[发明专利]一种基于图结构的互联网加密流量交互特征提取方法

说明书

本发明公开了一种基于图结构的互联网加密流量交互特征提取方法，属于加密网络流量分类技术领域，应用于TLS加密过后的网络流量进行细粒度的分类。本发明从原始的包序列中提取基于图结构的加密流量交互特征，图结构特征中包含了数据包的顺序信息、包方向信息、包长度信息和突发流量信息等。通过定量计算，相对于包长度序列，使用图结构特征后，类内距离明显变小、类间距离变大。本方法能够获取维度更丰富、区分度更高的加密流量特征，进而与图神经网络等深度神经网络结合，开展加密流量的精细化分类与识别。通过大量实验数据实验证明，采用图结构特征结合图神经网络，与现有方法相比，具有更高的准确性、更低的误报率。

技术领域

本发明涉及一种互联网加密流量交互特征提取方法，尤其涉及基于图结构的互联网加密流量交互特征提取方法，为图神经网络等深度神经网络提供一种维度更丰富、区分度更高的特征，属于加密网络流量分类技术领域。

背景技术

流量分类可以辅助网络运营商进行负载均衡、路由规划，给用户带来更好的用户体验。但是，随着加密协议(如SSL/TLS)使用量的急剧增长，传统的分类方法，如深度包检测，由于有效载荷信息被加密后而失效。为了能够对加密网络流量进行分类，相关研究开始从加密网络数据包中提取可用的信息作为特征，如包方向、包长度、时间戳等，进而采用机器学习等技术对流量进行分类。基于有效特征的网络加密流量识别方法的难点在于：如何从加密流量中寻找到有效且区分性较强的特征。

目前，针对网络加密流量分类方面，可检索到的文献中，提出的特征可以分为两类：一类是利用统计特征，另一类是利用序列特征。在统计特征相关工作中，有文献对上行、下行、双向数据包长度计算了54种统计特征，如上行数据包平均长度，但是，此类特征计算方法需要包的数量多、特征计算时间复杂度高，而且还需要复杂的特征选择过程。在序列特征的相关工作中，有文献利用包长度序列作为卷积神经网络等深度学习方法的特征输入，但是，网络中大部分数据包都是以固定的最大长度传输的，使得包长度序列中的时序信息区分性减少。

综上所述，目前适用于网络加密流量分类所用的特征存在计算复杂度高或者区分性小等问题。

发明内容

本发明的目的是为了克服现有技术的缺陷，创造性地提出一种基于图结构的互联网加密流量交互特征提取方法，应用于TLS加密过后的网络流量分类。本方法从原始包序列开始构建图结构流量特征，能够获取维度更丰富、区分度更高的加密流量特征，进而与图神经网络等深度神经网络结合，开展加密流量的精细化分类与识别。

本发明采用的技术方案如下：

一种基于图结构的互联网加密流量交互特征提取方法，包括以下步骤：

步骤1：获取网络加密流P。

一条网络加密流被五元组唯一确定：源/目的IP地址、源/目的端口和传输层协议。

给定一条网络加密流P，流P中包含N个数据包：P＝(p1,p2,…,pi,…，pN),其中pi为第i个有符号非零整数，pi的绝对值代表第i个数据包的长度，如果pi是负数，则代表第i个包是从客户端到服务端的上行包，如果pi是正数，则代表第i个包是从服务端到客户端的下行包。

流P的N个数据包中不包含ACK数据包。因为其TCP有效载荷为0，不携带数据，可视为噪音而去掉。

步骤2：初始化顶点集V和边集E为空。

步骤3：添加顶点到顶点集V中。根据P中元素的顺序依次将pi与顶点vi相关联并加入到顶点集V中。

步骤4：按照数据包的方向，将顶点集V划分突发流量集B。突发流量定义为一系列沿着同一方向传输的连续包，即使只有一个包也是一个突发流量。顶点集划分完后，得到K个突发流量，突发流量集B表示为(b1,b2,…,bi,…，bK)。bi代表第i个突发流量，其中包含的顶点符号是相同的，同为正或同为负。

步骤5：添加突发流量内部的边。