基于统计特征及时空特征融合的加密流量分类方法及系统与流程

本发明属于加密流量分类，尤其涉及一种基于统计特征及时空特征融合的加密流量分类方法及系统。

背景技术：

1、随着网络技术的进步以及人们对于隐私保护的重视，加密技术在应用数据传输中得到了广泛的应用，在网络信息传输的过程中不再使用明文信息，加密流量的占比越来越高，传统的流量分类方法如基于端口或者基于深度包检测(dpi)等方法已不再适用于当前的网络环境。随着机器学习以及深度学习的兴起，研究学者们开始着手研究基于机器学习以及基于深度学习的加密流量识别分类方法。根据神经网络输入形式的不同，可以将分类的方式分为两类：(1)基于流量的统计特征，流量的统计特征是指的对原始流量的数据分布、流量发送及到达时间、流量传输的时长、会话中数据包的数量、会话中载荷的分布等统计信息，具体的内容已在第三章数据预处理部分进行过介绍。(2)基于原始流量数据，深度学习的提出使得神经网络具备了自动提取特征的能力，因此可以通过构建端到端的模型来进行流量特征的自动提取，进而完成加密流量数据的识别分类工作。

2、通过近几年的加密流量的研究工作，基于上面提出来的两种方式，专家学者们在加密流量识别分类领域取得了一定的研究成果，但这两种方式还存在一定的不足之处：1.针对基于流量统计特征的分类方式而言，有时针对同一个统计特征，不同的流量类型具有相似的表现形式，例如在对email和chat进行分析时，两种应用的流量都是表现出在短时间内少量数据包的传输，因此只根据会话中数据包的个数这一个单一统计特征是无法有效的对两种应用进行识别分类的。除此之外，针对不同类型的分类任务，需要专家学者设计不同的统计特征，而缺乏一个通用的统计特征来支持完成所有的分类任务；2.针对深度学习端到端的分类模型而言，大部分的神经网络需要固定大小的输入，因此在进行数据预处理时，需要对原始的加密流量数据需要进行裁剪或者填充0的操作，因此经过数据预处理后，原始的流量将会丢失这部分特征信息，而这部分统计特征对于分类网络也是存在一定作用的。

技术实现思路

1、本发明提出了一种基于统计特征及时空特征融合的加密流量分类方法及系统，以解决上述现有技术中存在的未考虑原始流量数据的统计特征，及未同时提取加密流量数据的时空特征进行分类的技术问题。

2、为实现上述目的，本发明提供了一种基于统计特征及时空特征融合的加密流量分类方法，包括：

3、获取加密流量数据集，对所述加密流量数据集进行预处理，得到加密流量数据灰度图；

4、构建加密流量分类网络，所述加密流量分类网络包括：自编码器网络，bilstm+cnn1d级联网络、无池化层的resnet网络和全连接网络；

5、基于所述bilstm+cnn1d级联网络和无池化层的resnet网络，提取所述加密流量数据灰度图中的时空特征；

6、将所述灰度图输入至所述加密流量分类网络，输出加密流量分类结果。

7、优选地，对所述加密流量数据集进行预处理的过程包括：

8、基于会话方式对加密流量进行分割，得到分割流量，对所述分割流量进行数据清洗处理，得到待统计数据，对所述待统计数据进行特征统计计算，得到统计特征，基于min-max方式对所述统计特征进行标准化处理并转换，得到加密流量数据灰度图。

9、优选地，得到统计特征之后包括：

10、基于所述自编码器网络，对所述统计特征进行编码降维，得到低维统计特征。

11、优选地，提取所述加密流量数据灰度图中的时空特征的过程包括：

12、基于所述bilstm+cnn1d级联网络，对所述加密流量数据灰度图进行时空特征提取，得到初始时空特征，将所述初始时空特征输入至所述无池化层的resnet网络继续进行特征提取，得到加密流量数据灰度图中的时空特征。

13、优选地，所述bilstm网络，用于提取加密流量数据的双向时序特征；所述cnn1d网络，用于提取加密流量数据的识别空间特征。

14、优选地，输出加密流量分类结果的过程包括：

15、将所述低维统计特征与所述时空特征进行合并，得到综合特征，基于所述综合特征，通过所述全连接网络，输出加密流量分类结果。

16、优选地，所述加密流量分类网络的损失函数包括：自编码器的重构误差和全连接网络的分类误差。

17、为了实现上述技术目的，本发明还提供了一种基于统计特征及时空特征融合的加密流量分类系统，包括：数据预处理模块、模型构建模块、特征提取模块和流量分类模块，其中所述数据预处理模块、所述模型构建模块、所述特征提取模块、所述流量分类模块依次连接；

18、所述数据预处理模块，用于获取加密流量数据集，对所述加密流量数据集进行预处理，得到加密流量数据灰度图；

19、所述模型构建模块，用于构建加密流量分类网络，所述加密流量分类网络包括：自编码器网络，bilstm+cnn1d级联网络、无池化层的resnet网络和全连接网络；

20、所述特征提取模块，用于基于所述bilstm+cnn1d级联网络和无池化层的resnet网络，提取所述加密流量数据灰度图中的时空特征；

21、所述流量分类模块，用于将所述灰度图输入至所述加密流量分类网络，输出加密流量分类结果。

22、与现有技术相比，本发明具有如下优点和技术效果：

23、本发明提供了一种基于统计特征及原始流量灰度图特征融合的加密流量分类方法及系统，通过自编码器完成降维的工作，在数据预处理后，得到加密流量数据灰度图，将这些灰度图作为resnet网络的输入，通过resnet网络完成在灰度图中特征的提取工作。将得到的两个特征进行组合可以得到一个综合特征，综合特征里包括因为统一大小而丢失的统计特征，也包括原始流量的特征，因而可以完成加密流量的分类任务，解决了针对不同的任务需要提取不同特征的缺点。同时本发明考虑了原始流量数据的统计特征，还提取了加密流量数据的时空特征进行分类。

技术特征：

1.一种基于统计特征及时空特征融合的加密流量分类方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，对所述加密流量数据集进行预处理的过程包括：

3.根据权利要求2所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，得到统计特征之后包括：

4.根据权利要求3所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，提取所述加密流量数据灰度图中的时空特征的过程包括：

5.根据权利要求1所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，所述bilstm网络，用于提取加密流量数据的双向时序特征；所述cnn1d网络，用于提取加密流量数据的识别空间特征。

6.根据权利要求4所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，输出加密流量分类结果的过程包括：

7.根据权利要求1所述的基于统计特征及时空特征融合的加密流量分类方法，其特征在于，所述加密流量分类网络的损失函数包括：自编码器的重构误差和全连接网络的分类误差。

8.一种基于统计特征及时空特征融合的加密流量分类系统，其特征在于，包括：数据预处理模块、模型构建模块、特征提取模块和流量分类模块，其中所述数据预处理模块、所述模型构建模块、所述特征提取模块、所述流量分类模块依次连接；

技术总结
本发明公开了一种基于统计特征及时空特征融合的加密流量分类方法及系统，本发明属于加密流量分类领域，包括：获取加密流量数据集，对所述加密流量数据集进行预处理，得到加密流量数据灰度图；构建加密流量分类网络，所述加密流量分类网络包括：自编码器网络，BiLSTM+CNN1D级联网络、无池化层的ResNet网络和全连接网络；基于所述BiLSTM+CNN1D级联网络和无池化层的ResNet网络，提取加密流量数据灰度图中的时空特征；将灰度图输入至加密流量分类网络，输出加密流量分类结果。本发明解决了针对不同的任务需要提取不同特征的缺点，本发明考虑了原始流量数据的统计特征，还提取了加密流量数据的时空特征进行分类。

技术研发人员：刘磊,弭喜临,马永强,张久文,苏伟
受保护的技术使用者：读者出版集团有限公司
技术研发日：
技术公布日：2024/1/15