本申請涉及一種流量分類方法、裝置、計算機設備和存儲介質。所述方法包括：獲取網絡數據包，基于所述網絡數據包的五元組重組會話流量；提取會話流量的會話特征，會話特征包括：會話流量中的網絡數據包的時序特征、會話流量中的網絡數據包的字節分布特征、以及會話流量的指定協議字段的協議特征中的至少兩種；基于提取的時序特征、字節分布特征以及協議特征，對雙向網絡流量進行分類。上述流量分類方法，基于提取的時序特征、字節分布特征以及協議特征，對雙向網絡流量進行分類，采用本方法能夠獲得更加準確的識別結果。

技術領域

本申請涉及信息安全技術領域，特別是涉及一種流量分類方法、裝置、計算機設備和存儲介質。

背景技術

隨著互聯網的高速發展，為了保護企業網絡通信的安全，網絡通信已經大量使用安全套接字協議(SSL)等加密技術對網絡流量進行加密，與此同時，也使得對網絡惡意流量的識別難度加深。

基于此，傳統技術中，存在一種基于卷積神經網絡(CNN)的加密流量檢測方法，這種方法將加密流量按照五元組重組成會話，并直接將會話中所有數據包中的字節映射到一個像素點，從而將會話轉換為圖片并使用深度卷積神經網絡來訓練分類模型，實現對加密惡意流量的識別。

然而這種把一個網絡會話中所有字節看成連續的字節流的基于卷積神經網絡的方法無法精確的提取加密流量的特征，導致不能達到最好的檢測效果。

發明內容

基于此，有必要針對上述技術問題，提供一種能夠提高網絡流量識別精確度的流量分類方法、裝置、計算機設備和存儲介質。

一種流量分類方法，所述方法包括：

獲取網絡數據包，基于所述網絡數據包的五元組重組會話流量；

提取所述會話流量的會話特征，所述會話特征包括：所述會話流量中的網絡數據包的時序特征、所述會話流量中的網絡數據包的字節分布特征、以及所述會話流量的指定協議字段的協議特征中的至少兩種；

基于提取的所述時序特征、所述字節分布特征以及所述協議特征，對所述雙向網絡流量進行分類。

在其中一個實施例中，基于所述網絡數據包的五元組重組會話流量之后，提取所述會話流量的會話特征之前，包括：

去除所述會話流量中的重復的網絡數據包和/或空應用載荷的網絡數據包。

在其中一個實施例中，提取所述會話流量中的網絡數據包的時序特征之前，還包括：

將所述會話流量中的網絡數據包的五元組中的源IP地址以及目的IP地址替換為相同的字符；

按照設定的字節長度對替換字符后的網絡數據包進行截斷或補全；

對所述會話流量中的網絡數據包的每個字節進行獨熱編碼。

在其中一個實施例中，提取所述會話流量中的網絡數據包的字節分布特征之前，包括：

將所述會話流量按照設定的字節長度進行截斷或補全。

在其中一個實施例中，提取所述會話流量中的網絡數據包的字節分布特征，包括：

對所述會話流量中的每個字節進行獨熱編碼，使用自編碼網絡對所述獨熱編碼的編碼結果進行特征提取，獲得所述自編碼網絡輸出的字節分布特征。

在其中一個實施例中，提取所述會話流量中的網絡數據包的時序特征，包括：

使用卷積神經網絡的全卷積層對每個獨熱編碼后的網絡數據包進行特征提取，獲得所述卷積神經網絡的全卷積層輸出的序列特征；

使用長短記憶模型從所述序列特征中提取時序特征。

在其中一個實施例中，包括：