本發(fā)明公開了一種基于混合特征的加密流量分類方法，包括以下步驟：數(shù)據(jù)集采集、數(shù)據(jù)預(yù)處理、搭建CNN模型、CNN自動提取特征、提取流級特征、組合特征、SVM輸出分類結(jié)果。本發(fā)明分別從一維空間中提取出流的具體特征和從二維空間中提取出流的抽象特征，組成了混合特征，提升了特征結(jié)構(gòu)的復(fù)雜性，有效的提高了加密流量分類的準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)流量分類方法，尤其涉及一種基于混合特征的加密流量分類方法。

背景技術(shù)

網(wǎng)絡(luò)流量的精準(zhǔn)識別與分類是網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理的重要前提，有助于提升網(wǎng)絡(luò)管理與安全監(jiān)測水平，改善服務(wù)質(zhì)量。近年來，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，流量加密技術(shù)得到了廣泛應(yīng)用。越來越多的網(wǎng)絡(luò)應(yīng)用采用加密協(xié)議保證信息在網(wǎng)絡(luò)中傳輸?shù)陌踩裕惨欢ǔ潭壬媳ＷC了私人信息的機(jī)密性與完整性。2015年，有21％的網(wǎng)站流量被加密，截至2019年，有超過80％的網(wǎng)站流量被加密，同比增長了90％以上。但網(wǎng)絡(luò)攻擊也以加密流量的隱蔽性為載體，威脅網(wǎng)絡(luò)安全。2018年思科公司對超過40萬的惡意軟件進(jìn)行了分析，發(fā)現(xiàn)其中有超過70％的惡意軟件在通信時(shí)使用了加密。現(xiàn)有以僵尸網(wǎng)絡(luò)、高級持續(xù)性威脅(APT)、木馬等為主要形式的網(wǎng)絡(luò)攻擊往往采用了相關(guān)隱匿技術(shù)繞過安全設(shè)備入侵系統(tǒng)。因此對加密流量的識別已經(jīng)成為防御網(wǎng)絡(luò)攻擊的重點(diǎn)。

流量分類模型已被廣泛應(yīng)用于從大規(guī)模網(wǎng)絡(luò)流量中自動識別異常流量。這些模型可以分為四類：基于端口的分類方法，深度包檢查(DPI)，統(tǒng)計(jì)分類方法和行為分類方法。基于端口的方法對于具有特定端口號的應(yīng)用程序(例如，具有端口21的FTP流量)的分類性能很好，但是由于隨機(jī)端口和端口偽裝技術(shù)的普遍使用，基于端口的方法對加密流量分類的精確率低，已不再適用于加密流量的分類。DPI分析整個(gè)數(shù)據(jù)包數(shù)據(jù)，然后識別其網(wǎng)絡(luò)協(xié)議和應(yīng)用程序。因?yàn)榱髁控?fù)載數(shù)據(jù)通常用協(xié)議加密或封裝，包含較少的恒定特征，使得DPI在加密流量分類任務(wù)中不再可行。基于統(tǒng)計(jì)的方法和基于行為的方法是當(dāng)前加密流量分類任務(wù)中使用的主要方法。這兩種方法都是淺層學(xué)習(xí)機(jī)器學(xué)習(xí)的方法，其一般工作流程如下：首先手工設(shè)計(jì)特征(如流級特征或分組特征)，然后從原始流量中提取和選擇合適特征，最后用人工設(shè)計(jì)的分類器(如決策樹、樸素貝葉斯，隨機(jī)森林和支持向量機(jī)等)對流量進(jìn)行分類。然而，這些方法極大地依賴于特征選擇和人工提取特征的準(zhǔn)確性，并且分類準(zhǔn)確率不高，這也是目前在加密流量分類中淺層機(jī)器學(xué)習(xí)方法所遇到的瓶頸之一。

發(fā)明內(nèi)容

發(fā)明目的：本發(fā)明的目的在于提供一種有效提高加密流量分類準(zhǔn)確率的基于混合特征的加密流量分類方法。

技術(shù)方案：本發(fā)明的基于混合特征的加密流量分類方法，包括以下步驟：

(1)從網(wǎng)絡(luò)數(shù)據(jù)流中進(jìn)行數(shù)據(jù)采集；

(2)對采集的數(shù)據(jù)進(jìn)行預(yù)處理；

(3)搭建卷積神經(jīng)網(wǎng)絡(luò)模型；

(4)將預(yù)處理后的數(shù)據(jù)輸入卷積神經(jīng)網(wǎng)絡(luò)模型，提取出一維高層抽象特征向量V1；

(5)將預(yù)處理后的數(shù)據(jù)提取出一維流級特征向量V2；

(6)將一維高層抽象特征向量V1和一維流級特征向量V2進(jìn)行組合，生成混合特征向量；

(7)將混合特征向量導(dǎo)入SVM中進(jìn)行訓(xùn)練，并輸出分類結(jié)果。

進(jìn)一步地，步驟(1)中，所述數(shù)據(jù)采集是使用Wireshark進(jìn)行流量的捕獲并生成原始PCAP文件，再按照五元組對捕獲的流量包進(jìn)行分流，形成原始實(shí)驗(yàn)數(shù)據(jù)集。

進(jìn)一步地，步驟(2)中，所述預(yù)處理是保留含有有效負(fù)載的數(shù)據(jù)流，并對少于m個(gè)字節(jié)的數(shù)據(jù)流進(jìn)行補(bǔ)零，對超過的m個(gè)字節(jié)的數(shù)據(jù)流進(jìn)行截?cái)啵瑢⑻幚砗玫臄?shù)據(jù)流進(jìn)行歸一化并生成k*k的包字節(jié)矩陣，最終制作成灰度圖像集。

進(jìn)一步地，步驟(3)中，所述搭建卷積神經(jīng)網(wǎng)絡(luò)模型是基于三個(gè)卷積層，兩個(gè)最大池化層與全連接層搭建模型，其中結(jié)構(gòu)為卷積C1-池化S2-卷積C3-池化S4-卷積C5-全連接F6。