本發明涉及加密流量識別領域，具體涉及一種面向類別不平衡下的SSLVPN加密流量識別分類方法，針對傳統方法在處理不平衡的海量高維數據時存在特征提取困難、檢測率低的問題。采用基于改進的C?SMOTE(Centroid?SMOTE)算法，平衡原始數據集，解決樣本數據集不平衡造成的模型欠擬合或過擬合問題。在平衡數據集后利用基于注意力機制改進的CNN網絡流量識別模型，識別SSLVPN流量，并用深度可分離卷積替代傳統卷積，減少網絡參數和計算復雜度，至少包括：獲取數據集、平衡數據集、數據預處理、SSLVPN加密流量識別分類模型、分類SSLVPN加密流量和指標結果分析幾個步驟。

技術領域

本發明涉及加密流量識別領域，具體地說，是一種面向類別不平衡下的SSL VPN加密流量識別分類方法。

背景技術

在遠程作業、遠程辦公成為企業和政府的常態后，SSL VPN因其靈活性、易于維護管理、成本低等優勢，在網絡流量中的占比日益增加，但這也給了其他人可乘之機。

發明內容

本發明針對現有技術中的不足，提供一種面向類別不平衡下的SSL VPN加密流量識別分類方法，采用基于改進的C-SMOTE(Centroid-SMOTE)算法，平衡原始數據集，解決樣本數據集不平衡造成的模型欠擬合或過擬合問題。在平衡數據集后進行數據預處理，然后利用基于注意力機制改進的CNN網絡流量識別模型，識別分類SSL VPN流量，并用深度可分離卷積替代傳統卷積，減少網絡參數和計算復雜度。所提方法不僅解決了傳統方法在處理不平衡的海量高維數據時存在特征提取困難、檢測率低的問題，同時改進后的深度學習模型能提取網絡流量中具有非常顯著性的細粒度的特征，更有效地捕捉網絡流量中存在的依賴性，還能減少網絡參數和計算復雜度。

為了達到上述目的，本發明采用以下技術方案：

一種面向類別不平衡下的SSL VPN加密流量識別分類方法，包括以下步驟：

步驟一、獲取數據集：捕獲網絡數據流量，生成會話，通過五元組對網絡數據流量過濾分流并獲取原始實驗數據集；

步驟二、平衡數據集：采用基于改進的C-SMOTE算法，對原始實驗數據集進行處理；

步驟三、數據預處理：讀取數據流，截取一定長度的字節，并進行歸一化處理，然后將SSL VPN流量實驗數據集分為訓練集和測試集兩部分；

步驟四、SSL VPN加密流量識別分類模型：在傳統的一維CNN網絡流量模型中引入注意力機制，然后用深度可分離卷積替代傳統卷積；

步驟五、分類SSL VPN加密流量：將經過步驟三處理后的數據集輸入到基于注意力機制改進的CNN網絡流量識別模型，識別分類SSL VPN加密流量；

步驟六、對獲得的指標結果分析，并選取參數，優化加密流量識別方法。

本發明的進一步改進，所述步驟一中獲取數據集的具體內容和方法是：定義 TCP流為以握手協議中的SYN標志位開始，并且以FIN標志位或以RST標志位結尾的TCP雙向流；定義UDP流為以第一個數據包到達為開始，如果兩個數據包到達的時間間隔超過一分鐘，則認為數據流結束，新數據流的開始。

本發明的進一步改進，所述步驟二中所述平衡數據集，具體內容和過程為：計算原始數據集中每類樣本的數量，分離原始實驗數據集中的多數類和少數類樣本，然后設定多數類樣本與少數類樣本的比值不大于10，計算出所需生成的少數類樣本數量；計算少數類樣本的質心；以質心為端點，根據插值的方法生成新樣本，重復此過程，直到新生成的少數類樣本略多于需要的少數類樣本；將包含新生成樣本的少數類樣本設為S，篩選出邊界模糊樣本并刪除，直至符合設定的少數類樣本數量。