[发明专利]基于去中心化应用加密流量特征的多场景分类方法及系统

说明书

本发明公开了一种基于去中心化应用加密流量特征的多场景分类方法及系统，包括：收集去中心化应用的加密流量，并对各加密流量标记应用、用户行为和通用用户行为的分类标签；根据分类目标和分类标签，将提取的加密流量的应用特征、用户行为特征和通用用户行为特征，分别输入应用分类模型、用户行为分类模型和通用用户行为分类模型，得到相应的分类。本发明通过对多个场景下机器学习分类器的调参，确保模型的准确性和鲁棒性，使得应用类型分类具有高准确率和高效率，用户行为分类易于识别可疑用户行为从而保护用户安全与隐私，且通过通用用户行为分类可获得吞吐量、延迟等有用信息，从而帮助改善去中心化应用使其运行更加有效率、提升用户体验。

技术领域

本发明属于网络安全领域，涉及计算机软件领域，具体为一种基于去中心化应用(DApps)加密流量特征的多场景分类(DApps分类，DApps用户行为分类，DApps通用用户行为分类)方法及系统。

背景技术

由于去中心化、匿名性、不可篡改性、流通性等特性使区块链技术受到广泛的关注和研究，并随着其迅速发展，区块链也在逐渐增加其所承载的功能，从单一加密货币到图灵完备的可编程加密货币，此功能的完善是依靠以太坊中的智能合约，用户可以根据自己意愿编写去中心化应用。新型去中心化应用的出现，也带来安全、隐私和用户体验差等问题，应用的分类分析有助于企业了解多数用户地理分布、应用的性能从而帮助提升服务质量(QoS)；用户行为的分类分析可以帮助构建行为特征库甄别恶意、异常用户；通用用户行为的分类可以提供如用户喜好、吞吐量、延迟等有价值的信息，帮助网络管理者配置网络从而提高应用性能和体验质量(QoE)。

应用和用户行为分类均是基于被动采集流量的网络流量分析方法，应用和用户行为分类根据流量种类可以分为明文流量分类和加密流量分类，

对明文流量的应用和用户行为识别，主要是通过深度包(DPI)检测技术，匹配应用指纹库、行为特征库，或进行聚类分析，来区分当前的明文流量属于哪一种应用或用户行为。由于在明文流量时期，很多应用都采用固定的端口，因此还可以通过基于端口的明文流量分类技术。例如，通过对HTTP协议的解析与分析，可以获得针对不同应用或服务在HTTP协议中的不同头部字段，作为指纹库可轻松识别应用或服务。

对加密流量的应用和用户行为识别，通常抓取加密协议中明文握手信息或者流量的统计信息进行识别，在现在网络环境中，SSL/TLS加密协议占据相当大一部分。例如，通过分析HTTP2.0协议，可以在服务端到客户端的握手阶段出现的明文信息中，提取仅会出现在此协议中指定位置且固定不变的明文字符串，即Application layerprotocolnegotiation(ALPN)显示为h2，当采用HTTPs协议时此字段为http/1.1，并将其作为特征可在大规模网络流量中识别不同的加密协议。在协议的传输层中，存在扩展字段ServerNameIndication extension(SNI)代表用户所浏览的网站。

而对新型的去中心化应用，采用加密协议，基于DPI检测技术无法从加密网络流量中获取有效的可识别特征。由于部分应用部署在移动或云平台上，通过SNI扩展字段无法在网络流量中识别所有应用。基于流量统计特征的机器学习方法，主要提取网络流统计量，如包数、字节数、时间序列的统计特征(最大值、最小值、众数等)，但这些特征在去中心化应用的分类中识别精度很低，无法满足要求。而针对更细粒度的DApps用户行为分类和通用用户行为，上述方法更加不适用。而现有唯一的针对DApps分类方法，将特征融合生成高维特征数据，虽增加准确率，但训练模型的时间也大大增加。

传统应用的网络流量会因不同公司使用的SSL/TLS协议的版本、信息等细节的不同，导致其在流量特征上存在差异，从而较易识别传统应用。而80％的去中心化应用均部署在同一区块链平台-以太坊上，增加了不同去中心化应用的流量相似性，传统应用的流量识别方法已经不适用，而针对DApps分类的研究因特征维度太大，训练模型效率太低。DApps用户行为分类则识别更细粒度的流量，现有研究方法在此研究中准确率很低，无法满足需求。针对通用用户行为分类，当前还尚未对此加密流量场景提出有效的解决方法。