[发明专利]一种区分加密和非加密压缩流量的方法和系统

权利要求书

1.一种区分加密和非加密压缩流量的方法，其特征在于，该方法包括：

采集并获取网络中的网络流量数据包；

解析该数据包得到网络流量数据包的有效载荷，截取固定长度的有效载荷作为待识别分类的样本序列；基于熵的特征提取算法提取所述待识别分类的样本序列的特征向量；

将所述特征向量输入至预先训练好的机器学习模型进行识别分类，获取该网络流量数据包的类型，该网络流量数据包的类型包括：加密流量、非加密流量和非加密压缩流量；

所述预先训练好的机器学习模型具体包括：

采集加密、非加密和非加密压缩三种性质的流量的原始数据包，同时对这三种性质的流量做好标签，作为训练数据集；

对这三种性质的流量按照基于熵的特征提取算法提取具有区分性的特征，将这三种性质流量的特征集以及其对应的标签构成训练数据集，并进行训练，获得训练好的机器学习模型。

2.根据权利要求1所述的区分加密和非加密压缩流量的方法，其特征在于，所述截取固定长度的有效载荷作为待识别分类的样本序列；具体包括：

根据计算量和识别精度，截取有效载荷的固定长度；并将该固定长度的有效载荷作为待识别分类的样本序列；其中，对当前获得的网络流量数据包的有效载荷不足以设定固定长度的情况，可由下一个网络流量数据包中的有效载荷填充或者填充零，来截取有效载荷的固定长度。

3.根据权利要求1所述的区分加密和非加密压缩流量的方法，其特征在于，所述基于熵的特征提取算法提取所述待识别分类的样本序列的特征向量；具体包括：

采用连续子二进制串熵的特征提取算法，

其中，H_k表示在不同长度子二进制串的情况下的连续子二进制串熵；

S_k表示在不同长度子二进制串的情况下，原来的二进制样本序列被切分成的子二进制串的集合；

m_ik表示子二进制串集合S_k中第i个元素的频数；

m_ik满足

L为原二进制样本序列的长度；

k为连续的子二进制串的数目；

l为子二进制串的长度。

4.根据权利要求3所述的区分加密和非加密压缩流量的方法，其特征在于，所述提取所述待识别分类的样本序列的特征向量具体包括：

采用基于连续子二进制串熵的特征提取算法，将所述待识别分类的样本序列转换为二进制待识别分类的样本序列，采用大小为8的滑动窗口，设置初始移动步长为1，从二进制待识别分类的样本序列的头到尾滑动采样，最后将采样得到的所有8比特子二进制串依序构成新的样本序列；然后，分别设置步长为2、3、4、5、6、7和8，得到8个二进制样本序列；

对得到的8个二进制样本序列，按照连续子二进制串熵的特征提取算法，分别计算每个二进制样本序列，得到各个二进制样本序列的连续子二进制串熵H_k；将得到的各个二进制样本序列的连续子二进制串熵值构成所述待识别分类的样本序列的特征向量。

5.根据权利要求1所述的区分加密和非加密压缩流量的方法，其特征在于，所述获取该网络流量数据包的类型具体包括：

实时采集网络流量数据包，解析得到固定长度的有效载荷二进制序列，根据基于连续子二进制串熵的特征提取算法提取特征向量；

预先训练好的机器学习模型对输入的特征向量进行分层计算，然后，输出一个三元组的概率值(P1，P2，P3),该三元组概率值分别为对应加密、非加密、非加密压缩三种网络流量数据包类型的可能性概率；

最后，选取三元组概率值中最大的概率值所对应的类别标签即为输入特征向量所识别出来的类别标签。