本發(fā)明公開了一種網(wǎng)絡(luò)加密流量分層分類方法及裝置，該方法包括：獲取流量數(shù)據(jù)并存入原始流量數(shù)據(jù)集中；對(duì)現(xiàn)有網(wǎng)絡(luò)協(xié)議加密流量分層分類模型進(jìn)行分析，選擇一個(gè)未完成全部加密網(wǎng)絡(luò)協(xié)議分類的節(jié)點(diǎn)，從原始流量數(shù)據(jù)集中提取出相應(yīng)未分類流量數(shù)據(jù)，構(gòu)建訓(xùn)練數(shù)據(jù)集；以訓(xùn)練數(shù)據(jù)集訓(xùn)練分類模型，將訓(xùn)練所得的分類模型參數(shù)保存至現(xiàn)有網(wǎng)絡(luò)協(xié)議加密流量分層分類模型中，并保存對(duì)流量數(shù)據(jù)的預(yù)處理步驟；基于用戶分類需求，利用已訓(xùn)練分層分類模型進(jìn)行加密流量分類。本發(fā)明解決了高速網(wǎng)絡(luò)環(huán)境中，用戶需求不斷變化過程中，如何對(duì)多個(gè)協(xié)議流量混合的復(fù)雜網(wǎng)絡(luò)流量，按照協(xié)議的不同進(jìn)行分類的問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)流處理技術(shù)領(lǐng)域，特別涉及一種網(wǎng)絡(luò)加密流量分層分類方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)空間與人類生產(chǎn)生活的聯(lián)系越來越密切，網(wǎng)絡(luò)空間已經(jīng)成為陸、海、空、天之后的第五疆域，網(wǎng)絡(luò)空間治理是關(guān)系國家安全和社會(huì)穩(wěn)定的重大需求。網(wǎng)絡(luò)信息傳輸基本方式是通過網(wǎng)絡(luò)報(bào)文的形式，在網(wǎng)絡(luò)設(shè)備之間進(jìn)行通信，利用不同的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)不同的網(wǎng)絡(luò)內(nèi)容的傳輸。在混合加密流量中識(shí)別出不同流量協(xié)議是對(duì)網(wǎng)絡(luò)流量治理的基礎(chǔ)，通過識(shí)別不同協(xié)議的流量，在防火墻、網(wǎng)絡(luò)態(tài)勢感知、用戶上網(wǎng)行為管理等網(wǎng)絡(luò)用戶的行為精細(xì)化管理應(yīng)用中得到廣泛應(yīng)用。

網(wǎng)絡(luò)加密流量分類已經(jīng)有多年的研究基礎(chǔ)，現(xiàn)有網(wǎng)絡(luò)加密流量分類方法基本可以分為4類：基于協(xié)議端口的網(wǎng)絡(luò)協(xié)議分類，由于大量新協(xié)議支持端口混淆，該方法準(zhǔn)確率較低；基于深度報(bào)文檢測(DPI)的協(xié)議分類，由于加密算法在網(wǎng)絡(luò)協(xié)議中的大量應(yīng)用，深度報(bào)文檢測無法分析加密內(nèi)容，只能分析少量協(xié)議；基于用戶行為的協(xié)議分類，該方法需要對(duì)用戶行為進(jìn)行統(tǒng)計(jì)分析，所收集的網(wǎng)絡(luò)加密流量需要只包含單一用戶單一應(yīng)用的加密流量，具有較高局限性。基于流特征的網(wǎng)絡(luò)協(xié)議分類，該方法基于網(wǎng)絡(luò)加密流量的統(tǒng)計(jì)特征，利用機(jī)器學(xué)習(xí)手段進(jìn)行分類，該方法需要一定量具有不同協(xié)議標(biāo)簽的數(shù)據(jù)進(jìn)行訓(xùn)練。具有較好的研究前景。

當(dāng)前基于網(wǎng)絡(luò)加密流量統(tǒng)計(jì)特征的分類研究較多，根據(jù)加密流量特征提取方式的不同區(qū)分主要有兩類方法組成。一種是，以傳統(tǒng)方法計(jì)算協(xié)議統(tǒng)計(jì)特征，再利用機(jī)器學(xué)習(xí)算法對(duì)不同協(xié)議加密流量進(jìn)行分類的方法。當(dāng)前已有多種統(tǒng)計(jì)方法對(duì)網(wǎng)絡(luò)加密流量進(jìn)行特征提取，可以從一個(gè)會(huì)話中提取百余維特征。學(xué)者們主要研究基于這些特征采用各類的算法區(qū)分不同的協(xié)議流量，如Sun等人提出使用增強(qiáng)支持向量機(jī)(ISVM)模型，解決協(xié)議更新時(shí)需要重新訓(xùn)練模型的問題。Muehlstein等人提出了一系列新的流量統(tǒng)計(jì)特征，使用了具有徑向基函數(shù)(RBF)的支持向量機(jī)(SVM)用作流量分類器。Taylor等人提出了使用網(wǎng)絡(luò)會(huì)話浪涌期特征，通過統(tǒng)計(jì)浪涌期包長凸顯協(xié)議統(tǒng)計(jì)特征。該類方法需要根據(jù)協(xié)議種類的不同選擇不同的統(tǒng)計(jì)特征，在協(xié)議種類發(fā)生變化時(shí)需要重新選擇并訓(xùn)練模型。并且，很多的統(tǒng)計(jì)特征需要緩存整個(gè)會(huì)話后才能計(jì)算，會(huì)消耗大量資源。

另一種方法，利用深度學(xué)習(xí)算法如卷積神經(jīng)網(wǎng)絡(luò)，自動(dòng)從原始網(wǎng)絡(luò)流量中提取特征，之后利用多種的網(wǎng)絡(luò)層疊加完成協(xié)議流量的分類。如Bu等人提出使用深度平行網(wǎng)絡(luò)代替?zhèn)鹘y(tǒng)卷積神經(jīng)網(wǎng)絡(luò)對(duì)流量會(huì)話進(jìn)行特征提取，實(shí)現(xiàn)了對(duì)加密網(wǎng)絡(luò)流量的分類。zhang等人^]提出使用深度自動(dòng)編碼器，自動(dòng)從網(wǎng)絡(luò)流量中提取協(xié)議特征并完成分類。

上述各類方法使用了不同的網(wǎng)絡(luò)協(xié)議特征采集方法，利用多種分類算法解決了不同的網(wǎng)絡(luò)協(xié)議流量分類需求，具有一定的實(shí)際意義。

當(dāng)前此領(lǐng)域中沒有利用多種分類算法對(duì)網(wǎng)絡(luò)協(xié)議加密流量進(jìn)行分類的模型。現(xiàn)有方法中，部分算法利用已有的網(wǎng)絡(luò)會(huì)話統(tǒng)計(jì)特征，通過支持向量機(jī)、樸素貝葉斯等算法，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)協(xié)議的分類。另一部分算法，通過對(duì)一個(gè)會(huì)話中網(wǎng)絡(luò)包的抽取與排列，利用卷積神經(jīng)網(wǎng)絡(luò)、自動(dòng)編碼器等方法，實(shí)現(xiàn)對(duì)協(xié)議特征的自動(dòng)抽取，并完成對(duì)網(wǎng)絡(luò)協(xié)議流量的分類。