基于多视角一维卷积神经网络的VPN和non-VPN网络流量分类方法技术

本发明专利技术公开了一种基于多视角一维卷积神经网络的VPN和non

【技术实现步骤摘要】
基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法


[0001]本专利技术属于模式识别
，具体涉及一种基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，可用于对VPN和non
‑
VPN数据流量进行精确分类。

技术介绍

[0002]在过去的几十年中，由于网络服务质量、安全、计费、设计和工程等机制的实现与发展，流量分类技术受到了越来越多的关注。网络运营商在开展广泛的网络运营和管理活动时极大地依赖于流量分类的技术。例如，企业网络管理员或ISP(Internet service provider，网络服务提供商)可能希望对业务关键服务的流量进行优先排序，识别未知流量来进行异常检测，或者对工作流量的负载进行特性描述，以设计有效的资源管理方案来满足不同应用程序的性能和资源需求。根据网络环境的不同，大规模的错误分类可能导致无法提供QoS(Quality of Service，服务质量)保证、产生额外的操作支出、安全漏洞甚至服务中断。
[0003]形式上，流量分类可以定义为根据任意一组预定义的特征参数来对网络流量单元(例如，包、流、会话等)进行分类。在过去，流量分类主要是基于TCP(Transmission Control Protocol，传输控制协议)和UDP(User Datagram Protocol，用户数据包协议)的端口号进行的。然而，随着互联网和移动技术的不断扩展，网络协议栈的日益复杂，web应用程序的广泛使用，以及P2P网络等更复杂的用例，基于端口号的分类已经变得不够用了。DPI(Deep Packet Inspection，深度报文检测)被用作流量分类的一种替代方法。尽管如此，作为安全通信的基础，加密在今天的互联网中变得无处不在，为通过DPI进行分类带来了严重的障碍。因此，流量分类成为互联网研究的一大挑战。
[0004]DPI是一种能够对数据包的载荷部分进行检测的流量分析方法，可以对于数据包的载荷部分进行诸如入侵检测、渗透检测以及数据包的过滤等一系列的任务，通常这些过程是在网络的关键部分，被称为midddle box的硬件上进行工作。然而随着网络中，比如HTTPS等加密协议的出现，通常的middlebox在被加密的数据上进行分析往往不能得到很好的效果。Sherry J等人在对传统的middlebox进行研究后，提出了能够同时保持middlebox的功能性并且可以处理加密流量的BlindBox，但是BlindBox的处理重点仅在于加密流量。Cejka等人为了识别多样化的网络攻击，在应用层上提出了基于流程的模块化网络分析系统，用极少的内存来对数据进行不断地分析。
[0005]在深度报文检测方法能取得的效果越来越有限的情况下，人们将关注的重点放在了整个数据流的统计特征上而不再是单个数据包的载荷，根据统计特征采取机器学习的方法进行网络流量分类。机器学习的方法往往需要先对流量数据集进行统计特征的提取，而在提取过程中对于特征值的选择往往是一个需要着重考虑的部分。Thay等人提出了一种基于对等体连接数和进出方向流量数的特征对P2P流量进行分类的方法，并且在三种知名P2P应用上分类准确率可达90％。Ichino等人在以流为单位识别应用的离线技术上引入了多分
类器的融合并用特征向量的评分来连接每个分类器。上述方法的虽然可以完成一定情况下的流量分类的工作，但是存在效果较差以及需要专业的知识等局限性。
[0006]随着深度学习的迅速发展和广泛应用，卷积神经网络在自然语言处理、影像分类、语音识别等方面表现出良好的性能。目前基于卷积神经网络的流量分类方法是将应用在影像分类上有良好表现的卷积神经网络直接应用在网络流量分类当中。将网络流量数据包中的每个字节转换成0
‑
255之间的灰度值得到一幅二维的灰度流量图。然后将流量灰度图放入卷积神经网络模型当中进行训练，依据卷积神经网络强大的学习能力来实现对网络流量进行分类。
[0007]虽然目前将网络流量转换成二维图像的方法在网络流量分类上取得了比较好的效果，但是这种方法只是将网络流量分类问题放入了图像分类的框架当中，并没有对网络流量分类问题进行实际上的特异化处理，没有考虑原来网络模型应用到流量分类问题上的合理性和可解释性。将流量数据包转换成二维图像进行处理，并没有考虑原本流量数据包中数据组成形式的语义相关性。此外，目前的方法都是将整个流量包放入网络，没有考虑到不同结构蕴含信息的差异性。对于一个数据包来说，数据包头部所蕴含的信息和数据包载荷部分蕴含的信息是不同的，在神经网络中两部分对最终分类结果所提供支撑的信息量也是不同的。因此，简单地将包文头部部分和包文载荷部分用同一种卷积方式进行处理很有可能会遗漏包文头部的信息，对网络分类结果造成影响。

技术实现思路

[0008]为了解决现有技术中存在的上述问题，本专利技术提供了基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法。本专利技术要解决的技术问题通过以下技术方案实现：
[0009]本专利技术提供了一种基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，包括：
[0010]S1：构建深度学习网络，所述深度学习网络包括头部特征提取单元、载荷特征提取单元、数据展开模块、全连接层和输出层，其中，所述头部特征提取单元和所述载荷特征提取单元分别提供两个视角，所述头部特征提取单元提供一个来自数据包协议头部的视角，所述载荷特征提取单元提供一个来自数据包传输层载荷部分的视角，两个单元的输出分别连接所述数据展开模块，所述数据展开模块的输出连接全连接层，所述全连接层的输出连接所述输出层；
[0011]S2：获取VPN或non
‑
VPN互联网流量训练集；
[0012]S3：利用所述VPN或non
‑
VPN互联网流量训练集对所述深度学习网络进行训练，获得经训练的深度学习网络模型；
[0013]S4：将待分类的原始VPN或non
‑
VPN互联网流量数据包进行预处理；
[0014]S5：将预处理后的VPN或non
‑
VPN互联网流量数据包输入经训练的深度学习网络模型，获得分类结果。
[0015]在本专利技术的一个实施例中，所述载荷特征提取单元包括依次连接的第一一维卷积层、第一下采样层、第二一维卷积层和第二下采样层，所述头部特征提取单元包括依次连接的第三一维卷积层。
[0016]在本专利技术的一个实施例中，所述第一一维卷积层、所述第二一维卷积层和所述第
三一维卷积层的卷积核大小均为(1,N)，激活函数为LeakyReLU函数，其中，N≥1。
[0017]在本专利技术的一个实施例中，所述第一下采样层和所述第二下采样层的池化窗口大小均为(1,M)，M≥2。
[0018]在本专利技术的一个实施例中，所述S2包括：
[0019]收集预定数量的VP本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，其特征在于，包括：S1：构建深度学习网络，所述深度学习网络包括头部特征提取单元、载荷特征提取单元、数据展开模块、全连接层和输出层，其中，所述头部特征提取单元和所述载荷特征提取单元分别提供两个视角，所述头部特征提取单元提供一个来自数据包协议头部的视角，所述载荷特征提取单元提供一个来自数据包传输层载荷部分的视角，两个单元的输出分别连接所述数据展开模块，所述数据展开模块的输出连接全连接层，所述全连接层的输出连接所述输出层；S2：获取VPN或non
‑
VPN互联网流量训练集；S3：利用所述VPN或non
‑
VPN互联网流量训练集对所述深度学习网络进行训练，获得经训练的深度学习网络模型；S4：将待分类的原始VPN或non
‑
VPN互联网流量数据包进行预处理；S5：将预处理后的VPN或non
‑
VPN互联网流量数据包输入经训练的深度学习网络模型，获得分类结果。2.根据权利要求1所述的基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，其特征在于，所述载荷特征提取单元包括依次连接的第一一维卷积层、第一下采样层、第二一维卷积层和第二下采样层，所述头部特征提取单元包括依次连接的第三一维卷积层。3.根据权利要求2所述的基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，其特征在于，所述第一一维卷积层、所述第二一维卷积层和所述第三一维卷积层的卷积核大小均为(1,N)，激活函数为LeakyReLU函数，其中，N≥1。4.根据权利要求3所述的基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，其特征在于，所述第一下采样层和所述第二下采样层的池化窗口大小均为(1,M)，M≥2。5.根据权利要求1所述的基于多视角一维卷积神经网络的VPN和non
‑
VPN网络流量分类方法，其特征在于，所述S2包括：收集预定数量的VPN和non
‑
VPN互联网流量数据包，并剔除其中的无关协议数据包以及数据链路层协议的报头；对所述互联网流量数据包进行传输层报头填充，以使不同的互联网流量数据包具有相同的传输层报头长度；将所有互联网流量数据包统一为相同的字...

【专利技术属性】
技术研发人员：郑昱，党张轩，杨超，任启贤，李玥，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：