本發明為克服深度學習將網絡流量轉換為二維圖片導致存在分類效果較弱的缺陷，提出一種基于深度學習和序列化特征的網絡應用識別方法及系統，其中方法包括以下步驟：提取未知網絡應用服務流量中的會話流，對會話流進行數據預處理；從會話流中提取序列特征，得到一組完整的反映網絡應用流量特性的時序特征數據；將時序特征數據輸入神經網絡分類模型，得到未知網絡應用服務流量的識別結果。本發明通過從會話流中提取序列特征信息，再通過一維的神經網絡進行深度學習及分類，利用流量數據為一維數據的特征，有效提高網絡應用識別的準確率。

技術領域

本發明涉及網絡流量分析技術領域，更具體地，涉及一種基于深度學習和序列化特征的網絡應用識別方法及系統。

背景技術

隨著各種數據傳輸加密技術的廣泛應用，流量加密已成為當前網絡應用的事實標準做法，尤其是各類惡意軟件為逃避防火墻和入侵檢測系統的檢測，紛紛采用TLS等技術對其通信流量進行加密，這些做法使傳統分類器難以識別其中加密字段的數據，導致一些惡意軟件達到其攻擊目的。因此，如何將加密流量分類至具體的某個網絡應用有著重大的意義。

目前，網絡應用分類使用較多的是基于傳統機器學習的分類方法，這些方法主要依賴于從整個網絡流中獲得的統計特征，且不適用于早期分類。近年來深度學習的方法也在流量分類領域顯示出潛力，但目前的研究都是直接將流量轉換為二維圖片，沒有利用流量是一維序列數據這一特點，因此分類效果較弱。

發明內容

本發明為克服上述現有技術中深度學習將網絡流量轉換為二維圖片導致存在分類效果較弱的缺陷，提供一種基于深度學習和序列化特征的網絡應用識別方法，以及一種基于深度學習和序列化特征的網絡應用識別系統。

為解決上述技術問題，本發明的技術方案如下：

一種基于深度學習和序列化特征的網絡應用識別方法，包括以下步驟：

S1：提取未知網絡應用服務流量中的會話流，對所述會話流進行數據預處理；

S2：從所述會話流中提取序列特征，得到一組完整的反映網絡應用流量特性的時序特征數據；

S3：將所述時序特征數據輸入神經網絡分類模型，得到未知網絡應用服務流量的識別結果。

作為優選方案，對所述會話流進行數據預處理的步驟包括：

S11：將原始網絡應用服務流量中的會話流切分為會話數據集；

S12：從所述會話數據集中提取會話中每條流量的數據流負載信息作為有效載荷字節并保存；

S13：選取獨熱編碼方式，將所述會話數據集中的明文數據對應的有效載荷字節編碼為獨熱數據形式。

作為優選方案，所述原始網絡應用服務流量中的會話流以會話作為切分的基本單元。

作為優選方案，所述會話包括具有相同五元組的所有包，所述五元組包括源IP、源端口、目的IP、目的端口和傳輸層協議。

作為優選方案，從所述會話流中提取序列特征的步驟包括：

S21：采用雙向LSTM網絡對經過數據預處理且經過獨熱編碼的明文數據包進行學習，得到每個明文數據包對應的載荷特征向量；

S22：將經過數據預處理的密文數據包進行統計特征提取，將得到的統計特征向量和所述載荷特征向量排列得到時序特征數據；所述統計特征包括密文數據包的包大小及包間隔時間。

作為優選方案，所述雙向LSTM網絡包括依次連接的兩個LSTM層，以及全連接層，其中，所述兩個LSTM層依次從正向和反向掃描序列；所述全連接層采用ReLU函數作為激活函數，并采用Dropout機制丟失50％的特征。