本發(fā)明提供一種基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法及裝置，該方法包括：在每一條加密流量中采樣預(yù)設(shè)數(shù)量的數(shù)據(jù)包；將采樣得到的數(shù)據(jù)包作為字節(jié)流，任意相連兩個(gè)字節(jié)作為一個(gè)字節(jié)對(duì)，并確定所有字節(jié)對(duì)的頻率特征；將所有字節(jié)對(duì)的頻率特征，輸入預(yù)訓(xùn)練的卷積神經(jīng)網(wǎng)絡(luò)模型，輸出每一條加密流量的數(shù)據(jù)流類型。該方法對(duì)加密流量的原始字節(jié)信息采用基于頻率特征的表示，而非原始字節(jié)直接構(gòu)造輸入特征，從而使卷積神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)效果加強(qiáng)，分類準(zhǔn)確度更高。此外，采樣的數(shù)據(jù)包數(shù)量可以根據(jù)實(shí)際流量捕獲情況調(diào)整，而不需要重新設(shè)計(jì)網(wǎng)絡(luò)模型的結(jié)構(gòu)，具有更好的適用性。由于采用了字節(jié)對(duì)的頻率特征，從而分類所需數(shù)據(jù)包少，有利于數(shù)據(jù)分類的實(shí)時(shí)性。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法及裝置。

背景技術(shù)

隨著虛擬專用網(wǎng)絡(luò)(VPN)在校園網(wǎng)和企業(yè)網(wǎng)絡(luò)中的應(yīng)用，用戶能夠依靠加密協(xié)議來保障自己的信息不被窺探，在此種背景下，大量的加密流量在網(wǎng)絡(luò)上傳輸，加密流量逐漸成為網(wǎng)絡(luò)流量不可忽視的一部分。但加密流量為這些網(wǎng)絡(luò)的出口路由器的流量管控帶來了難度，如加密后的P2P傳輸難以被路由器察覺，會(huì)占用大量帶寬，很難實(shí)施針對(duì)性的控制策略；另一方面，加密通信的隱私性也保護(hù)了惡意軟件和不法分子，使其惡意行為得以繞過校園網(wǎng)和企業(yè)網(wǎng)絡(luò)的安全檢測(cè)，為這些網(wǎng)絡(luò)帶來了很大的安全隱患。因此，如何分類虛擬專用網(wǎng)絡(luò)的加密流量成為網(wǎng)絡(luò)技術(shù)領(lǐng)域的關(guān)鍵問題。

現(xiàn)有技術(shù)嘗試使用基于人工提取特征與機(jī)器學(xué)習(xí)的加密流量分類方法，但加密流量可用特征少，人工提取特征不能獲得高分類準(zhǔn)確度。一些依靠時(shí)間特性進(jìn)行分類的方法很容易受到干擾流量的影響，導(dǎo)致分類錯(cuò)誤。這種背景下，一些依靠深度學(xué)習(xí)的分類方法開始涌現(xiàn)，深度學(xué)習(xí)具有自動(dòng)表征的能力，能夠從加密后的數(shù)據(jù)中找到自行學(xué)習(xí)特征，對(duì)同類輸入具有普遍適用性。

當(dāng)前的大多數(shù)基于深度學(xué)習(xí)的加密流量分類技術(shù)致力于提高加密流量分類的準(zhǔn)確度，而忽略了技術(shù)是否適用于實(shí)時(shí)分類，實(shí)時(shí)分類是QoS中流量分類的重要應(yīng)用場(chǎng)景。實(shí)時(shí)分類首先要求在加密傳輸?shù)某跏茧A段，只采樣少量數(shù)據(jù)就可進(jìn)行準(zhǔn)確分類。其次，現(xiàn)有技術(shù)在采樣加密流量時(shí)，受限于已訓(xùn)練好的卷積神經(jīng)網(wǎng)絡(luò)模型，都使用固定長(zhǎng)度的采樣，無法根據(jù)實(shí)際捕獲情況實(shí)時(shí)調(diào)整采樣長(zhǎng)度，適用性差。

目前的方法，主要使用固定長(zhǎng)度的采樣策略，在模型訓(xùn)練后無法調(diào)整采樣范圍，缺乏靈活性，分類準(zhǔn)確度低。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)存在的問題，本發(fā)明提供一種基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法及裝置。

本發(fā)明提供一種基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法，包括：在每一條加密流量中采樣預(yù)設(shè)數(shù)量的數(shù)據(jù)包；將采樣得到的數(shù)據(jù)包作為字節(jié)流，任意相連兩個(gè)字節(jié)作為一個(gè)字節(jié)對(duì)，并確定所有字節(jié)對(duì)的頻率特征；將所有字節(jié)對(duì)的頻率特征，輸入預(yù)訓(xùn)練的卷積神經(jīng)網(wǎng)絡(luò)模型，輸出每一條加密流量的數(shù)據(jù)流類型；其中，所述預(yù)訓(xùn)練的卷積神經(jīng)網(wǎng)絡(luò)模型，根據(jù)已知數(shù)據(jù)流類型作為標(biāo)簽的加密流量，經(jīng)采樣和提取頻率特征后訓(xùn)練得到。

根據(jù)本發(fā)明一個(gè)實(shí)施例的基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法，所述確定所有字節(jié)對(duì)的頻率特征，包括：根據(jù)含有任一字節(jié)對(duì)的采樣數(shù)據(jù)包個(gè)數(shù)和數(shù)據(jù)包總數(shù)，確定對(duì)應(yīng)字節(jié)對(duì)的普遍性權(quán)重；根據(jù)所述普遍性權(quán)重對(duì)每一字節(jié)對(duì)的次數(shù)頻率加權(quán)后，得到字節(jié)對(duì)的頻率特征。

根據(jù)本發(fā)明一個(gè)實(shí)施例的基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法，所述根據(jù)含有任一字節(jié)對(duì)的采樣數(shù)據(jù)包個(gè)數(shù)和數(shù)據(jù)包總數(shù)，確定對(duì)應(yīng)字節(jié)對(duì)的普遍性權(quán)重，包括：

其中，p_b為采樣數(shù)據(jù)包中字節(jié)對(duì)b的個(gè)數(shù)，n為采樣數(shù)據(jù)包總數(shù)。

根據(jù)本發(fā)明一個(gè)實(shí)施例的基于卷積神經(jīng)網(wǎng)絡(luò)的加密流量實(shí)時(shí)分類方法，所述從每一加密流量中采樣預(yù)設(shè)數(shù)量的數(shù)據(jù)包之前，還包括：根據(jù)源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議，確定每一條加密流量。