[发明专利]一种基于深度学习的加密流量识别方法及电子装置

说明书

本发明提供一种基于深度学习的加密流量识别方法及电子装置，包括：收集网络中的若干TLS流，获取每一TLS流中的ClientHello报文整数序列、ServerHello报文整数序列、end‑entity certificate整数序列及前n个TLS应用数据报文组成的序列；提取ClientHello报文特征、ServerHello报文特征、end‑entity certificate特征及序列特征，计算若干TLS流的时间相关性，得到流特征；将流特征输入一加密流量分类器进行分类，根据加密流量分类器输出的各数据来源预测概率值，获取产生若干TLS流的数据来源。本发明从原始的流量中提取特征，无需人工进行特征分析；结合了报文层次和流层次的特征，使得分类效果较好；使用浅层的网络结构，减小了分类时间，使得分类器适用于实时分类。

技术领域

本发明涉及网络安全领域，尤其涉及为一种基于深度学习的加密流量识别方法及电子装置。

背景技术

随着互联网不断地扩大，网络分类技术在网络管理中的地位愈发重要。例如中国专利申请CN101119321B公开的网络流量分类处理方法及网络流量分类处理装置、中国专利申请CN103973589B公开的网络流量分类方法及装置、中国专利申请公开的CN104767692B一种网络流量分类方法都从各方面研讨了如何才能更好地进行相应的流量分类。

而目前越来越多的手机应用使用TLS加密传输来保护用户隐私。尽管这种方法增强了通信双方的安全性，但是也使得很多传统的网络服务功能无法使用。同时，流量加密也使得恶意程序可以通过加密的方法绕过防火墙，从而造成严重的损失。

目前，比较常用的方法是基于机器学习的方法来进行网络流量的识别，但是由于传统机器学习方法将特征提取和分类任务一分为二，且难以将原始特征全部转换为可用的特征向量，例如中国专利申请CN111030941A公开了一种基于决策树的HTTPS加密流量分类方法，使得分类效果不佳。另一方面，现有的基于深度学习的方案以流序列特征为输入，难以做到实时识别。

发明内容

为了克服现有的方案难以自动提取特征、准确率不高、无法实时识别的不足,本发明提供一种基于深度学习的加密流量分类、识别方法及电子装置。本发明通过使用深度学习方法构造的多属性关联网络，从原始TLS握手报文和部分TLS应用报文中自动提取特征，在保证实时识别的情况下实现了很好的准确率。

为达到上述目的，本发明采用的具体技术方案如下：

一种基于深度学习的加密流量识别方法，其步骤包括：

1)1)收集网络中的若干TLS流，获取每一TLS流中的ClientHello报文整数序列、ServerHello报文整数序列、end-entitycertificate整数序列及前n个TLS应用数据报文组成的序列，n≥1；

2)提取ClientHello报文特征、ServerHello报文特征、end-entitycertificate特征及序列特征，计算若干TLS流的时间相关性，得到流特征；

3)将流特征输入一加密流量分类器进行分类，根据加密流量分类器输出的各数据来源预测概率值，获取产生若干TLS流的数据来源；

通过以下步骤训练所述加密流量分类器：

a)对各样本数据来源产生的若干样本TLS流赋予相应标签，并获取每一样本TLS流中的样本ClientHello报文整数序列、样本ServerHello报文整数序列、样本end-entitycertificate整数序列及每一样本数据来源的前n个TLS应用数据报文组成的样本序列；

b)提取样本ClientHello报文特征、样本ServerHello报文特征、样本end-entitycertificate特征及样本序列特征，计算各样本数据来源产生的样本TLS流时间相关性，得到每一样本数据来源的样本TLS流流特征；