【技术实现步骤摘要】
本专利技术属于网络空间安全,涉及一种基于图结构和双通道序列特征混合的加密流量分类方法。
技术介绍
1、随着网络中加密流量的广泛使用,加密流量分类已成为一项重要网络分析技术,该技术旨在使第三方被动观察者或监管者能够从加密流量中准确识别到应用或网页活动类别。
2、通过加密流量分类能够了解流量的内容大类,使得网络运营商部门可以迅速响应,制定量身定制的网络管理策略,从而提高服务质量和保障用户体验,同时也能支持不同的业务目标。
3、然而,加密流量和匿名网络技术的使用越来越多,使得对加密流量的分析变得复杂困难,现有的方法难以对复杂的流量模式进行准确分类。因此,要建立一个完善的流量分析框架以实现更精确的分类,就必须挖掘加密流量空间信息和报文间信息交互中潜在的强大表征。
4、当下国内外研究者通常会采用多种技术手段,可以大致分为基于传统机器学习的方法和基于深度学习的方法。传统方法依赖人工提取多种高阶特征用于机器学习模型的训练,需要消耗大量人力资源设计特征,且容易造成模型的过拟合缺陷。另一方面,大多数深度学习方法直接输入原始流量的序列特征,缺乏从全局角度对流量内报文间语义关联进行本源性的表征,导致模型分类效果不及预期。本质而言,这些方法不仅缺乏对加密流量传输模式中报文间关联关系的全局化空间性特征挖掘,也没有充分利用流量的多种模态特征。
技术实现思路
1、针对已有的加密流量分类技术存在忽视加密流量网络传输模式中报文间的消息关联和空间性关系,未能从本质上刻画加密流量序列
2、为了达到上述目的,本专利技术提供如下技术方案:
3、一种基于图结构和双通道序列特征混合的加密流量分类方法,所述方法包括以下步骤:
4、(1)基于加密流量的通信模式和公开加密协议的范式,对公开数据集流量数据的pcap文件执行数据流预处理,对加密流量进行组流,区分流的上下行报文,生成以报文二元组(报文长度,时间间隔)为单位的流量序列形式,
5、(2)基于加密流量传输的客户端-服务器模式,设计了通信过程中两种节点(上行报文和下行报文)和三种典型的报文间异构边连接方式(同向连续报文、流量方向改变报文、二阶同向报文),以从全局角度构建加密流量交互的图结构特征mtig,
6、(3)基于双通道模态编码架构,以步骤(1)数据预处理所得报文二元组(报文长度,时间间隔)的流量序列作为原始数据,并行对报文长度和报文时间两种序列特征执行词嵌入embedding和位置编码操作,所得特征向量分别并行进入transformer架构的报文长度和报文时间的编码器分析,并融合两种模态的特征形成节点内容特征node features,
7、(4)基于加密流量消息感知的图transformer架构,结合步骤(2)生成的加密流量交互图结构特征,提取其中的度信息生成中心性编码特征,该特征与步骤(3)所生成的节点内容特征node features作用特征融合,作为图transformer架构的输入;从步骤(2)生成的加密流量交互图结构中提取拓扑空间信息形成边信息编码特征,用以指导注意力机制模块。该方法在四个广泛使用的公开数据集和一个流量自采集数据集上,表现出优秀的加密流量分类任务能力并具有较强的鲁棒性。
8、进一步地,所述步骤(1)具体包括如下子步骤:
9、(1.1)自采集移动端流量为利用手机终端上的ui控件监控所运行的手机应用软件,捕获和采集运行软件所对应的pcap文件形式流量,
10、(1.2)下载公开的加密流量数据集为iscx的vpn数据集,iscx的tor数据集,quic2019数据集和ciciot数据集,
11、(1.2.1)对该部分数据集进行流预处理,使用流量预处理工具dpkt读取每条流的唯一五元组标识(源ip,宿ip,源端口,宿端口,传输层协议),将其表示为字典形式key=(src_ip,dst_ip,src_port,dst_port,prot),完成对每个pcap文件内流量(包含对应标签)进行组流,
12、(1.2.2)使用dpkt库,读取流内每个报文packet的负载长度pkt len,和时间戳timestamp,按照时间戳timestamp的时序得到流的报文(长度、时间二元组)特征序列,
13、(1.3)针对各协议下的流量样本,对于每条流(五元组标签),按照时序排列捕获每个报文的长度pkt_len,得到tcp层上的报文长度的流量时序序列,
14、(1.4)针对客户端-服务器的tcp报文特性,对每个报文减去其tcp头部得到tcp负载的长度,同时对报文的时间戳timestamp数值做差,归一化为相对时间记为ts,初试报文的绝对时间置为0,
15、(1.5)基于(1.3)和(1.4)中对加密流量的报文序列长度、时间特征的预处理,生成流量的报文序列形式(以(报文长度,时间间隔)二元组为报文单位)。
16、进一步地,所述步骤(2)具体包括如下子步骤:
17、(2.1)基于步骤(1)所得流量的报文序列形式(以(报文长度,时间间隔)二元组为报文单位),以时间顺序提取其中的加密流量报文长度序列,构建消息级的流量交互图mtig,
18、(2.1.1)基于流量传输过程的双向性,设置上下行两种异构的报文节点类型,将客户端向服务器发送的请求消息设置为上行报文流量,对应客户端从服务器所下载的消息设置为下行报文流量,
19、(2.1.2)结合上述(2.1.1)所得流量的双向报文序列,客户端-服务器通信的消息单元是由单向连续的多个报文所构成,即聚合多个同向连续报文得到一个消息单元message,
20、(2.2)基于步骤(1)所得流量的报文序列形式(以(报文长度,时间间隔)二元组为报文单位),以时间顺序提取其中的加密流量报文长度序列,构建消息级的流量交互图mtig,
21、(2.2.1)以时序遍历每条流的序列,连接上述(2.1.1)中所设置同一上下行方向,且在空间上连续的报文节点,生成连续同向的边特征类型sue(successiveunidirectional本文档来自技高网...
【技术保护点】
1.一种基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(1)具体包括如下子步骤:
3.根据权利要求2所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(2)具体要求为:
4.根据权利要求3所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(3)具体包括如下步骤:
5.根据权利要求4所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(4)具体包括如下步骤:
6.一种基于图结构和双通道序列特征混合的加密流量分类系统,其特征在于,用于实现权利要求1-5任意一项所述的基于图结构和双通道序列特征混合的加密流量分类方法,所述分类系统包括加密流量采集和预处理模块、消息级的流量交互图MTIG构建模块、双通道模态的报文长度和时间序列编码器模块和基于图Transformer架构的消息感知加密流量分类模型训练模块,其中第一部分的加密流量采集和
...【技术特征摘要】
1.一种基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(1)具体包括如下子步骤:
3.根据权利要求2所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(2)具体要求为:
4.根据权利要求3所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(3)具体包括如下步骤:
5.根据权利要求4所述的基于图结构和双通道序列特征混合的加密流量分类方法,其特征在于,所述步骤(4)具体包括如下步骤:
6.一种基于图结构和双通道序列特征混合的加密流量分类系统,其特征在于,用于实现权利要求1-5任意一项所述的基于图结构和双通道序列特征混合的加密流量分类方法,所述分类系统包括加密流量采集和预处理模块、消息级的流量交互图mtig构建模块、双通道模态的报文长度和时间序列编码器模块和基于图transformer架构的消息感知加密流量分类模型训练模块,其中第一部分的加密流量采集和预处理...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。