[发明专利]一种网络加密流量识别方法及装置

说明书

本发明公开了一种网络加密流量识别方法及装置，该方法包含预处理阶段和分类阶段。预处理阶段对原始流量进行流切分，采样，向量化和标准化，并提出大流流中采样方案，解决大流流量的分类问题。分类阶段先使用CNN进行空间特征捕获和抽象特征抽取，然后在抽象特征的基础上使用堆叠双向LSTM学习流量时序特征，实现加密流量的自动特征提取和高效识别。该方法具有通用性，能够自动提取加密流量时空特征而无需专家手动特征设计，并且，它能够适应不同加密技术、混淆技术引起流量特征变化。

技术领域

本发明具体涉及一种网络加密流量识别方法，还涉及一种网络加密流量识别装置，属于深度学习、网络流量分析和网络空间安全应用技术领域。

背景技术

流量分类是现代网络通讯中最重要的任务之一，但是由于加密技术的普及和网络吞吐量的高速增长，实现高速准确的加密流量识别变得越来越困难。加密流量分类对于流量工程、网络资源管理、QoS(Quality of Service)、网络空间安全管理等有着重要的意义。近年来，在新型网络领域例如物联网网络、软件定义网络、移动互联网中同样出现了加密流量分析管理的巨大需求。因为上述原因，网络流量分类吸引了越来越多的来自学术界、工业界两方面研究人员的注意。

近来，随着人们在安全性和隐私性方面的需求越来越高，流量加密技术逐步发展，加密流量如今已经成为了工业界普遍的做法，研究指出，到2020年将有超过83％的流量被加密。经过加密程序，流量变得随机化，这种伪随机格式使得流量的解析变得非常困难。另一方面，ISP(Internet Service Provider)通常需要对某些类型的流量进行监测或控制(例如P2P，入侵攻击等等)，为了规避监测系统或防火墙的检测，一些开发商使用了各种协议嵌入和流量混淆技术。显然，流量加密、混淆技术的出现，一方面满足了人们的需求，提高了安全性和隐私性，另一方面也对网络的管理提出了更大的挑战。因此，加密流量分类成为了流量工程、入侵检测等任务中的关键技术。

现有加密流量分类的解决方案大致可以分为三种：基于端口、基于荷载(例如，深度包检测，Deep Packet Inspection，简称DPI)、基于统计特征。由于动态端口和端口伪装技术的盛行，传统基于端口方法的流量分类的准确率很低。而基于荷载检测方法，如DPI，它类似于字符串正则匹配算法，需要指纹库中的所有样本都需要和完整的流量进行匹配，因而效率很低，更重要的是，这些指纹一般难以用于识别加密流量。现有的工作更多集中于基于统计的机器学习方法。这类方法需要专家手动设计、提取流量的统计特征，从而对流量进行较为准确的分类。然而，基于统计特征的机器学习方法，专家需要对不同场景下的流量设计不同的统计特征，成本很高，也无法保证提取的特征对提高分类结果的有效性。基于以上原因，这些方法难以满足人们在解决加密流量分类问题中的需求。

近来，深度学习迅速发展，在计算机视觉、自然语言处理等等领域取得了令人瞩目的成果，其中包括大量的分类问题(例如，图像分类，文本情感分析)。与此同时，深度学习方法也逐渐应用于网络领域，例如流量分类就可以当作一个典型的分类问题。在深度学习方法中，CNN(卷积神经网络)擅长捕获数据空间特征，RNN(循环神经网络)擅长捕获数据时间特征。已经有一些研究使用深度学习对加密流量进行分类，其中大多数使用CNN，在包级别上捕获流量的字节特征，但对于包与包之间，时间序列的时序特征没有很好的利用。

综上所述，当前工作中对于加密流量分类的研究仍存在以下不足：

1)随着加密技术和混淆技术的普及，流量特征容易变化，基于规则的方法(包括基于端口、基于荷载的方法)规则提取困难，流量变动之后容易失效，时间效率低。

2)基于统计的机器学习方法，手动设计特征困难，为获取更准确流量统计特征通常需要更加耗时的离线算法，实时性差。

3)基于深度学习的研究仍然较少，现有工作没有有效利用流量的时空特征。

发明内容