加密流量分类方法、装置、电子设备和计算机可读介质

本公开的实施例涉及网络数据分类，具体涉及加密流量分类方法、装置、电子设备和计算机可读介质。

背景技术：

1、出于对网络用户隐私数据的保护以及虚拟专用网络(virtual private network，vpn)等通信技术的广泛应用，网络中的许多流量被加密传输，加密流量急剧增长，逐渐成为网络流量的主流趋势。对加密流量分类的研究，无论在网络管理方案还是在网络安全方面，均是一项重要工作。网络管理方面，根据加密流量的分类结果制定不同的优先级服务策略，可以保证网络的服务质量(quality of service，qos)；在网络安全方面，从良性流量中识别那些以加密技术伪装的恶意软件流量，以进行流量的异常检测，可以保证信息的安全。

2、传统的网络流量分类研究包括基于端口的方法和基于深度包检测(deep packetinspection，dpi)方法等。在互联网的早期发展阶段，网络流量的应用种类较少，大多数应用的端口号是由互联网数字分配机构分配，且是固定的，识别网络流量只需检查数据包头部的端口号字段即可，因此，研究者采用基于端口的技术对不同应用的流量进行分类。基于深度包检测方法试图在数据包的有效负载中选择一些属性或有价值的信息，将其与预定义的模型进行比较，从而达到识别所属应用程序的目的。

3、在传统的应用流分类方案中，随着应用种类的增多、动态端口的出现，基于端口技术的流量分类已经不够准确。基于深度包检测方法须在数据包的有效负载中选择一些属性或有价值的信息，但基于内容的识别与分类很容易通过加密数据包有效载荷来规避，会发生无法解密加密流量的问题。

4、基于深度学习的流分类技术对于快速精准的流识别有一定优势，但是王勇等人提出的方法并未涉及对加密流量的识别分类，有的方法需要使用长短期记忆网络(lstm，longshort-term memory)，但lstm的时间跨度较大，并且网络结构比较深，从而导致训练时间增加，计算量过大。深度学习方法中有很多超参数，这些超参数的数量会随着模型的深度呈指数增长，所以需要找到合适的网络结构(如隐藏层的数量，以及最优超参数如学习率、损失函数等)，合适的网络结构才能进行准确的流量分类。但是，找寻合适的网络结构是一项困难的任务。

技术实现思路

1、本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。本公开的一些实施例提出了加密流量分类方法、装置、电子设备和计算机可读介质，来解决以上背景技术部分提到的技术问题。

2、第一方面，本公开的一些实施例提供了一种加密流量分类方法，该方法包括：

3、使用网络抓包工具采集网络流量数据，以包格式存储未经处理的网络流量数据；

4、从所述未经处理的网络流量数据中提取两种类型的流量特征，其中，所述两种类型的流量特征包括：统计特征和时序特征；

5、使用基于机器学习的分类器处理所述统计特征和所述时序特征；

6、使用两层分类器对处理的结果进行分析，得到所述网络流量数据的分类结果。

7、第二方面，本公开的一些实施例提供了一种加密流量分类装置，装置包括：

8、采集单元，用于使用网络抓包工具采集网络流量数据，以包格式存储未经处理的网络流量数据；

9、提取单元，用于从所述未经处理的网络流量数据中提取两种类型的流量特征，其中，所述两种类型的流量特征包括：统计特征和时序特征；

10、处理单元，用于使用基于机器学习的分类器处理所述统计特征和所述时序特征；

11、分析单元，用于使用两层分类器对处理的结果进行分析，得到所述网络流量数据的分类结果。

12、第三方面，本公开的一些实施例提供了一种电子设备，包括：

13、一个或多个处理器；

14、存储装置，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一的方法。

15、第四方面，本公开的一些实施例提供了一种计算机可读介质，其上存储有计算机程序，其中，程序被处理器执行时实现如第一方面中任一的方法。

16、本公开的上述各个实施例中的一个实施例具有如下有益效果：首先，使用网络抓包工具采集网络流量数据，以包格式存储未经处理的网络流量数据；然后，从所述未经处理的网络流量数据中提取两种类型的流量特征，其中，所述两种类型的流量特征包括：统计特征和时序特征；之后，使用基于机器学习的分类器处理所述统计特征和所述时序特征；最后，使用两层分类器对处理的结果进行分析，得到所述网络流量数据的分类结果。本实施例实现了使用两层分类器对处理的结果进行分析，提高了加密流量分类效果的准确率。

技术特征：

1.一种加密流量分类方法，包括：

2.根据权利要求1所述的方法，其特征在于，所述从所述网络流量的流量数据中提取两种类型的流量特征，其中，所述两种类型的流量特征包括：统计特征和时序特征，包括：

3.根据权利要求1所述的方法，其特征在于，所述两层分类器包括：基分类器和元分类器，所述使用两层分类器对处理的结果进行分析，得到所述网络流量数据的分类结果，包括：

4.根据权利要求3所述的方法，其特征在于，所述基分类器的数量是多个，所述基分类器包括以下至少一项：决策树、随机森林和分布式梯度增强库。

5.根据权利要求2所述的方法，其特征在于，所述统计特征，包括以下至少一项：源端口、目的端口、后向数据流字节数、前向数据流字节数、流的总字节数、字节分布的平均值和标准差、数据包有效载荷的字节数总和、最大值、平均值、方差、标准差；所述时序特征，包括以下至少一项：数据包长度序列和数据包到达间隔时间序列。

6.根据权利要求2所述的方法，其特征在于，所述方法还包括：

7.根据权利要求6所述的方法，其特征在于，所述分类模型由两层分类器组成，第一层分类器包括三个基分类器，第二层包括一个元分类器。

8.一种加密流量分类装置，包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读介质，其上存储有计算机程序，其中，所述程序被处理器执行时实现如权利要求1-7中任一所述的方法。

技术总结
本公开的实施例公开了加密流量分类方法、装置、电子设备和计算机可读介质。该方法的一具体实施方式包括：使用网络抓包工具采集网络流量数据，以包格式存储未经处理的网络流量数据；从所述未经处理的网络流量数据中提取两种类型的流量特征，其中，所述两种类型的流量特征包括：统计特征和时序特征；使用基于机器学习的分类器处理所述统计特征和所述时序特征；使用两层分类器对处理的结果进行分析，得到所述网络流量数据的分类结果。本实施例实现了使用两层分类器对处理的结果进行分析，提高了加密流量分类效果的准确率。

技术研发人员：王兴伟,陆锡佳,王雪,吴东阔,贾杰
受保护的技术使用者：东北大学
技术研发日：
技术公布日：2024/1/13