本發明涉及一種基于NetFlow數據的特定加密流量識別方法及系統。該方法的步驟包括：利用原始網絡流量生成NetFlow序列；采用雙向LSTM網絡捕獲NetFlow序列的上下文關系；采用注意力機制對NetFlow序列的上下文關系進行注意力權重計算，得到NetFlow序列的特征；利用得到的NetFlow序列的特征識別加密流量。本發明以NetFlow序列作為輸入來保護用戶隱私，利用雙向LSTM網絡盡可能捕獲稀疏流記錄上下文關系，增加注意力機制進行注意力權重計算，對信息進行加權，實現對相關性特征的增強，自動學習流記錄的潛在特征。即使在較低的采樣率下，本發明仍能夠取得較好的加密流量識別效果。

技術領域

本發明屬于網絡安全領域，涉及基于NetFlow數據的VPN加密流量識別技術，具體涉及一種基于NetFlow數據的特定加密流量識別方法及系統。

背景技術

加密流量的識別一直是流量識別領域的研究熱點。虛擬專用網絡(VPN)是一個虛擬網絡，它建立安全和加密的連接，以幫助確保敏感數據的安全傳輸。目前，隨著人們對通信安全的日益重視，VPN技術被廣泛應用于網絡通信中，以滿足不同的安全需求。然而，隨著VPN技術的廣泛應用，也給網絡安全和管理帶來了一些挑戰。一方面，VPN很容易被攻擊者或黑客利用以隱藏其惡意行為，使其難以被發現。另一方面，VPN采用隧道協議和加密技術，使得從其他加密的非VPN流量中檢測VPN流量變得困難。另外，加密VPN流量檢測對傳統的基于端口和基于規則的方法也是一個巨大的挑戰。因此，如何有效地識別VPN流量已經成為網絡管理和網絡空間安全中日益重要和實用的課題。

目前，VPN流量檢測引起了學術界的廣泛關注。目前比較典型的方法是基于機器學習的方法。機器學習方法一般需要選擇有效的特征來檢測VPN流量。然而，這些特征往往是人工提取的，嚴重依賴于專業經驗。而且，這些方法很大程度上依賴于這些特征。一旦特征改變，模型將失敗。為了降低人工構造特征的成本，人們逐漸將深度學習應用于特征的自動學習。目前的深度學習模型雖然取得了很好的效果，但大多傾向于使用原始加密流量或原始加密流量中的信息作為輸入來學習特征。這必然會導致模型投入巨大、耗時過長的問題。同時，捕獲和使用原始流量也會在一定程度上造成用戶隱私問題。為了解決這些問題，可以考慮的另一種方法是使用NetFlow數據，它由Cisco提出，只包含會話級別的統計信息。NetFlow數據對數據包信息進行了匯總和統計，保留了體現流量特征的重要信息，且不涉及用戶隱私，是原始流量的一種有效替代方式。此外，與現有的加密流量識別的相關研究相比，目前利用NetFlow數據進行流量識別的研究還很少。

發明內容

本發明針對上述問題，提供一種基于NetFlow數據的特定加密流量識別方法及系統。

本發明采用的技術方案如下：

一種基于NetFlow數據的特定加密流量識別方法，包括以下步驟：

利用原始網絡流量生成NetFlow序列；

采用雙向LSTM網絡捕獲NetFlow序列的上下文關系；

采用注意力機制對NetFlow序列的上下文關系進行注意力權重計算，得到NetFlow序列的特征；

利用得到的NetFlow序列的特征識別加密流量。

進一步地，所述NetFlow序列包括：單向原始流記錄序列、單向擴充流記錄序列、雙向原始流記錄序列和雙向擴充流記錄序列。

進一步地，各種NetFlow序列的構成如下：

單向原始流記錄序列：{流持續時間,協議,源端口,目的端口,TCP flag,流內包數,流內字節數}；

單向擴充流記錄序列：{流持續時間,協議,源端口,目的端口,TCP flag,流內包數,流內字節數}+{bps,pps,bpp}；