[发明专利]基于图匹配的不同网络环境的加密流量分类方法及系统

权利要求书

1.一种基于图匹配的不同网络环境的加密流量分类方法，其特征在于，包括以下步骤：

收集不同网络环境下的加密流量数据，对于其中同一网络环境下的加密流量数据，以网络会话为单位进行分割；

对于分割出的每一个网络会话，提取其多维静态特征；

根据网络会话的多维静态特征，对网络会话进行多次聚类，得到对应于不同网络环境的不同根簇集合；

每次选择一个上述得到的根簇集合，该根簇集合为未知标签的待测根簇集合，与一个已知标签的根簇集合进行匹配；对于进行匹配的这两个根簇集合，计算每个根簇集合中的所有根簇之间的相似度，得到每个根簇集合的相似矩阵；

遍历所述两个根簇集合并得到候选匹配对集合，遍历匹配对集合中的候选匹配对，计算匹配对之间的共存值，得到候选匹配对集合的匹配矩阵；

根据候选匹配对集合的匹配矩阵，计算匹配对集合中的每个候选匹配对的正确性，筛选得到所述两个根簇集合中的一对一映射的匹配对；

将已知标签的根簇集合中的标签信息一对一地映射到未知标签的待测根簇集合中，则该未知标签的待测根簇集合中的加密流量被预测为已知的标签，实现分类。

2.如权利要求1所述的方法，其特征在于，使用网络流量嗅探器在不同网络环境下分别收集对应应用的加密流量数据。

3.如权利要求1所述的方法，其特征在于，使用预设的五元组{目的IP，目的端口，源IP，源端口，传输层协议}作为键值进行网络会话分割。

4.如权利要求1所述的方法，其特征在于，多维静态特征包括会话的证书特征、地址特征、域名特征与时间特征。

5.如权利要求4所述的方法，其特征在于，聚类的步骤包括：

根据网络会话的加密握手的证书特征，将具有相同证书信息特征的网络会话聚合到一起，形成原有的根簇集合；

根据网络会话的地址特征，在上述原有的根簇集合基础上，将具有相同目的网络地址的会话聚合在一起，补充原有根簇集合，得到补充的根簇集合；

根据网络会话的域名特征，在上述补充的根簇集合的基础上，将具有相似的域名特征的会话聚合在一起，进一步扩充根簇集合；

根据时间特征，将剩下的未被聚合的网络会话聚合到具有最相似的时间特征的根簇中。

6.如权利要求1所述的方法，其特征在于，若有N个网络应用产生来自M个网络环境下的加密流量数据，则聚合得到M个根簇集合，每个根簇集合包含N个根簇，共计N×M个根簇。

7.如权利要求1所述的方法，其特征在于，通过光谱匹配算法计算匹配对集合中的每个候选匹配对的正确性，该光谱匹配算法的处理步骤为：输入匹配对集合的匹配矩阵，计算得到匹配矩阵的主特征向量，两个对应的主特征向量的每一个值所对应的下标，对应匹配对集合中的匹配对顺序。

8.如权利要求7所述的方法，其特征在于，通过接受-拒绝算法筛选得到所述两个根簇集合中的一对一映射的匹配对，该接受-拒绝算法的处理步骤为：主特征向量中的下标按照对应的值的大小排序，从较大的值对应的下标所对应的匹配对开始，接受该匹配对，形成从一个根簇集合中的某一根簇到另一个根簇集合中的某一根簇的唯一映射，同时拒绝掉所有涉及这两个根簇的匹配对，直至所有根簇都有唯一匹配时停止。

9.一种基于图匹配的不同网络环境的加密流量分类系统，其特征在于，包括存储器和处理器，在该存储器上存储有计算机程序，该处理器执行该程序时实现权利要求1-8任一项所述方法的步骤。

10.一种计算机可读存储介质，其特征在于，存储有计算机程序，该程序被处理器执行时实现权利要求1-8任一项所述方法的步骤。