[发明专利]基于混合特征的加密流量分类方法

说明书

本发明公开了一种基于混合特征的加密流量分类方法，包括以下步骤：数据集采集、数据预处理、搭建CNN模型、CNN自动提取特征、提取流级特征、组合特征、SVM输出分类结果。本发明分别从一维空间中提取出流的具体特征和从二维空间中提取出流的抽象特征，组成了混合特征，提升了特征结构的复杂性，有效的提高了加密流量分类的准确率。

技术领域

本发明涉及一种网络流量分类方法，尤其涉及一种基于混合特征的加密流量分类方法。

背景技术

网络流量的精准识别与分类是网络安全与网络管理的重要前提，有助于提升网络管理与安全监测水平，改善服务质量。近年来，随着网络技术的飞速发展，流量加密技术得到了广泛应用。越来越多的网络应用采用加密协议保证信息在网络中传输的安全性，也一定程度上保证了私人信息的机密性与完整性。2015年，有21％的网站流量被加密，截至2019年，有超过80％的网站流量被加密，同比增长了90％以上。但网络攻击也以加密流量的隐蔽性为载体，威胁网络安全。2018年思科公司对超过40万的恶意软件进行了分析，发现其中有超过70％的恶意软件在通信时使用了加密。现有以僵尸网络、高级持续性威胁(APT)、木马等为主要形式的网络攻击往往采用了相关隐匿技术绕过安全设备入侵系统。因此对加密流量的识别已经成为防御网络攻击的重点。

流量分类模型已被广泛应用于从大规模网络流量中自动识别异常流量。这些模型可以分为四类：基于端口的分类方法，深度包检查(DPI)，统计分类方法和行为分类方法。基于端口的方法对于具有特定端口号的应用程序(例如，具有端口21的FTP流量)的分类性能很好，但是由于随机端口和端口伪装技术的普遍使用，基于端口的方法对加密流量分类的精确率低，已不再适用于加密流量的分类。DPI分析整个数据包数据，然后识别其网络协议和应用程序。因为流量负载数据通常用协议加密或封装，包含较少的恒定特征，使得DPI在加密流量分类任务中不再可行。基于统计的方法和基于行为的方法是当前加密流量分类任务中使用的主要方法。这两种方法都是浅层学习机器学习的方法，其一般工作流程如下：首先手工设计特征(如流级特征或分组特征)，然后从原始流量中提取和选择合适特征，最后用人工设计的分类器(如决策树、朴素贝叶斯，随机森林和支持向量机等)对流量进行分类。然而，这些方法极大地依赖于特征选择和人工提取特征的准确性，并且分类准确率不高，这也是目前在加密流量分类中浅层机器学习方法所遇到的瓶颈之一。

发明内容

发明目的：本发明的目的在于提供一种有效提高加密流量分类准确率的基于混合特征的加密流量分类方法。

技术方案：本发明的基于混合特征的加密流量分类方法，包括以下步骤：

(1)从网络数据流中进行数据采集；

(2)对采集的数据进行预处理；

(3)搭建卷积神经网络模型；

(4)将预处理后的数据输入卷积神经网络模型，提取出一维高层抽象特征向量V1；

(5)将预处理后的数据提取出一维流级特征向量V2；

(6)将一维高层抽象特征向量V1和一维流级特征向量V2进行组合，生成混合特征向量；

(7)将混合特征向量导入SVM中进行训练，并输出分类结果。

进一步地，步骤(1)中，所述数据采集是使用Wireshark进行流量的捕获并生成原始PCAP文件，再按照五元组对捕获的流量包进行分流，形成原始实验数据集。

进一步地，步骤(2)中，所述预处理是保留含有有效负载的数据流，并对少于m个字节的数据流进行补零，对超过的m个字节的数据流进行截断，将处理好的数据流进行归一化并生成k*k的包字节矩阵，最终制作成灰度图像集。

进一步地，步骤(3)中，所述搭建卷积神经网络模型是基于三个卷积层，两个最大池化层与全连接层搭建模型，其中结构为卷积C1-池化S2-卷积C3-池化S4-卷积C5-全连接F6。