[发明专利]基于流量图像与低频信息的多模态加密网络流量分类方法

说明书

本发明涉及一种基于流量图像与低频信息的多模态加密网络流量分类方法，包括：构建训练数据集，训练数据集为单类型的流量数据；构建多模态网络，其中，多模态网络包括：二维流量图像异常检测模型和低频信息异常检测模型，二维流量图像异常检测模型和低频信息异常检测模型的结构相同，均为基于GAN和AE的异常检测学习网络；利用训练数据集对多模态网络进行训练，得到训练完成的多模态网络模型；利用训练完成的多模态网络模型对待测的流量数据进行分类识别。本发明的多模态加密网络流量分类方法，通过异常检测网络即可自动学习加密流量特征，从而减少了特征工程的难度和复杂度，节省了加密网络流量分类所需的人力和时间，降低了流量分类的门槛。

技术领域

本发明属于网络空间安全技术领域，具体涉及一种基于流量图像与低频信息的多模态加密网络流量分类方法。

背景技术

随着信息基础设施的持续建设、新一代网络信息技术的加速创新，互联网事业得到了蓬勃发展。于此同时，互联网中网络吞吐量也快速扩张，不仅产生了大量的数据流量，还使得网络流量应用类型和协议纷繁复杂，给网络流量分类任务带来了巨大挑战。而网络流量分类又是网络空间安全领域的核心技术之一，对于抵御网络入侵、防范恶意软件、优化网络管理和提高网络服务质量，有着重要指导意义和实用价值。

目前，网络流量分类方法可分为四大类：基于端口的方法、基于深度数据包检测(DPI)的方法、基于统计特征的机器学习方法和基于深度学习的方法。由于动态端口号和端口伪装技术的普及，基于端口方法的分类准确率大大降低。而基于深度数据包检测(DPI)方法需要匹配流量指纹，其计算和内存花销较大。并且基于深度数据包检测方法只能检测明文流量，一旦流量经过加密，此方法将会完全失效。基于统计特征的机器学习方法则需要领域专家为特定场景提取手工制作的特征，如数据包的到达时间间隔、数据包的长度等。手动设计、提取这些特征会耗费大量人力，并且不能保证提取的特征对流量分类是否有效。

而基于深度学习的方法，减少了手工提取特征的阶段，利用神经网络对数据分布的强拟合能力，进一步提高了分类准确率。目前基于深度学习的网络流量分类领域，大多都是以有监督的深度学习方式来完成的流量分类。不仅需要大量的标签数据，同时泛化能力较差，无法处理未知流样本。而真实的网络环境是动态变化的，在实际部署时容易使得有监督的分类器性能退化。除此之外，这些方法利用的数据都是单模态流量信息，模型学习的数据分布较为单一。

发明内容

为了解决现有技术中存在的上述问题，本发明提供了一种基于流量图像与低频信息的多模态加密网络流量分类方法。本发明要解决的技术问题通过以下技术方案实现：

本发明提供了一种基于流量图像与低频信息的多模态加密网络流量分类方法，包括：

构建训练数据集，所述训练数据集为单类型的流量数据；

构建多模态网络，其中，所述多模态网络包括：二维流量图像异常检测模型和低频信息异常检测模型，所述二维流量图像异常检测模型和所述低频信息异常检测模型的结构相同，均为基于GAN和AE的异常检测学习网络；

利用所述训练数据集对所述多模态网络进行训练，得到训练完成的多模态网络模型；

利用训练完成的多模态网络模型对待测的流量数据进行分类识别。

在本发明的一个实施例中，构建训练数据集，包括：

获取pcap格式的网络流量数据包，包括Tor和non-Tor两种类型的网络流量数据；

对所述网络流量数据包进行预处理后转换为对应的流量图像，得到流量图像数据集；

将所述流量图像数据集按照网络流量数据类型划分为Tor流量数据和non-Tor流量数据，将其中的一种类型的流量数据作为训练数据集。

在本发明的一个实施例中，对所述网络流量数据进行预处理后转换为对应的流量图像，得到流量图像数据集，包括：