[发明专利]一种区分加密和非加密压缩流量的方法和系统

说明书

本发明属于网络流量数据分类技术领域，具体涉及一种区分加密和非加密压缩流量的方法，该方法包括：采集并获取网络中的网络流量数据包；解析该数据包得到网络流量数据包的有效载荷，截取固定长度的有效载荷作为待识别分类的样本序列；基于熵的特征提取算法提取所述待识别分类的样本序列的特征向量；将所述特征向量输入至预先训练好的机器学习模型进行识别分类，获取该网络流量数据包的类型，该网络流量数据包的类型包括：加密流量、非加密流量和非加密压缩流量。

技术领域

本发明属于网络流量数据分类技术领域，具体涉及一种区分加密和非加密压缩流量的方法和系统。

背景技术

网络流量分类是现代通信网络的一项重要任务。由于高吞吐量流量需求的快速增长，为了合理管理网络资源，能够正确识别利用网络资源的不同类型的应用至关重要。因此，能够准确地对流量进行分类、识别已成为高级网络管理任务的先决条件之一，例如，提供适当的服务质量(QoS)，计费和异常检测等。

早期的网络流量分类识别技术都是针对明文的网络数据，因为在互联网兴起之处，网络中的流量都是未加密的。现有的方法主要包括了基于端口、基于有效载荷检测(DPI)、基于主机行为特征和基于网络流统计特征的机器学习等常用方法。这些方法根据不同的应用场景都具有很好效果。基于这些方法也出现了一些商用产品，例如，Snort、nDPI和思科NBAR等等。但是，随着人们对隐私的关注和技术的发展成熟，网络中传输的明文正逐渐被加密所取代。面对网络中加密的流量，传统的分类识别技术有些逐渐失效。

目前，对加密流量的识别技术主要包括基于有效载荷的随机特性(熵)、基于流量统计特征的机器学习和深度学习等方法。这些方法在不同的应用场景下能够区分加密流量和非加密流量。但是，由于加密流量的特殊性，目前仍存在包括加密恶意流量的检测识别及加密流量的精细化识别分类等技术问题。现有的方法无法区分非加密压缩流量和加密流量这两种难区分的流量，无法为精准的网络流量识别分类管理提供了技术支持。

发明内容

本发明的目的在于，为解决现有技术中存在上述缺陷，本发明提出了一种区分加密和非加密压缩流量的方法和系统，采集截取固定长度的网络数据包中的有效载荷，用基于连续子二进制串熵的特征提取算法，提取转化成二进制序列的待分类识别样本的特征向量，输入预先训练好的机器学习模型，识别出特征向量中的加密流量、非加密流量和非加密压缩流量；传统基于信息熵的方法只能够做到低熵值的非加密流量与高熵值的加密流量区分，而无法区分同样为高熵值的非加密压缩和加密流量。本发明提供的方法可以很好地解决这个问题，不仅可以准确地区分加密和非加密流量，而且能够区分非加密压缩和加密这两种难区分的流量，为精准的网络流量识别分类管理提供了技术支持。

为了实现上述目的，本发明提出了一种区分加密和非加密压缩流量的方法，该方法包括：

采集并获取网络中的网络流量数据包；

解析该数据包得到网络流量数据包的有效载荷，截取固定长度的有效载荷作为待识别分类的样本序列；基于熵的特征提取算法提取所述待识别分类的样本序列的特征向量；

将所述特征向量输入至预先训练好的机器学习模型进行识别分类，获取该网络流量数据包的类型，该网络流量数据包的类型包括：加密流量、非加密流量和非加密压缩流量。

作为上述技术方案的改进之一，所述截取固定长度的有效载荷作为待识别分类的样本序列；具体包括：

根据计算量和识别精度，截取有效载荷的固定长度；并将该固定长度的有效载荷作为待识别分类的样本序列；其中，对当前获得的网络流量数据包的有效载荷不足以设定固定长度的情况，可由下一个网络流量数据包中的有效载荷填充或者填充零，来截取有效载荷的固定长度。

作为上述技术方案的改进之一，所述基于熵的特征提取算法提取所述待识别分类的样本序列的特征向量；具体包括：

采用连续子二进制串熵的特征提取算法，