[发明专利]多阶段融合的加密流量分类方法

说明书

本发明公开了一种多阶段融合的加密流量分类方法，包括：对加密数据流进行特征提取，获得TCP数据段的大小、方向、时间间隔、TLS/SSL握手阶段的协议信息、以及数据传输阶段的非数据传输协议序列信息；利用深度学习框架，从TLS/SSL握手阶段的协议信息、以及数据传输阶段的非数据传输协议序列信息中，提取出加密数据流应用类型特征；利用自动编码器，从TCP数据段的大小、方向、时间间隔、以及数据传输阶段的非数据传输协议序列信息中，提取出加密数据流内容类型特征；融合应用类型特征与内容类型特征，并通过分类器识别出加密数据流的应用类型与内容类型。该方法采用多个阶段融合的方式对数据流的特征进行综合考虑，能提高实际环境下加密流量分类识别的准确率。

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种多阶段融合的加密流量分类方法。

背景技术

随着计算机网络技术的高速发展，互联网技术已经充分融入到人们的日常生活中，而随着人们生活水平的提高，其对生活多元化的需求也越来越广泛，因此各种多样化网络应用不断问世，网络应用流量也呈现持续增长趋势。然而人们在使用各种网络应用的同时，个人信息与隐私泄露问题也接踵而至，因此网络信息安全逐渐得到国家和公民的重视，所以网络加密技术得到空前发展与应用，网络加密流量在网络传输中的占比也越来越多。

网络流量识别不仅是网络行为分析、网络服务规划设计以及网络异常检测的前提，同时也是提升网络管理水平、改善网络服务质量以及维护网络安全的重要基石。网络流量作为网络空间的信息传输和交互的主要载体，流量数据中携带着重要的信息，因此如何从流量数据中获得网络流的类别有着极其重要意义，而随着加密流量份额的不断增加，传统的针对非加密流量识别的方法暴露出许多短板，因此越来越多的学者开始研究加密流量的分类识别方案。传统的网络流量分类方法可以分为以下五类：

基于端口号的方法：该方法是依据TCP/UDP报文头部的端口号进行应用识别，即通过读取由IANA(Internet Assigned Numbers Authority)发布的Service Name andTransport Protocol Port Number Registry中端口号与具体应用的映射信息来对流量进行分类。这种分类方法的原理非常简单，只需要读取网络数据流中的第一个数据包即可成功识别，识别效率非常高而具体实现又极为简单。但是，随着网络技术的发展该方法却面临着诸多问题：有些应用的端口可能并没有进行注册；有些应用软件使用的是动态端口，其在数据传输过程中可能会发生变化；某些应用程序为躲避系统限制使用其他常用协议的端口进行数据传输，从而实现端口隐蔽。并且，由于流量加密后头部端口信息被隐藏，所以基于端口号的识别方法很难适用于加密流量的分类识别。

基于有效载荷的深度包检测(DPI，Deep Packet Inspection)方法：该方法是通过匹配数据分组的有效载荷的表达式来对流量进行识别。该方法可以有效避免上述动态端口等带来的问题，且当未加密的数据流与表达式库中的内容相匹配时，其识别准确率非常高。但该方法却面临着以下诸多问题：随着新型网络流量的出现，表达式库中的内容需要不断扩充，需要消耗大量存储空间，同时特征匹配的复杂度也会变大；对于加密的流量很难获取其有效载荷的表达式，那么就无法对其进行解析匹配；该方法将解析数据分组的负载，所以可能会侵犯到用户的隐私。

基于行为特征的方法：该方法主要是从主机节点的角度来分析各类应用的行为特征，即统计主机或者应用的行为，虽然这种方法其通用性很强，但是使用该方法需要监控网络中的主机节点，因此非常的耗费时间与空间资源；而且其能够进行流量识别的分类通常是粗粒度的，而实际情况中网络流量可能同时来自各个不同的应用，并且网络或者节点的运行状态也对行为特征会产生影响，所以其识别准确率也不能令人满意。