[发明专利]一种基于单向突发流量特征的加密流量精细化分类方法

说明书

本发明涉及一种基于单向突发流量特征的加密流量精细化分类方法，属于互联网加密流量分类技术领域。本方法首先从单向流量中提取区分度高且空间复杂度低的单向突发流量序列。然后与卷积神经网络等深度神经网络结合，能够在单向流量或双向流量的场景中开展加密流量的精细化分类与识别。本发明能适用于TLS加密的单向流量精细化分类，可以应用在单向和双向流量的场景中。单向突发流量序列不仅区分度高，而且相比于原始的包序列，空间复杂度大大降低。本发明使用没有全连接层的卷积神经网络从单向突发流量序列中提取高级特征然后分类，可以同时达到训练速度快和分类准确率高的目的。

技术领域

本发明涉及一种互联网加密流量精细化分类方法，特别涉及一种基于单向突发流量特征的加密流量精细化分类方法，属于互联网加密流量分类技术领域。

背景技术

互联网流量分类可以在QoS实施、流量工程和恶意流量检测中辅助决策。但是，随着网络安全意识的提高和TLS等加密协议的大量使用，传统的流量分类技术，如基于端口的检测或深度包检测等也随之失效。

为了能够对加密后的流量进行分类，相关研究或技术采用机器学习的思路，从加密数据包的头部明文字段或时间戳中提取可用特征，进而训练分类器。现有的工作一般做出假设分类器能够获取到双向流量，但在现实世界中，互联网中普遍存在非对称路由(热土豆路由策略的使用)，导致上行流量和下行流量会遵循不同的路由。因此，如何在互联网单向流量中设计区分性较强的特征并且应用到分类器中对加密流量进行分类，是急迫需要解决的技术问题。

目前，在双向加密流量分类的相关研究中，主要分为两类：一类是传统的机器学习方法和深度学习方法。但是，传统的机器学习方法需要手动设计复杂的特征并应用到传统机器学习分类器中，有文献利用统计特征，如上行包个数、下行包个数等，然后训练随机森林分类器。另一类是深度学习方法，通常提取一种序列特征作为深度学习分类器的输入，有文献将包方向序列输入到卷积神经网络中，卷积神经网络从中学习高级特征并分类。这两类方法所需的特征在单向流量的场景中区分性将变小甚至失效。此外，传统的机器学习方法还存在依赖人工经验、特征计算时间长等缺点。

综上所述，目前，加密流量分类方法存在无法适用单向流量的场景或特征计算复杂度高等问题。

发明内容

本发明的目的是为了克服现有技术的缺陷，为了有效解决如何在互联网单向流量中设计区分性较强的特征并且应用到分类器中对加密流量进行分类的技术问题，创造性地提出一种基于单向突发流量特征的加密流量精细化分类方法。

本方法的创新性在于：首先，从单向流量中提取区分度高且空间复杂度低的单向突发流量序列，并给出了具体实现方法。然后，与卷积神经网络等深度神经网络结合，能够在单向流量或双向流量的场景中开展加密流量的精细化分类与识别。

为了实现上述目的，本发明采用的技术方案如下：

一种基于单向突发流量特征的加密流量精细化分类方法，包括以下步骤：

步骤1：从互联网单向流量中，提取单向突发流量序列。

具体地，单向突发流量a被定义为与HTTP报文的一个片段相对应的数据包的序列。给定单向流P，单向突发流量序列B定义为单向流P中所有单向突发流量长度的序列。

步骤1.1：从数据包中解析构造单向突发流量特征的元信息。

首先，从网络中获取一条单向流P，P中包含K个数据包：P＝(p1,p2,…,pi,…，pK),其中pi为第i个数据包。

然后，解析每个数据包获取构造单向突发流量特征的元信息，其中，pi.l表示TCP有效载荷的长度、pi.n表示TCP有效载荷中TLS记录头部的个数、pi.r包含了pi.n个长度值的数组，其中，每个值为TLS记录头部的长度加上TLS记录头部中长度字段值。

步骤1.2：计算单向突发流量序列B。