[发明专利]基于三层模型SFTF-L的网络加密流量分类方法与系统

说明书

本发明公开了一种基于三层模型SFTF‑L的网络加密流量分类方法与系统。方法包括：收集已标注类型的网络加密流量数据集；通过流量切割将加密流量文件切分，并将相同会话汇聚成一条数据流，然后进行流量清洗去除数据流中的无用信息，选取每条数据流的前三个数据包开展特征学习；针对每条数据流，将数据包的字节流信息转化为灰度图像，并计算三个数据包之间的到达时间间隔，根据到达时间间隔在数据包对应图像之间插入时序特征图；设计三层模型SFTF‑L的结构，并利用训练数据集对应的图像进行模型训练，学习加密流量的空间特征和时序特征，构建出网络加密流量分类模型。本发明提高了对重要空间特征的学习能力，并提高了对时序特征明显的加密流量的分类准确率。

技术领域

本发明涉及网络安全领域，尤其是一种基于三层模型SFTF-L(Spatial Featuresand Temporal Features Learning)的网络加密流量分类方法与系统。

背景技术

网络流量分类对网络流量进行采集并分析以准确获取网络流量信息类型的重要技术手段，其可以帮助网络管理者有效地进行网络规划、网络优化、网络监控、流量趋势分析等工作。

随着网络技术的发展和成熟，网络中承载的应用及业务由最初的网页、邮件以及即时通信等到日臻完善的各种社区、在线游戏、P2P文件共享等，网络中承载的业务越来越丰富。同时大众网络安全意识也在稳步提升，对于数据保护的意识也愈加强烈。根据最新统计报告，在2017年2月，半数的在线流量均被加密。对于特定类型的流量，加密甚至已成为法律的强制性要求，数据加密俨然已经成为保护隐私的重要手段之一。Gartner统计2019年超过80％的企业网络流量已被加密。Barac统计2020年83％的流量被加密。

虽然加密技术对于重视隐私的用户来说是一个福音，但IT团队将会面临大量不解密就无法检测的流量挑战。流量分类的前提是针对不同的应用或协议有明显的区分特征，加密流量分类和未加密流量分类的本质区别在于流量加密使得用于区分的特征发生了改变。流量加密后的变化可以概括如下：首先，IP报文的明文内容更改为密文。第二，流量加密后有效载荷的统计特征(如随机性或熵)发生改变。第三，流量加密后流统计特性发生改变，如报文长度，报文到达时间间隔和包数。

当前流量分类方法虽然取得了不少研究进展，但这些成果大多针对非加密流量进行分类，当前加密流量分类研究面临着新挑战。

发明内容

发明目的：本发明的目的在于提供一种基于三层模型SFTF-L的网络加密流量分类方法与系统，通过对网络加密流量的处理，并构建三层模型SFTF-L来学习加密流量的空间特征和时序特征，提高模型对时序特征明显的加密流量的分类准确率。

技术方案：为了实现上述发明目的，本发明采用如下技术方案：

一种基于三层模型SFTF-L的网络加密流量分类方法，包括如下步骤：

(1)收集已标注类型的网络加密流量数据集；

(2)通过流量切割将每个加密流量文件进行切分，并将相同会话汇聚成一条数据流，然后进行流量清洗去除数据流中的无用信息，选取每条数据流的前三个数据包开展特征学习；

(3)针对每条数据流，将数据包的字节流信息转化为灰度图像，并计算三个数据包之间的到达时间间隔，根据到达时间间隔自适应地在数据包对应图像之间插入时序特征图；

(4)设计三层模型SFTF-L的结构，并利用训练集对应的图像进行模型训练，学习加密流量的空间特征和时序特征，构建出网络加密流量分类模型；所述三层模型SFTF-L的结构包括用于学习加密流量的空间特征XResnet50网络，用于学习加密流量的时序特征的LSTM网络，以及softmax分类器。

进一步地，步骤(3)中自适应插入时序特征图的方法为：