节的数目不足m，则进行相应的填充；

CNN包含依次设置的卷积层、池化层与全连接层；

卷积层操作：对于一个卷积操作，其包含一个过滤器F∈R^w*h，过滤器依次对二维矩阵中窗口大小为w*h的内容进行操作并生成特征图Y^w*h，公式如下：

其中，w、h为特征图的宽、高，i、j表示二维矩阵的行、列号；

卷积层中过滤器数量为n，每个子流都经过包含n个过滤器的卷积操作，获得相应的特征图，n个子流最终得到n个特征图Y^w*h，卷积层的输出还连接一个激活函数；

通过池化层来降低各特征的维度，最后通过全连接层获得n个子流的有效载荷特征。

4.根据权利要求1所述的一种基于CNN和LSTM的在线加密流量分类方法，其特征在于，提所提取的统计特征包括如下特征中的一种或多种：数据流的持续时间、数据包的平均字节数、每秒数据包数以及正、反向包的相关特征；以及数据流的持续时间、数据包的平均字节数、每秒数据包数中的统计特性，所述统计特征包括如下一种或多种：平均值、最大值、最小值及方差。