[发明专利]一种基于消息大小分析的应用流量识别方法

说明书

本发明属于应用流量识别技术领域，具体涉及一种基于消息大小分析的应用流量识别方法。本发明具体操作为从局域网络环境中选取适当长度的数据流，截取长度为m比特大小的流，提取流中完整的消息；将消息进行嵌入处理，通过将消息的每一字节嵌入到向量中的数据预处理，使用卷积神经网络提取数据流中的消息的特征；生成消息大小特征，对第三个卷积神经网络层的输出做平坦化处理；通过使用LSTM来编码特征矢量V_i来获取流中消息的上下文信息；引入注意机制，将每个流中重要的消息大小特征加权表示，突出比较明显且重要的特征；应用流量识别，通过给定的矢量f，训练出一个二进制分类器来进行应用流量识别。

技术领域

本发明属于应用流量识别技术领域，具体涉及一种基于消息大小分析的应用流量识别方法。

背景技术

目前识别网络应用手段主要有四种：(1)传统的基于端口的识别；(2)基于数据包有效负荷的识别；(3)基于数据流统计特征的识别；(4)基于机器学习的识别。随着计算机网络技术的快速发展，应用程序的种类增多且许多应用程序使用不同的混淆方法，传统的应用识别技术面临着巨大的挑战。基于端口的分类方法早已经过时，而采用基于数据包有效载荷的识别有侵犯用户隐私规则的风险，同时对于分析网络中每个包的整个有效载荷所要付出的工作量也是巨大的。基于数据流统计特征的识别对数据流属性的选取有较高的要求，对整个交互流进行统计以获取一些属性需要投入一定资源，且由于网络环境的复杂性，这种识别方式往往存在误识别的风险。基于机器学习的分类方法被认为是最具有前景的，一经提出就引起的广泛关注并且发展迅速，近年来更多的在文献中被提到，Huang等人利用KNN算法(Huang S,Chen K,Liu C,Liang A.A statistical-feature-based approach tointernet traffic classification using machine learning.)克服了传统方法中端口号不可靠以及对有效载荷解释困难的弊端，然而在训练上的高投入以及模型的高复杂性意味着可伸缩性较低且缺乏对于临时流量演变的应变能力。深度学习广泛的应用中取得了巨大的成功，如计算机视觉，语音识别，自然语言处理等，这让深度学习技术在网络安全领域被采用。Radford等人提出的探测器利用长短期记忆神经网络(LSTM)对序列的处理能力，将网络流量压缩、标记并进行建模，以检测异常流量(B.J.Radford,L.M.Apolonio,A.J.Trias,and J.A.Simpson.Network traffic anomaly detection using recurrentneural networks.)，然而这需要将网络流量转化为现有深度学习模型的充分形式。Liu等人提出基于卷积神经网络和递归神经网络的有效载荷分类方法，采用端到端的方式进行攻击检测(H.Liu,B.Lang,M.Liu,and H.Yan.CNN and RNN based payload classificationmethods for attack detection.)。Wang等人提出了一种分层的深度学习模型，卷积神经网络和长短期记忆神经网络分别学习低层空间特征和高层时间特征，该方法获得了较高的准确性和检测率(W.Wang,Y.Sheng,J.Wang,X.Zeng,X.Ye,Y.Huang,and M.Zhu.HAST-IDS:Learning hierarchical spatial-temporal features using deep neural networks toimprove intrusion detection.)。然而，流中大量的包限制了它们的方法对网络流量的表示能力。

发明内容

针对上述问题，本发明提供了一种基于消息大小分析的应用流量识别方法。

为了达到上述目的，本发明采用了下列技术方案：

一种基于消息大小的应用流量识别方法，包括以下步骤：

步骤1，从局域网络环境中选取数据流提取消息；

步骤2，将消息进行预处理；

步骤3，用卷积神经网络提取数据流中的消息的特征；