本發明公開了一種基于特征檢索的未知加密協議識別分類方法、設備及介質，屬于網絡安全領域，包括：S1，數據預處理；S2，模型構建、訓練和優化；S3，將模型遷出，去除模型最后的全連接層和輸出層，得到特征提取模型；S4，利用特征提取模型從訓練集中的原始流量數據中提取帶標簽的基準數據特征集；S5，輸入待測樣本并提取其特征向量，在基準數據特征集中檢索與特征向量距離最近的基準特征向量；S6，對向量距離值判斷，并進行模型更新或數據存儲；S7，若所有簇的樣本數量均小于閾值，則重復S5~S7。本發明在不對加密流量進行解密的情況下，自動提取網絡流量特征，提高了效率，實現了對未知加密協議流量的精準識別和合理劃分。

技術領域

本發明涉及網絡安全領域，更為具體的，涉及一種基于特征檢索的未知加密協議識別分類方法、設備及介質。

背景技術

隨著互聯網技術的持續發展，人們生活水平的不斷提高，網絡中涌現出了越來越多的服務和應用，產生了海量的網絡流量數據。與此同時，面對互聯網中不斷爆發的安全事件，用戶愈發在意自身數據安全，網絡服務和應用提供商大量的使用加密協議進行網絡通信，導致網絡中加密數據不斷飆升。近年來，網絡加密技術應用門檻不斷降低，網絡中的一些惡意軟件也開始使用加密協議進行網絡通信。多數時候，考慮到自身利益、安全等因素，各加密協議的協議細節并被公布。為營造清朗網絡空間，提高網絡流量的識別能力，在網絡流量中的對未知加密協議進行識別與分類是十分必要的。

當前，在網絡流量測量領域主要有基于網絡固定端口的技術、基于網絡流量負載分析的技術、基于網絡流量行為的技術以及基于人工智能的網絡流量分析技術。但由于端口復用、非標準協議等技術的興起，基于固定端口的技術的識別效果越來越差。基于負載分析的技術需要先對已知流量做分析，提取已知類別網絡流量載荷中的特定字符串作為特征，然后利用字符串匹配技術與待測流量進行匹配，進而完成流量識別過程，該技術無法應對加密流量和未知流量。

隨著人工智能技術的不斷發展，基于人工智能的未知流量識別方法逐漸成為流量識別領域的一個重要方向。此類方法通常是基于網絡流量的統計特征，然后利用人工智能算法完成對未知網絡流量的識別。例如Erman等人就分別使用了K-Mmeans和DBSCAN算法完成對未知流量的識別，并通過實驗驗證了聚類算法在未知流量識別方面的有效性。幾年來，基于神經網絡的流量識別方法在網絡安全領域掀起了研究熱潮。例如，2019年Zhang等人利用自編碼器和網絡流量自身的約束關系實現了未知流量識別；2020年顧存祥等人提出一種基于自編碼器的網絡流量無監督聚類方法，利用自編碼器和KMeans聚類算法實現了基于網絡流量的未知協議分類與識別；2021年Li等人考慮到現網環境下未知網絡流量識別的效率問題，提出一種輕量級的未知流量識別模型LightSEEN，引入了一維卷積網絡和深度殘差網絡實現了對網絡流量的特征自動提取，并在未知網絡流量識別領域取得了較好的成果；2022年Zhao等人將n-gram方法引入網絡流量預處理，并結合深度神經網絡技術和無監督聚類技術實現了一個用于未知網絡流量識別的無監督方案。上述方法雖然都在未知網絡流量識別領域取得了顯著成果，但仍存在如下問題：

（1）未考慮未知加密網絡流量的情況，特別是網絡加密流量日益飆升的當下，考慮對未知加密網絡流量的識別意義重大；

（2）針對只從提取網絡流量統計特征（宏觀特征）或只從網絡流量本身出發提取特征（微觀特征）的方法，它們均未將網絡流量及其所處網絡環境納入整體考慮，提取的特征具有一定的局限性；

（3）僅識別出網絡中的未知流量，而未對識別出的未知網絡流量做進一步分析。

發明內容

本發明的目的在于克服現有技術的不足，提供一種基于特征檢索的未知加密協議識別分類方法、設備及介質，提高了特征提取工作效率，實現在不對加密流量進行解密的情況下，自動提取網絡流量特征，實現對未知加密協議流量的精準識別和合理劃分，提高了未知加密協議分類效率，增強了識別能力。

本發明的目的是通過以下方案實現的：