[发明专利]基于图匹配的不同网络环境的加密流量分类方法及系统

说明书

本发明公开了一种基于图匹配的的不同网络环境的加密流量分类方法及系统，属于网络流量管理领域，利用设计的加密流量聚类算法与基于图匹配的加密流量匹配分类方法，分别聚合不同网络的同种类加密流量，并且匹配不同网络下的同种加密流量簇，将已知标签映射到匹配的加密流量簇中，从而分类待测加密流量。

技术领域

本发明属于网络流量管理领域，涉及加密网络流量识别和分类技术，具体涉及一种基于图匹配的不同网络环境的加密流量分类方法及系统。

背景技术

加密流量识别和分类技术是网络流量管理技术的主要分支之一。该技术通过分析收集的加密网络流量，识别和分类流量归属的网络应用。加密流量识别和分类技术被广泛用于网络安全和网络监管领域，智能入侵检测系统(IDS)等用于检测和过滤恶意流量的防御设备也应用了流量识别和分类技术。近年来，随着加密技术的逐渐普及，网络流量也从明文传输转变为密文传输。因此，传统的基于深度包的网络流量检测和分类方法适用于加密流量。于是新型的加密流量分类技术放弃在明文信息中匹配模式的方法，转而使用加密流量的侧信道信息作为训练特征，学习侧信道特征的分布，以识别和分类加密流量。

目前，新型智能加密流量识别和分类技术存在着以下难以解决的挑战：由于网络拓扑架构的复杂性与不确定性，目前的加密流量识别与分类技术无法保证稳定的普适性。不同网络环境下，由于存在不可预知的网络波动，网络延迟，网络带宽与拓扑结构，来自同一网络应用的加密流量在同组特征向量下的特征分布容易受到干扰，不稳定的特征分布使得目前的在单一网络下初始化的加密流量识别与分类模型无法达到稳定的识别和分类效果。该挑战产生的原因是：目前的加密流量识别与分类技术的训练用料是加密流量的侧信道信息，在不同网络环境下的侧信道信息是不稳定的，这导致了模型学习到的单一分布无法适应收到扰动的侧信道特征分布；目前的加密流量识别与分类模型的训练和测试方法，是在已知的单一网络环境下初始化模型，初始化后的模型在不同的网络环境下部署测试，这同样导致了模型学习到的单一分布无法适应收到扰动的侧信道特征分布。

发明内容

本发明的目的在于提供一种基于图匹配的的不同网络环境的加密流量分类方法及系统，利用设计的加密流量聚类算法与基于图匹配的加密流量匹配分类方法，分别聚合不同网络的同种类加密流量，并且匹配不同网络下的同种加密流量簇，将已知标签映射到匹配的加密流量簇中，从而分类待测加密流量。

为实现上述目的，本发明采用的技术方案如下：

一种基于图匹配的不同网络环境的加密流量分类方法，包括以下步骤：

收集不同网络环境下的加密流量数据，对于其中同一网络环境下的加密流量数据，以网络会话为单位进行分割；

对于分割出的每一个网络会话，提取其多维静态特征；

根据网络会话的多维静态特征，对网络会话进行多次聚类，得到对应于不同网络环境的不同根簇集合；

每次选择一个上述得到的根簇集合，该根簇集合为未知标签的待测根簇集合，与一个已知标签的根簇集合进行匹配；对于进行匹配的这两个根簇集合，计算每个根簇集合中的所有根簇之间的相似度，得到每个根簇集合的相似矩阵；

遍历所述两个根簇集合并得到候选匹配对集合，遍历匹配对集合中的候选匹配对，计算匹配对之间的共存值，得到候选匹配对集合的匹配矩阵；

根据候选匹配对集合的匹配矩阵，计算匹配对集合中的每个候选匹配对的正确性，筛选得到所述两个根簇集合中的一对一映射的匹配对；

将已知标签的根簇集合中的标签信息一对一地映射到未知标签的待测根簇集合中，则该未知标签的待测根簇集合中的加密流量被预测为已知的标签，实现分类。

进一步地，使用网络流量嗅探器在不同网络环境下分别收集对应应用的加密流量数据。