[发明专利]基于深度学习的物联网应用流量检测方法

说明书

本发明公开了一种基于深度学习的物联网应用流量检测方法，该方法将物联网设备上的流量数据包通过Wireshark进行结构化数据存储，通过使用Split Cap工具进行Pcap流量包的切割与筛选，得到流量包的不同切割样本，再将片段大小不同的流量数据转换成为二进制图文件表示，通过深度学习方法即可获取较为精确的应用流量识别。该方法主要包括：流量包数据筛选，Pcap文件的编码切割，结构化流量数据包的图转换以及卷积神经网络的应用流量识别。通过本发明可以自动化的抓取并识别物联网设备中的应用数据包，为访问物联网设备的流量追踪溯源提供了强有力的支撑，极大地提高了物联网设备的安全性能。

技术领域

本发明属于计算机领域，专注于物联网设备端网络安全溯源，提出了一种基于深度学习的物联网(Internet Of Things, IOT)应用流量检测方法，根据流量包含信息从而完整且较为精确的检测物联网应用流量类型与来源的方法。

背景技术

流量检测是将网络流量与应用程序相关联的工作，是网络安全领域中的重要任务。在网络安全领域中，流量分类实际上是查询恶意网络资源使用等异常检测的初始步骤，是物联网安全检测中必不可少的一环。目前有四种主要的流量分类方法：基于端口的流量分析、基于深度包检查(Deep Packet Inception, DPI)的流量分析、基于统计的应用预测和基于访问行为的流量分析。从开发者角度来看，基于端口和基于DPI的方法是基于访问规则的检测方法，它们通过匹配预定义的规则来进行流量分类。基于统计和基于行为的方法是经典的机器学习方法，它们通过使用一组选择性特征从经验数据中提取任务模型来对流量进行分类。经典的机器学习方法虽然解决了基于规则的方法所不能解决的许多问题，如加密的流量分类和较高的计算成本，但它面临着大量流量相似特征的挑战，将导致流量分类的不准。

由于物联网设备的安全行为复杂，使用传统方法进行流量监测与识别，将是一件困难的事情。然而物联网设备往往很少具备专业的安全溯源手段，难以保证应用流量的精准识别，只能使用一些较为传统的规则匹配方法，但规则匹配方法由于现阶段加密算法的普及，其识别精度往往不如人意，现阶段亟待高精度检测方法检测应用流量。

发明内容

本发明的目的是针对传统技术的不足而提供的一种基于深度学习的物联网应用流量检测方法，该方法采用流量数据预处理、流量数据结构化、流量数据检测识别三个步骤，精确预测物联网设备网络流量来源。

实现本发明目的的具体技术方案是：

一种基于深度学习的物联网应用流量检测方法，该方法包括以下具体步骤：

步骤1：流量数据预处理

流量抓取：对物联网设备上运行的应用使用Wireshark进行抓取，并将所抓取的流量数据包Pcap文件封装成域名、源IP地址、目标IP地址、网络协议及字节长度五种数据结构；

人工标注：人工针对Pcap头文件信息与加密方式的不同进行应用流量的归属分类，即采用人工方式对于每一个抓取后的数据包封装后的数据结构进行人工分析，确定每个流量数据包具体属于何种应用；

步骤2：流量包数据结构化

Split Cap文件分割：将步骤1分类后的流量数据使用Split Cap工具进行Pcap文件的切割与筛选，得到经过分割后的单条流量数据样本，读取Pcap文件；

信息解析：选取包含关键信息的流量部分，即当前Pcap文件的前1024个字节，转换成为像素图形式；

二进制存储：根据流量包图结构的差异性，进行中值填充操作，最后保存为相同尺寸的流量图数据集，命名为X-Mnist；

步骤3：流量数据的检测识别