本發(fā)明公開(kāi)了一種基于直推圖的加密流量識(shí)別與分類(lèi)方法及系統(tǒng)。本方法包括：首先，收集已知網(wǎng)絡(luò)環(huán)境下已知類(lèi)別的加密流量數(shù)據(jù)與跨網(wǎng)環(huán)境下未知標(biāo)簽信息的加密流量數(shù)據(jù)；然后，收集到的網(wǎng)絡(luò)流量數(shù)據(jù)分割為單個(gè)網(wǎng)絡(luò)會(huì)話；聚合具有相同地址信息的會(huì)話，形成會(huì)話簇集合；然后，以會(huì)話簇集合中的會(huì)話簇為結(jié)點(diǎn)單位，計(jì)算結(jié)點(diǎn)之間的特征相似度，構(gòu)建結(jié)點(diǎn)之間的關(guān)系邊；以結(jié)點(diǎn)信息與結(jié)點(diǎn)之間的關(guān)系邊構(gòu)建直推圖；然后，通過(guò)迭代的“聚合擴(kuò)散”的圖推理算法預(yù)測(cè)未知結(jié)點(diǎn)的類(lèi)別信息。本發(fā)明可以在網(wǎng)絡(luò)流量訓(xùn)練樣本多樣性不足的情況下，高效穩(wěn)定地識(shí)別與分類(lèi)通用網(wǎng)絡(luò)下收集的網(wǎng)絡(luò)應(yīng)用流量，并識(shí)別出訓(xùn)練集合中未包含的新類(lèi)網(wǎng)絡(luò)應(yīng)用流量數(shù)據(jù)。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)流量管理領(lǐng)域，涉及加密網(wǎng)絡(luò)流量識(shí)別和分類(lèi)技術(shù)，具體涉及一種基于直推圖的加密流量識(shí)別與分類(lèi)方法及系統(tǒng)。

背景技術(shù)

加密流量識(shí)別和分類(lèi)技術(shù)是網(wǎng)絡(luò)流量管理技術(shù)的主要分支之一。該技術(shù)通過(guò)收集不同網(wǎng)絡(luò)應(yīng)用產(chǎn)生的流量數(shù)據(jù)，建立對(duì)不同類(lèi)別網(wǎng)絡(luò)應(yīng)用流量的識(shí)別模型，以識(shí)別和分類(lèi)待測(cè)流量歸屬的網(wǎng)絡(luò)應(yīng)用。隨著對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密體系的逐漸成熟，網(wǎng)絡(luò)流量普遍采用標(biāo)準(zhǔn)的TLS/SSL加密技術(shù)進(jìn)行數(shù)據(jù)加密，這使得原本以明文傳輸?shù)臄?shù)據(jù)變得不透明，傳統(tǒng)的基于深度包檢測(cè)的網(wǎng)絡(luò)流量檢測(cè)與分類(lèi)方法不再適用于當(dāng)前的應(yīng)用場(chǎng)景。新型的加密流量分類(lèi)技術(shù)借鑒機(jī)器學(xué)習(xí)與深度學(xué)習(xí)強(qiáng)大的表征能力，使用加密流量的側(cè)信道特征作為訓(xùn)練樣本建立加密網(wǎng)絡(luò)流量的識(shí)別與分類(lèi)模型。這類(lèi)新型的加密流量分類(lèi)技術(shù)提取加密網(wǎng)絡(luò)會(huì)話的統(tǒng)計(jì)特征或時(shí)序特征等，包括會(huì)話包大小，頻率分布，時(shí)間序列等側(cè)信道信息，作為會(huì)話的表征向量，學(xué)習(xí)不同網(wǎng)絡(luò)應(yīng)用流量的特征分布，以識(shí)別和分類(lèi)不同應(yīng)用的加密流量。

由于側(cè)信道信息與學(xué)習(xí)模型的局限性，目前主流的智能加密流量識(shí)別分類(lèi)技術(shù)并不能很好地應(yīng)用于實(shí)際部署。目前的加密流量識(shí)別與分類(lèi)技術(shù)的訓(xùn)練用料是加密流量的側(cè)信道信息，在不同網(wǎng)絡(luò)環(huán)境下的側(cè)信道信息是不穩(wěn)定的，這導(dǎo)致了模型學(xué)習(xí)到的單一分布無(wú)法適應(yīng)收到擾動(dòng)的側(cè)信道特征分布。目前的加密流量識(shí)別與分類(lèi)模型的訓(xùn)練和測(cè)試方法是——在已知的單一網(wǎng)絡(luò)環(huán)境下初始化模型，初始化后的模型在不同的網(wǎng)絡(luò)環(huán)境下部署測(cè)試，這同樣導(dǎo)致了模型學(xué)習(xí)到的單一分布無(wú)法適應(yīng)收到擾動(dòng)的側(cè)信道特征分布。因此，新型智能加密流量識(shí)別和分類(lèi)技術(shù)存在著以下難以解決的挑戰(zhàn)：由于網(wǎng)絡(luò)拓?fù)浼軜?gòu)的復(fù)雜性與不確定性，目前的加密流量識(shí)別與分類(lèi)技術(shù)無(wú)法保證穩(wěn)定的普適性。不同網(wǎng)絡(luò)環(huán)境下，由于存在不可預(yù)知的網(wǎng)絡(luò)波動(dòng)，網(wǎng)絡(luò)延遲，網(wǎng)絡(luò)帶寬與拓?fù)浣Y(jié)構(gòu)，來(lái)自同一網(wǎng)絡(luò)應(yīng)用的加密流量在同組特征向量下的特征分布容易受到干擾，不穩(wěn)定的特征分布使得目前的在單一網(wǎng)絡(luò)下初始化的加密流量識(shí)別與分類(lèi)模型無(wú)法達(dá)到穩(wěn)定的識(shí)別和分類(lèi)效果。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于直推圖的加密流量識(shí)別與分類(lèi)方法，重點(diǎn)利用設(shè)計(jì)的直推圖推理算法，將已知標(biāo)簽的加密流量簇結(jié)點(diǎn)的標(biāo)簽信息擴(kuò)散到未知標(biāo)簽的加密流量簇結(jié)點(diǎn)，從而分類(lèi)待測(cè)加密流量所屬的網(wǎng)絡(luò)應(yīng)用。

本發(fā)明采用的技術(shù)方案如下：

一種基于直推圖的加密流量識(shí)別與分類(lèi)方法，包括以下步驟：

對(duì)于不同網(wǎng)絡(luò)環(huán)境下的加密流量，分別使用地址特征進(jìn)行聚合，形成加密流量會(huì)話簇結(jié)點(diǎn)集合；

通過(guò)計(jì)算加密流量會(huì)話簇結(jié)點(diǎn)集合中的結(jié)點(diǎn)之間的特征相似度構(gòu)建結(jié)點(diǎn)之間的關(guān)系邊，形成初始化的直推圖；

對(duì)于初始化的直推圖中的跨域結(jié)點(diǎn)，修正其真實(shí)的類(lèi)別信息，以更新初始化的直推圖；

將直推圖中已知標(biāo)簽的結(jié)點(diǎn)標(biāo)簽擴(kuò)散到未知標(biāo)簽的結(jié)點(diǎn)標(biāo)簽中，從而實(shí)現(xiàn)待測(cè)加密流量的識(shí)別與分類(lèi)。

進(jìn)一步地，上述基于直推圖的加密流量識(shí)別與分類(lèi)方法，包括加密流量直推圖的構(gòu)建算法和基于直推圖的迭代“聚合擴(kuò)散”圖推理算法。通過(guò)加密流量直推圖的構(gòu)建算法構(gòu)建加密流量直推圖，通過(guò)基于直推圖的迭代“聚合擴(kuò)散”圖推理算法將直推圖中已知標(biāo)簽的結(jié)點(diǎn)標(biāo)簽擴(kuò)散到未知標(biāo)簽的結(jié)點(diǎn)標(biāo)簽中，從而實(shí)現(xiàn)待測(cè)加密流量的識(shí)別與分類(lèi)。

進(jìn)一步地，所述加密流量直推圖的構(gòu)建算法包括以下步驟：