1.一種數據包頻度分析的網絡代理加密流量特征提取方法，其特征在于：包括如下步驟：

步驟1、基于數據包頻度分析結果抽取數據包；

其中，抽取數據包具體為：將數據包頻度分析結果中區分度大的數據包抽取出來；

其中，區分度大的數據包是指詞頻-逆文檔頻率不小于0.00001的數據包；

步驟1又包括如下子步驟：

步驟1.1對捕獲到的數據包進行數據包編碼，得到編碼后數據包；

其中，捕獲到的數據包為TCP數據包，用于區分TCP數據包的標志位有[SYN]、[SYN,ACK]、[ACK]、[PSH,ACK]和[FIN,ACK]；

其中，[SYN]表示客戶端和服務器之間建立TCP連接時的SYN消息，[SYN,ACK]表示客戶端和服務器建立連接時的服務器的應答，[ACK]表示收到消息的確認，[PSH,ACK]表示發出消息的同時對收到的消息進行確認，[FIN,ACK]表示通信雙方斷開連接；

步驟1.2計算步驟1.1輸出的編碼后數據包的詞頻tf_i,j,tf_i,j代表第i種數據包在第j類網頁流量中的比例，遍歷i和j，又具體包括如下子步驟：

步驟1.2A統計第j類網頁流量中第i種數據包的個數n_i,j；

步驟1.2B統計第j類網頁中的所有數據包個數總和為∑_kn_k,j；

步驟1.2C用第i種數據包的個數n_i,j除以第j類網頁的所有數據包個數，即通過(1)計算第i種數據包在第j類網頁中的詞頻tf_i,j：

其中，k代表第j類網頁中的數據包種數；

步驟1.3計算步驟1.1輸出的編碼后數據包的逆文檔頻率；

特定數據包i在網頁j流量中的計數為|{j:t_i}∈d_j|,所有網頁流量總數為|D|，通過(2)計算第i種數據包的逆文檔頻率idf_i：

其中，log是以10為底的對數操作；

步驟1.4根據步驟1.2和步驟1.3計算得到的詞頻tf_i,j、逆文檔頻率idf_i，通過(3)計算第i種數據包在第j類網頁中的詞頻-逆文檔頻率TI_i,j:

TI_i,j＝tf_i,j×idf_i (3)

步驟1.5根據步驟1.4得到的詞頻-逆文檔頻率TI_i,j,去掉詞頻-逆文檔頻率小于0.00001的數據包，選擇剩下的數據包用作分類；

步驟2、數據包長度-時間戳之差聚類，生成聚類結果，具體為：

步驟2.1提取網頁流量中每條流的第一個上行[PSH,ACK]數據包的長度l_p,所有流的第一個上行[PSH,ACK]數據包長度匯集在一個文件中；

步驟2.2提取每條流的第一個上行[PSH,ACK]數據包的時間戳信息t_u，接著提取每條流的第一個下行[PSH,ACK]數據包的時間戳信息t_d；再將下行[PSH,ACK]數據包的時間戳信息t_d減去上行的時間戳信息t_u的結果作為時間戳之差t，保存所有網絡流的時間戳之差；

步驟2.3將每條流中的第一個上行[PSH,ACK]數據包的長度和時間戳之差保存在一個文件中供聚類使用；

步驟2.4遍歷簇數m從2到q_max，將步驟2.1提取的數據包長度l_p和時間戳之差t進行聚類，生成聚類結果Cm；

其中，q_max代表最大的類簇數量；

q_max＝J×3 (4)

其中，J為要分類網頁的類數；

其中，聚類采用K-Means方法；

聚類結果，記為Cm＝{cent₁,…,cent_m},cent_m代表第m個類簇中心的中心值；

其中，每條流中要參與聚類的元素為(l_p,t)，兩個聚類點clup_a,clup_b之間的距離dis(clup_a,clup_b)采用公式(5)計算：

步驟3計算最優類簇數量，具體為：

步驟3.1遍歷ω基于(6)計算聚類點clup與類簇中心cent_ω的距離和SSE(ω)：

其中,P代表聚類點clup的個數；m的取值范圍為2到q_max；

步驟3.2選擇步驟3.1計算的最小SSE(ω)對應的類簇中心數量為最優類簇數量，此最小的SSE(ω)記為SSE(ω_opt),此最小SSE(ω)對應的最優類簇中心記為Cm(ω_opt)；

步驟4計算加密流量特征，具體包括如下子步驟：

步驟4.1計算步驟1中提取出來的區分度大的數據包的統計特征值(max,min,mean,…,var)；

步驟4.2計算每條流中上行第一個[PSH,ACK]數據包的大小與時間戳之差形成的二元組與步驟3生成的最優類簇中心Cm(ω_opt)之間的距離

其中，步驟4.1的統計特征值(max,min,mean,…，var)與步驟4.2的二元組與類簇中心的距離作為加密流F的特征。