[发明专利]基于卷积神经网络的加密流量实时分类方法及装置

说明书

本发明提供一种基于卷积神经网络的加密流量实时分类方法及装置，该方法包括：在每一条加密流量中采样预设数量的数据包；将采样得到的数据包作为字节流，任意相连两个字节作为一个字节对，并确定所有字节对的频率特征；将所有字节对的频率特征，输入预训练的卷积神经网络模型，输出每一条加密流量的数据流类型。该方法对加密流量的原始字节信息采用基于频率特征的表示，而非原始字节直接构造输入特征，从而使卷积神经网络的学习效果加强，分类准确度更高。此外，采样的数据包数量可以根据实际流量捕获情况调整，而不需要重新设计网络模型的结构，具有更好的适用性。由于采用了字节对的频率特征，从而分类所需数据包少，有利于数据分类的实时性。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种基于卷积神经网络的加密流量实时分类方法及装置。

背景技术

随着虚拟专用网络(VPN)在校园网和企业网络中的应用，用户能够依靠加密协议来保障自己的信息不被窥探，在此种背景下，大量的加密流量在网络上传输，加密流量逐渐成为网络流量不可忽视的一部分。但加密流量为这些网络的出口路由器的流量管控带来了难度，如加密后的P2P传输难以被路由器察觉，会占用大量带宽，很难实施针对性的控制策略；另一方面，加密通信的隐私性也保护了恶意软件和不法分子，使其恶意行为得以绕过校园网和企业网络的安全检测，为这些网络带来了很大的安全隐患。因此，如何分类虚拟专用网络的加密流量成为网络技术领域的关键问题。

现有技术尝试使用基于人工提取特征与机器学习的加密流量分类方法，但加密流量可用特征少，人工提取特征不能获得高分类准确度。一些依靠时间特性进行分类的方法很容易受到干扰流量的影响，导致分类错误。这种背景下，一些依靠深度学习的分类方法开始涌现，深度学习具有自动表征的能力，能够从加密后的数据中找到自行学习特征，对同类输入具有普遍适用性。

当前的大多数基于深度学习的加密流量分类技术致力于提高加密流量分类的准确度，而忽略了技术是否适用于实时分类，实时分类是QoS中流量分类的重要应用场景。实时分类首先要求在加密传输的初始阶段，只采样少量数据就可进行准确分类。其次，现有技术在采样加密流量时，受限于已训练好的卷积神经网络模型，都使用固定长度的采样，无法根据实际捕获情况实时调整采样长度，适用性差。

目前的方法，主要使用固定长度的采样策略，在模型训练后无法调整采样范围，缺乏灵活性，分类准确度低。

发明内容

针对现有技术存在的问题，本发明提供一种基于卷积神经网络的加密流量实时分类方法及装置。

本发明提供一种基于卷积神经网络的加密流量实时分类方法，包括：在每一条加密流量中采样预设数量的数据包；将采样得到的数据包作为字节流，任意相连两个字节作为一个字节对，并确定所有字节对的频率特征；将所有字节对的频率特征，输入预训练的卷积神经网络模型，输出每一条加密流量的数据流类型；其中，所述预训练的卷积神经网络模型，根据已知数据流类型作为标签的加密流量，经采样和提取频率特征后训练得到。

根据本发明一个实施例的基于卷积神经网络的加密流量实时分类方法，所述确定所有字节对的频率特征，包括：根据含有任一字节对的采样数据包个数和数据包总数，确定对应字节对的普遍性权重；根据所述普遍性权重对每一字节对的次数频率加权后，得到字节对的频率特征。

根据本发明一个实施例的基于卷积神经网络的加密流量实时分类方法，所述根据含有任一字节对的采样数据包个数和数据包总数，确定对应字节对的普遍性权重，包括：

其中，p_b为采样数据包中字节对b的个数，n为采样数据包总数。

根据本发明一个实施例的基于卷积神经网络的加密流量实时分类方法，所述从每一加密流量中采样预设数量的数据包之前，还包括：根据源IP地址，源端口，目的IP地址，目的端口和传输层协议，确定每一条加密流量。