[发明专利]一种HTTPS终端类型分类方法及装置

权利要求书

1.一种HTTPS终端类型分类方法，其特征在于，包括：

构造数据集；

从HTTPS流量会话中提取流统计特征和密码套件列表；其中，所述流统计特征包括包长度、包到达时间间隔、拥塞窗口大小、包中标记字段和包数目中的一种或多种；

构造终端类型分类模型；其中，所述终端类型分类模型包括MLP模型和注意力模块；

利用所述流统计特征和密码套件列表对所述终端类型分类模型进行训练；

对训练后的所述终端类型分类模型进行剪枝；

使用剪枝后的终端类型分类模型对HTTPS终端类型进行分类。

2.根据权利要求1所述的HTTPS终端类型分类方法，其特征在于，所述构造数据集进一步包括：

统计跟踪标签的应用类型相关的网址；

重复打开浏览器、登陆网址、关闭浏览器，同时在客户端和服务端通信时，抓取数据包并形成数据流。

3.根据权利要1所述的HTTPS终端类型分类方法，其特征在于，所述的从HTTPS流量会话中提取流统计特征，进一步包括：

将HTTPS会话中的所有数据包构成一个总流，将总流划分成上行流和下行流；其中，客户端发出的所有数据包构成上行流、客户端收到的所有数据包构成下行流；

对原始统计特征，分别计算总流、上行流和下行流的统计特征。

4.根据权利要求1所述的HTTPS终端类型分类方法，其特征在于，所述的从HTTPS流量会话中提取密码套件列表，进一步包括：

将每一种密码套件作为一维特征，构造一个多维的特征向量来代表密码套件列表特征，某一维取值为1代表客户端密码套件列表中包含该密码套件，取值为0则代表不包含。

5.根据权利要求1所述的HTTPS终端类型分类方法，其特征在于，所述构造终端类型分类模型，进一步包括：

将所述终端类型分类模型的输入经过特征提取后得到的原始特征向量；

将所述原始特征向量输入注意力模块，所述注意力模块输出一组代表着不同特征权重的第一特征向量；

将所述第一特征向量和原始特征向量进行点乘，得到增加注意力机制的第二特征向量；

将所述增加注意力机制的第二特征向量输入MLP模型，将MLP模型输出层的输出和真实标签进行比较，从而计算Loss、反向传播梯度以及更新整个模型的参数。

6.根据权利要求5所述的HTTPS终端类型分类方法，其特征在于，在所述将所述终端类型分类模型的输入经过特征提取后得到的原始特征向量，之后还包括：使用取Top-N特征分析法对原始特征向量进行精简。

7.一种HTTPS终端类型分类装置，其特征在于，包括：

第一构造单元，用于构造数据集；

提取单元，用于从HTTPS流量会话中提取流统计特征和密码套件列表；其中，所述流统计特征包括包长度、包到达时间间隔、拥塞窗口大小、包中标记字段和包数目中的一种或多种；

第二构造单元，用于构造终端类型分类模型；其中，所述终端类型分类模型包括MLP模型和注意力模块；

训练单元，用于利用所述流统计特征和密码套件列表对所述终端类型分类模型进行训练；

剪枝单元，用于对训练后的所述终端类型分类模型进行剪枝；

使用单元，用于使用剪枝后的终端类型分类模型对HTTPS终端类型进行分类。

8.根据权利要求7所述的HTTPS终端类型分类装置，其特征在于，所述第一构造单元包括：第一统计模块，用于统计跟踪标签的应用类型相关的网址；

重复模块，用于重复打开浏览器、登陆网址、关闭浏览器；

抓取模块，用于在客户端和服务端通信时，抓取数据包并形成数据流。