[发明专利]多阶段融合的加密流量分类方法

权利要求书

1.一种多阶段融合的加密流量分类方法，其特征在于，包括：

对加密数据流进行特征提取，获得TCP数据段的大小、方向、时间间隔、TLS/SSL握手阶段的协议信息、以及数据传输阶段的非数据传输协议序列信息；

利用深度学习框架，分别从TLS/SSL握手阶段的协议信息、以及数据传输阶段的非数据传输协议序列信息中，提取出加密数据流应用类型特征；

利用自动编码器，分别从TCP数据段的大小、方向与时间间隔对应的同一时刻的内容中、以及数据传输阶段的非数据传输协议序列信息中，提取出加密数据流内容类型特征；

融合应用类型特征与内容类型特征，并通过分类器识别出加密数据流的应用类型与内容类型。

2.根据权利要求1所述的一种多阶段融合的加密流量分类方法，其特征在于，所述对加密数据流进行特征提取包括：

首先，通过流量切分工具根据加密数据流的五元组信息，将加密数据流切割为各个独立的单元，所述五元组信息包括：源IP地址、源端口号、目的IP地址、目的端口号以及传输层协议；

切割后以TCP数据段为单位进行特征提取。

3.根据权利要求1所述的一种多阶段融合的加密流量分类方法，其特征在于，所述深度学习框架为长短期记忆网络LSTM，其提取加密数据流应用类型特征的过程表示为：

f_t＝σ(W_f·[h_t-1，x_t])+b_f

i_t＝σ(W_i·[h_t-1，x_t])+b_i

y_t＝tanh(W_y·[h_t-1，x_t])+b_y

C_t＝f_t*C_t-1+i_t*y_t

o_t＝σ(W_o·[h_t-1，x_t])+b_o

h_t＝o_t*tanh(C_t)

其中，σ表示逻辑函数；f_t、i_t、y_t、C_t、o_t分别表示遗忘门、输入门、输入节点、记忆单元、输出门；x_t表示t时刻输入至LSTM的数据信息、h_t-1、h_t表示第t-1、第t时刻计算出的隐状态，也即根据输入的数据信息x_t-1、x_t以及相应时刻记忆单元内容提取到的应用类型特征；带有下标的W与b表示相应的计算过程中所涉及的权重与偏置参数。