一种基于高鲁棒流量特征表示的加密流量分类方法技术

本发明专利技术提出了一种基于高鲁棒流量特征表示的加密流量分类方法，属于互联网加密流量分类技术领域

【技术实现步骤摘要】
一种基于高鲁棒流量特征表示的加密流量分类方法


[0001]本专利技术涉及一种基于高鲁棒流量特征表示的加密流量分类方法，属于互联网加密流量分类

。

技术介绍

[0002]随着互联网的不断发展和普及，网络通信加密已经成为保护用户隐私和信息安全的重要手段
。
加密流量分类作为一种维护网络空间安全的重要技术，在网络安全监控
(
如入侵检测和恶意流量识别
)、
网络流量管理
(
如
QoS
保证
)
等方面具有重要的应用价值
。
[0003]为了实现对加密流量的精准分类，传统技术手段主要基于机器学习方法，此类方法需要人工设计复杂的统计特征并应用到传统机器学习分类器中
。
近年来，随着深度学习技术的普及，深度神经网络已经可以从包级别的细粒度特征
(
如数据包方向序列
)
中自动提取具有区分度的特征，从而实现精准分类
。
[0004]然而，随着加密通信技术的不断升级和完善，如伪数据包填充
、
数据包延迟等混淆技术以及流量分割技术的出现，使得加密流量中的特征变得越来越难以被现在的流量分类技术所提取和分类，这是因为，混淆后的加密流量隐藏了大部分人工设计的统计特征，同时包级别的细粒度特征很容易使神经网络过度关注流量中的特定模式从而导致鲁棒性降低
。
因此，如何设计一种具有高鲁棒性的加密流量分类方法，是急迫需要解决的技术问题
。

技术实现思路

[0005]本专利技术的目的是针对现有技术存在的问题和不足，为有效解决如何在加密流量尤其是混淆或分割后的加密流量中提取高鲁棒性的特征表示，并结合深度神经网络对加密流量进行分类的技术问题，创造性地提出了一种基于高鲁棒流量特征表示的加密流量分类方法
。
[0006]本方法仅需提取加密流量中每个数据包的时间和方向信息，统计每个时隙内上下行数据包的数量，构建流量聚合矩阵
。
然后，输入至卷积神经网络等深度神经网络中进行训练，实现了在加密网络流量使用混淆或分割技术以隐藏其可区分特征的场景下，对加密流量的精准分类
。
[0007]本专利技术的创新点在于：通过分析流量特征在正常和混淆加密流量中的信息泄露，发现每个时间间隔内发送的数据包数量在不同流量间具有较强的区分性和鲁棒性
。
在此基础上，细化特征表示粒度并引入数据包方向信息，即统计每个时隙内上下行数据包的数量，构建出流量聚合矩阵
。
最后，对卷积神经网络等深度神经网络进行训练，获得更鲁棒的加密流量分类模型
。
由于该特征详细刻画了上下行流量随时间的波动和交互状况，并且每个时隙可以容忍一定程度的数据包填充及延迟，从而有效解决了现有技术的流量特征表示对混淆或分割后的加密流量区分度低导致的分类困难问题
。
[0008]为了实现上述目的，本专利技术采用以下技术方式实现
。
[0009]一种基于高鲁棒流量特征表示的加密流量分类方法，包括以下步骤：
[0010]步骤1：从互联网加密流量中，构造流量聚合矩阵
。
[0011]包括以下步骤：
[0012]步骤
1.1
：从已知类别的加密流量数据包中，提取出构造流量聚合矩阵的元信息
。
[0013]首先，从网络中获取一条加密流量
F
，其类别为
c
，
F
中包含
l
个数据包：
F
＝
(f1，
f2，
...
，
f
l
)
，
f
i
为第
i
个数据包
。
[0014]然后，提取每个数据包的元信息
f
k
，
f
k
＝
<t
k
，
d
k
>
，
t
k
和
d
k
分别表示第
k
个数据包的到达时间和方向，
d
k
＝1表示为上行数据包，
d
k
＝
‑1表示为下行数据包
。
[0015]步骤
1.2
：构建流量聚合矩阵
。
[0016]设置加密流量的最长加载时间为
T
，流量聚合矩阵将加载时间
T
划分等长的时隙
s
，并统计每个时隙中上行和下行数据包的数量，构成一个2×
N
的矩阵
M。
其中，
N
为流量聚合矩阵中时隙的个数，由
T/s
计算得到
。
矩阵中的元素
m
ij
∈M
代表第
j
个时隙当中上行
i
＝1和下行
i
＝2数据包的数量
。
[0017]具体地，首先，初始化一个2×
N
全零矩阵
M
，对于一条加密流量
F
中的每个数据包
f
k
＝
<t
k
，
d
k
>
，通过公式计算它在
M
中的列坐标
j。
如果
j
大于
N
，则直接丢弃该数据包
。
否则，通过该数据包的方向
d
k
确定它的行坐标
i
，即
d
k
＝1时
i
＝1，
d
k
＝
‑1时
i
＝
2。
[0018]然后，根据得到的行列坐标
(i
，
j)
将
M
的对应位置
m
ij
加
1。
[0019]最后，得到的矩阵
M
即为该加密流量会话
F
对应的流量聚合矩阵
。
[0020]步骤2：构建卷积神经网络分类器
。
[0021]具体地，该分类器包括三个部分：二维卷积块
、
一维卷积块和一个全局平均池化层
。
[0022]其中，二维卷积块负责从流量聚合矩阵中的行和列中提取鲁棒的可区分局部特征
。
局部特征包括流量聚合矩阵同一列中的元素代表同一时间段内传入和传出的数据包数量，反映了上下行流量之间的交互，而同一行中的两个相邻元素代表连续两个时间段内同方向的数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于高鲁棒流量特征表示的加密流量分类方法，其特征在于，包括以下步骤：步骤1：从网络加密流量中构造流量聚合矩阵；步骤2：构建卷积神经网络分类器；分类器包括三个部分：二维卷积块
、
一维卷积块和一个全局平均池化层；其中，二维卷积块负责从流量聚合矩阵中的行和列中提取鲁棒的可区分局部特征；局部特征包括流量聚合矩阵同一列中的元素代表同一时间段内传入和传出的数据包数量，反映上下行流量之间的交互，而同一行中的两个相邻元素代表连续两个时间段内同方向的数据包数量，反映流量的波动；在经过两个二维卷积块后，流量聚合矩阵将通过最大池化融合成一维特征图；一维卷积块此时有助于提取更高层次的特征；全局平均池化层被用来取代全连接层，减轻过拟合，经过
SoftMax
函数计算后，得到每个类别的概率；步骤3：利用步骤1得到的流量聚合矩阵，对步骤2中的卷积神经网络分类器进行训练；训练时，使用交叉熵作为损失函数计算分类器预测值与真实值
y
之间的差异
L
，如下式所示：其中，
|X|
是输入到卷积神经网络的流量聚合矩阵个数，
|C|
代表加密流量的类别集合，
y
ij
、
分别表示第
i
个矩阵为第
j
的个类别的真实概率和预测概率；步骤4：使用训练好的卷积神经网络对加密流量进行分类
。2.
如权利要求1所述的一种基于高鲁棒流量特征表示的加密流量分类方法，其特征在于，步骤1包括：步骤
1.1
：从已知类别的加密流量数据包中，提取出构造流量聚合矩阵的元信息；首先，从网络中获取一条加密流量
F
，其类别为
c
，
F
中包含
l
个数据包：
F
＝
(f1,f2,
…
,f
l
)
，
f
i
为第
i
个数据包；然后，提取每个数据包的元信息
f
k
，
f
k
＝
<t
k
,d
k
>
，
t
k
...

【专利技术属性】
技术研发人员：沈蒙，季克欣，贾冀哲，吴金贺，祝烈煌，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：