[发明专利]基于多视角一维卷积神经网络的VPN和non-VPN网络流量分类方法

说明书

本发明公开了一种基于多视角一维卷积神经网络的VPN和non‑VPN网络流量分类方法，包括：构建深度学习网络，所述深度学习网络包括头部特征提取单元、载荷特征提取单元、数据展开模块、全连接层和输出层；获取VPN或non‑VPN互联网流量训练集；利用所述VPN或non‑VPN互联网流量训练集对所述深度学习网络进行训练，获得经训练的深度学习网络模型；将待分类的原始VPN或non‑VPN互联网流量数据包进行预处理；将预处理后的VPN或non‑VPN互联网流量数据包输入经训练的深度学习网络模型，获得分类结果。本发明的VPN和non‑VPN互联网流量分类方法通过一维卷积神经网络构建分类器，能够达到较高分类准确率，同时节省时间成本。

技术领域

本发明属于模式识别技术领域，具体涉及一种基于多视角一维卷积神经网络的VPN和non-VPN网络流量分类方法，可用于对VPN和non-VPN数据流量进行精确分类。

背景技术

在过去的几十年中，由于网络服务质量、安全、计费、设计和工程等机制的实现与发展，流量分类技术受到了越来越多的关注。网络运营商在开展广泛的网络运营和管理活动时极大地依赖于流量分类的技术。例如，企业网络管理员或ISP(Internet serviceprovider，网络服务提供商)可能希望对业务关键服务的流量进行优先排序，识别未知流量来进行异常检测，或者对工作流量的负载进行特性描述，以设计有效的资源管理方案来满足不同应用程序的性能和资源需求。根据网络环境的不同，大规模的错误分类可能导致无法提供QoS(Quality of Service，服务质量)保证、产生额外的操作支出、安全漏洞甚至服务中断。

形式上，流量分类可以定义为根据任意一组预定义的特征参数来对网络流量单元(例如，包、流、会话等)进行分类。在过去，流量分类主要是基于TCP(Transmission ControlProtocol，传输控制协议)和UDP(User Datagram Protocol，用户数据包协议)的端口号进行的。然而，随着互联网和移动技术的不断扩展，网络协议栈的日益复杂，web应用程序的广泛使用，以及P2P网络等更复杂的用例，基于端口号的分类已经变得不够用了。DPI(DeepPacket Inspection，深度报文检测)被用作流量分类的一种替代方法。尽管如此，作为安全通信的基础，加密在今天的互联网中变得无处不在，为通过DPI进行分类带来了严重的障碍。因此，流量分类成为互联网研究的一大挑战。

DPI是一种能够对数据包的载荷部分进行检测的流量分析方法，可以对于数据包的载荷部分进行诸如入侵检测、渗透检测以及数据包的过滤等一系列的任务，通常这些过程是在网络的关键部分，被称为midddle box的硬件上进行工作。然而随着网络中，比如HTTPS等加密协议的出现，通常的middlebox在被加密的数据上进行分析往往不能得到很好的效果。Sherry J等人在对传统的middlebox进行研究后，提出了能够同时保持middlebox的功能性并且可以处理加密流量的BlindBox，但是BlindBox的处理重点仅在于加密流量。Cejka等人为了识别多样化的网络攻击，在应用层上提出了基于流程的模块化网络分析系统，用极少的内存来对数据进行不断地分析。

在深度报文检测方法能取得的效果越来越有限的情况下，人们将关注的重点放在了整个数据流的统计特征上而不再是单个数据包的载荷，根据统计特征采取机器学习的方法进行网络流量分类。机器学习的方法往往需要先对流量数据集进行统计特征的提取，而在提取过程中对于特征值的选择往往是一个需要着重考虑的部分。Thay等人提出了一种基于对等体连接数和进出方向流量数的特征对P2P流量进行分类的方法，并且在三种知名P2P应用上分类准确率可达90％。Ichino等人在以流为单位识别应用的离线技术上引入了多分类器的融合并用特征向量的评分来连接每个分类器。上述方法的虽然可以完成一定情况下的流量分类的工作，但是存在效果较差以及需要专业的知识等局限性。