一种基于四元特征融合图的轻量级Tor流量分类方法及系统技术方案

本发明专利技术公开一种基于四元特征融合图的轻量级Tor流量分类方法及系统，结合匿名网络Tor多路复用特性以及实际部署中对模型算力的要求，针对网络用户生成的Tor流量进行分类。首先从测试环境中抓取目标Tor流量集，然后将固定窗口内的流量转化为四元特征融合图，随后使用部分参数共享的堆叠式特征提取层提取融合图特征，并使用两种不同的池化策略分别对特征进行细化和降维，最后使用训练好的已知类别判别模型和未知类别判断模型，为特征向量分配类别标签。本发明专利技术能够实现Tor流量的高效分类与流量分类模型的轻量级部署，根据流量分布的不同将Tor流量转化为模式更加可分的图像格式提升分类效率，使用轻量级设计思路搭建的模型能运行在更多的低算力设备上。行在更多的低算力设备上。行在更多的低算力设备上。

【技术实现步骤摘要】
一种基于四元特征融合图的轻量级Tor流量分类方法及系统


[0001]本专利技术属于网络安全
，具体涉及一种基于四元特征融合图的轻量级Tor流量分类方法及系统。

技术介绍

[0002]随着现代无线通讯系统的发展与设备计算性能的增强，可移动设备如笔记本电脑、平板电脑、手机的使用也越来越频繁。使用可移动设备的主要目的在于便捷安装应用，以使用其提供的各种功能，如社交、聊天、购物等。然而手机系统如Android允许用户安装互联网上大量未知来源的应用，这其中就包括潜在有害或易受攻击的应用，不法分子可以利用这些应用损坏通讯系统的安全以及泄露机密信息。出于对用户安全的保护，安全运营商需要通过流量分类技术观察应用流量并进行筛选。
[0003]流量分类是指将网络流量进行分类识别，分类识别的结果是某种应用程序或业务类型等，在网络安全管理、网络优化、流量工程等不同领域展现出了强大的潜力。然而随着加密技术的不断成熟，流量加密也从传统的使用TLS协议加密数据包过渡到了使用匿名通讯系统如Tor进行代理转发流量，Tor是基于通道交换的低延迟匿名通信系统，用户可以通过Tor网络选择中继节点建立通道，接收应用的TCP流，并将流量层层加密后经过多重路由解密直到达到目的地，以实现对源与目的地的通讯关系加密。针对Tor协议加密场景，如何进行高效的流量分类仍然是一个挑战。
[0004]此外，更高效的模型同时也意味着更大的体积、更高的资源消耗以及更多的训练时间，由于设备硬件资源和算力的限制，在高算力的设备中能够运行的Tor流量分类模型，不一定能够迁移到低算力设备上运行。因此需要一个更加高效且轻量的Tor流量分类方法和系统。

技术实现思路

[0005]专利技术目的：本专利技术的目的在于解决现有技术中存在的不足，提供一种基于四元特征融合图的轻量级Tor流量分类方法及系统，实现在Tor网络中高效分类应用流量，且能够部署于更多低算力的设备。
[0006]技术方案：本专利技术的一种基于四元特征融合图的轻量级Tor流量分类方法，依次包括以下步骤：
[0007]步骤(1)、采集Tor网络下目标应用产生的网络流量，截取固定时间窗口内的所有数据包，去除其中的噪声，提取数据包大小分布、平均方向以及传输频率特征集并转化为一个四元特征融合图，以此将Tor流量的混合模式可视化；
[0008]步骤(2)、使用堆叠的特征提取层提取步骤(1)所得四元特征融合图的特征张量，采用部分参数共享机制将特征提取层中卷积层的滤波器分解为空间域中固定基的加权扩展，并对扩展系数分布进一步施加稀疏性惩罚使其趋向于0，以此缩减模型参数和计算量；
[0009]步骤(3)、对步骤(2)中每个特征提取层提取出的特征张量均使用水平
‑
垂直条带
池化策略，编码其水平和垂直特征信息，以此进行特征细化，并采用自适应的方形池化策略对每两个特征提取层提取出的特征张量进行降维；
[0010]步骤(4)、压缩步骤(3)中所得最后一层特征提取层细化和降维后的输出张量，并使用标准的Flatten层将其转化为一个特征向量，组合使用已知类别判别模型M
cl
和未知类别判别模型M
un
，为特征向量分配类别标签。
[0011]进一步地，所述步骤(1)中使用四元特征融合图表示Tor流量的混合模式的具体过程为：
[0012]给定时间窗口T，将原始网络流量H按照每Ts分割成N份，对于每条流O＝[o1，o2，...o
N
‑1，o
N
]，分别提取其中的数据包大小序列S＝[s1，s2，...s
M
‑1，s
M
]、数据包时间戳序列T＝[t1，t2，...t
M
‑1，t
M
]、数据包方向序列D＝[d1，d2，...d
M+1
，d
M
]，M代表该流H中数据包个数；
[0013]首先标准化时间戳到[0，1500]区间，使其与数据包大小在一个量纲内，即：并数值化方向，即
[0014][0015]此处的标准化时间戳窗口也可以是其他区间大小，例如[0.2000]等；
[0016]接着建立二维1500*1500的直方图，直方图中的像素点颜色代表时间区间[t
i
，t
i+1
]内是否存在大小在[s
i
，s
i+1
]区间内的数据包，白色代表不存在，其他颜色代表存在，颜色的深浅代表该区间内所有数据包的平均方向，即其中n+1代表该区间内数据包的总个数，d
i
代表该区间内第i个数据包的数值化方向，偏向黄色代表发送数据包占大多数，偏向紫色代表接收数据包占大多数；
[0017]最后将融合图保存为224*224*3的图像，展现出了Tor流量的混合模式。
[0018]上述过程中，直方图和融合图可自定义为任意合理大小的图像，例如范围可从32*32*3增长到224*224*3，图片越大模型训练时间相对越长，准确率相对越高。
[0019]为更加有效提取四元特征融合图的深度特征，所述步骤(2)堆叠的特征提取层包括卷积层、批量标准化层和激活层三个算子，对于卷积层中的一个滤波器F
g
＝{K
e
∈R
k
×
k
×
c
，e∈[1...G]}，将其中的每个卷积核分解为L个共享卷积核基加权和，即其中表示第e个卷积核在第l个卷积核基下的权重，由模型自动学习得出，通过在损失函数中对特定权重施加Renyi散度稀疏惩罚，限制特定权重分布逼近于0，来降低计算量：
[0020][0020]表示第l个卷积核基，结合融合图特性，将其设置为FB基。P为实际特定权重的分布，即所有α的分布，Q为理想0分布，β代表稀疏常数，n为可训练的特定权重个数。
[0021]FB基对应图像的低频分量，由于融合图的高频部分对应了很多离散的噪声，故使用FB基有助于提取融合图的低频部分特征同时避免离散噪声的影响。
[0022]进一步地，所述步骤(3)中使用水平
‑
垂直条带池化策略对特征张量进行特征细化的具体过程如下：
[0023]融合图中的每个像素点除了颜色能够提供有关数据包方向的信息之外，像素点的空间位置还能提供数据包大小与频率信息，故为了捕获全局上下文信息同时不引入额外的参数，给定一个二维特征张量首先分别计算每行和每列中所有特征值的平均，即并分别使用3
×
1和1
×
3的一维卷积层对其进行调制并放缩到H
×
W大小，得到然后相加得到y
concat
＝y
h
+y
v
；
[0024]对每个通道的特征张量采用上述步骤后可以得出
[0025]接着使用公式out＝Dot(x，σ(fun(y)))得到该特征提取层的输出out，其本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于四元特征融合图的轻量级Tor流量分类方法，其特征在于：依次包括以下步骤：步骤(1)、采集Tor网络下目标应用产生的网络流量，截取固定时间窗口内的所有数据包，去除其中的噪声，提取数据包大小分布、平均方向以及传输频率特征集并转化为四元特征融合图，以此将Tor流量的混合模式进行可视化；步骤(2)、使用堆叠的特征提取层提取步骤(1)所得四元特征融合图的特征张量，采用部分参数共享机制将特征提取层中卷积层的滤波器分解为空间域中固定基的加权扩展，并对扩展系数分布进一步施加稀疏性惩罚使其趋向于0；步骤(3)、对步骤(2)中每个特征提取层提取出的特征张量均使用水平
‑
垂直条带池化策略，编码其水平和垂直特征信息，以此进行特征细化，然后采用自适应的方形池化策略对细化后的每两个特征提取层提取出的特征张量进行降维；步骤(4)、压缩步骤(3)中所得最后一层特征提取层细化和降维后的输出张量，并使用标准的Flatten层将其转化为一个特征向量，组合使用已知类别判别模型M
cl
和未知类别判别模型M
un
，为特征向量分配类别标签。2.根据权利要求1所述的基于四元特征融合图的轻量级Tor流量分类方法，其特征在于：所述步骤(1)中使用四元特征融合图表示Tor流量的混合模式的具体过程为：给定时间窗口T，将原始网络流量H按照每T秒分割成N份，对于每条流O＝[o1，o2，...o
N
‑1，o
N
]，分别提取其中的数据包大小序列S＝[s1，s2，...s
M
‑1，s
M
]、数据包时间戳序列T＝[t1，t2，...t
M
‑1，t
M
]、数据包方向序列D＝[d1，d2，...d
M+1
，d
M
]，M代表该流H中数据包个数；首先标准化时间戳到[0，1500]区间，使其与数据包大小在一个量纲内，即：并数值化方向，即：接着建立二维1500*1500的直方图，直方图中的像素点颜色代表时间区间[t
i
，t
i+1
]内是否存在大小在[s
i
，s
i+1
]区间内的数据包，白色代表不存在，其他颜色代表存在，颜色的深浅代表该区间内所有数据包的平均方向，即其中n+1代表该区间内数据包的总个数，d
i
代表该区间内第i个数据包的数值化方向，偏向黄色代表发送数据包占大多数，偏向紫色代表接收数据包占大多数；最后将融合图保存为224*224*3的图像。3.根据权利要求1所述的基于四元特征融合图的轻量级Tor流量分类方法，其特征在于：所述步骤(2)中堆叠的特征提取层包括卷积层、批量标准化层和激活层三个算子，对于卷积层中的一个滤波器F
g
＝{K
e
∈R
k
×
k
×
c
，e∈[1...G]}，将其中的每个卷积核分解为L个共享卷积核基加权和，即其中表示第e个卷积核在第l个卷积核基下的权重，由模型自动学习得出，通过在损失函数中对特定权重施加Renyi散度稀疏惩罚，限制特定权重分布逼近于0，来降低计算量：
表示第l个卷积核基，结合融合图特性，将其设置为FB基，P为实际特定权重的分布，即所有α的分布，Q为理想0分布，β代表稀疏常数，n为可训练的特定权重个数。4.根据权利要求1所述的基于四元特征融合图的轻量级Tor流量分类方法，其特征在于：所述步骤(3)中使用水平
‑
垂直条带池化策略对特征张量进行特征细化的具体过程如下：对于步骤(2)所得每个特征提取层提取的二维特征张量x，首先分别计算其每行和每列中所有特征值的平均，即每行和每列中所有特征值的平均，即并分别使用3
×
1和1
×
3的一维卷积层对其进行调制并放缩到H
×
W大小，得到然后相加得到y
concat
＝y
h
+y
v
；对每个通道的特征张量均采用上述步骤后则得出接着使用公式out＝Dot(x，σ(fun(y)))得到该特征提取层...

【专利技术属性】
技术研发人员：何刘坤，王良民，宋香梅，周强，赵蕙，申屠浩，李唱，
申请(专利权)人：江苏大学，
类型：发明
国别省市：