基于流梯度导向的加密流量识别方法与流程

本发明属于计算机网络技术领域，特别涉及一种基于流梯度导向的加密流量识别方法。

背景技术：

对等网络(Peer-to-Peer,P2P)技术在当前互联网中取得了广泛的应用，例如：流媒体业务、VoIP、文件共享等诸多领域都采用对等网络传输技术。由于该技术具有易于实现、承载能力强、适合个人用户等特点，其在网络中的使用率极高。然而，对等网络业务开放式的特点导致其安全性无法满足当前网络的需求，各种经过加密的木马病毒、恶意软件、盗版信息在对等网络中大量传播，如何提高网络安全性成为严峻的挑战。现有的加密流量识别方法有：基于机器学习的加密流量识别方法、基于经典关键标识的加密流量识别方法等；但是，目前的加密流识别方法在识别率以及复杂度方面均无法满足现有网络的需求，其往往没有考虑网络数据流的梯度导向；并且，现有的加密流量识别方法不支持流量特征实时变化的识别，对于更广泛的加密流不具有相应的识别率。

技术实现要素：

为克服现有技术中的不足，本发明提供一种基于流梯度导向的加密流量识别方法，解决现有技术中的加密流识别率及复杂度方面的缺陷，针对网络数据流的梯度导向，实现对加密流更好的识别率，进一步保障网络信息的安全性、稳定性，应用于数据传输网络各级节点中，对任意网络加密流识别均具有适用性。

按照本发明所提供的设计方案，一种基于流梯度导向的加密流量识别方法，包含如下步骤：

步骤1、根据已知数据流训练集合，计算数据流梯度导向关键标识；

步骤2、提取网络数据流，包含抓取目标加密流量业务数据流、及非目标加密流量业务数据流，分别计算目标加密流量业务的数据流梯度导向关键标识及非目标加密流量业务的数据流梯度导向关键标识；

步骤3、针对网络待测未知流量，计算未知流量的数据流梯度导向关键标识；

步骤4、分别计算未知流量与目标加密流量业务两者之间的数据流梯度导向关键标识的相关偏移量St，及未知流量与非目标加密流量业务之间的数据流梯度导向关键标识的相关偏移量Sn；

步骤5、判断相关偏移量St是否大于Sn，若是，则判定该未知流量为目标加密流量业务，否则，则判定该未知流量为非目标加密流量业务。

上述的，计算数据流梯度导向关键标识，包含如下内容：

统计数据流特征数据，所述数据流特征数据包括前序数据包大小、当前数据包大小、前序数据包到达间隔、及当前数据包到达间隔；

根据数据流特征数据，计算数据流关键标识，得到其梯度导向关键标识。

上述的，计算数据流关键标识，其具体内容如下：

根据数据流特征数据的变化梯度，评估其梯度导向加权函数指标，对数据流特征数据进行加权处理；

刻画梯度导向关键标识为矢量数据对，建立数据流表征统计矢量数据序列，得到矢量概率密度函数；

通过平滑滤波器对矢量概率密度函数进行过滤处理，得到该数据流的梯度导向关键标识。

上述的，数据流特征数据的变化梯度由数据包上一状态与当前状态决定。

上述的，数据流表征统计矢量数据序列为二维矢量数据序列，其中，第一维度由前序数据包与当前数据包大小加权决定，第二维度由前序数据包与当前数据包抵达间隔加权决定。

上述的，数据流表征统计矢量数据序列，当前数据包与前序数据包大小之比，两者变化正相关。

上述的，数据流表征统计矢量数据序列，当前数据包到达间隔与前序数据包到达间隔之比，两者变化正相关。

上述的，步骤4中的计算相关偏移量，还包含对相关偏移量的取模运算。

优选的，相关偏移量用于比较数据流关键标识之间的近似度，相关偏移量为非负数，取值范围[0,1]。

优选的，相关偏移量未知流量中的元素以概率p由关键标识所对应的应用层关键标识产生，该元素与未知流量的数据流梯度导向关键标识最大值正相关，与未知流量的数据流梯度导向关键标识矢量数据对的加权均值正相关，与未知流量的数据流梯度导向关键标识最小值负相关。

本发明的有益效果：

1、本发明通过计算已知训练集合中数据流梯度导向关键标识，提取网络数据流量并进行关键标识分析，分别计算网络中目标加密流量业务与非目标加密流量业务的关键标识，针对待测量未知数据流，利用梯度导向关键标识计算方法，计算未知流梯度导向关键标识，再分别计算未知流关键标识与目标以及非目标加密流量业务关键标识相关偏移量，判断未知流关键标识与目标加密流量业务关键标识相关偏移量是否大于未知流关键标识与非目标加密流量业务关键标识相关偏移量，若是，则判定该未知流为目标加密流量业务，若否，则判定该未知流是非目标加密流量业务；识别率高，更加准确。

2、本发明应用于各级数据传输网络各级节点中，提取未知流并计算梯度导向关键标识与已知目标流量做相关偏移量比较，判定流类型；通过比较未知数据流与已训练数据流关键标识的相关偏移量来判定是否为目标加密数据流，识别率高，易用性强；对任意网络加密流识别均具有适用性，支持网络的演进，对于未来可能出现的网络加密流识别也可以兼容。

附图说明：

图1为本发明的流程示意图；

图2为实施例二的实现流程图；

图3为数据流梯度导向关键标识计算方法流程示意图；

图4为相关偏移量判别方法流程示意图。

具体实施方式：

为了便于下文理解，在此对文中用到的名词或缩写进行解释：

梯度导向关键标识：通过提取分析前序数据包统计特性，包括数据包大小，到达时间间隔，不考虑加密流量本身的行为特点，利用前序样本数据包与当前数据包的特征统计数据，构建能够精确描述数据流的一种数学标识；它不考虑数据流本身的内容特性，仅利用数据流表征表示，具有更强的通用性。

相关偏移量：利用数据流关键标识，用于表示两种不同数据流表征近似度；它可用于判定通用性数据流之间一致程度，可判断两数据流是否相同或近似。

下面结合附图和技术方案对本发明作进一步详细的说明，并通过优选的实施例详细说明本发明的实施方式，但本发明的实施方式并不限于此。

实施例一，参见图1所示，一种基于流梯度导向的加密流量识别方法，包含如下步骤：

步骤1、根据已知数据流训练集合，计算数据流梯度导向关键标识；

步骤2、提取网络数据流，包含抓取目标加密流量业务数据流、及非目标加密流量业务数据流，分别计算目标加密流量业务的数据流梯度导向关键标识及非目标加密流量业务的数据流梯度导向关键标识；

步骤3、针对网络待测未知流量，计算未知流量的数据流梯度导向关键标识；

步骤4、分别计算未知流量与目标加密流量业务两者之间的数据流梯度导向关键标识的相关偏移量St，及未知流量与非目标加密流量业务之间的数据流梯度导向关键标识的相关偏移量Sn；

步骤5、判断相关偏移量St是否大于Sn，若是，则判定该未知流量为目标加密流量业务，否则，则判定该未知流量为非目标加密流量业务。

本发明通过计算已知训练集合中数据流梯度导向关键标识，提取网络数据流量并进行关键标识分析，分别计算网络中目标加密流量业务与非目标加密流量业务的关键标识，针对待测量未知数据流，利用梯度导向关键标识计算方法，计算未知流梯度导向关键标识，再分别计算未知流关键标识与目标以及非目标加密流量业务关键标识相关偏移量，判断未知流关键标识与目标加密流量业务关键标识相关偏移量是否大于未知流关键标识与非目标加密流量业务关键标识相关偏移量，若是，则判定该未知流为目标加密流量业务，若否，则判定该未知流是非目标加密流量业务；识别率高，更加准确。

实施例二，参见图2～4所示，一种基于流梯度导向的加密流量识别方法，包含如下内容：

1)根据已知数据流训练集合，统计数据流特征数据，所述数据流特征数据包括前序数据包大小、当前数据包大小、前序数据包到达间隔、及当前数据包到达间隔；根据数据流特征数据，计算数据流关键标识，根据数据流特征数据的变化梯度，评估其梯度导向加权函数指标，对数据流特征数据进行加权处理；刻画梯度导向关键标识为矢量数据对，建立数据流表征统计矢量数据序列，得到矢量概率密度函数；为缓解噪声干扰，以减少数据流特征噪声之间的干扰，通过平滑滤波器对矢量概率密度函数进行过滤处理，得到该数据流的梯度导向关键标识。

其中，数据流特征数据的变化梯度由数据包上一状态与当前状态决定。

其中，数据流表征统计矢量数据序列为二维矢量数据序列，其中，第一维度由前序数据包与当前数据包大小加权决定，第二维度由前序数据包与当前数据包抵达间隔加权决定。

梯度导向加权函数指标中梯度导向加权值应满足以下条件：

①加权指标值为大于0的实数；

②随着特征指标的增大，其梯度导向更强；

③数据流特征变化越小，加权指标更趋于稳定；

④随着特征指标的增大，其梯度导向减弱；

梯度导向由前序数据包大小与当前数据包大小和对数减去前序数据包大小对数决定，以准确反映数据流梯度。

上述的，数据流表征统计矢量数据序列，当前数据包与前序数据包大小之比，两者变化正相关。

上述的，数据流表征统计矢量数据序列，当前数据包到达间隔与前序数据包到达间隔之比，两者变化正相关。

2)提取网络数据流，包含抓取目标加密流量业务数据流、及非目标加密流量业务数据流，分别计算目标加密流量业务的数据流梯度导向关键标识及非目标加密流量业务的数据流梯度导向关键标识。

3)针对网络待测未知流量，计算未知流量的数据流梯度导向关键标识。

4)分别计算未知流量与目标加密流量业务两者之间的数据流梯度导向关键标识的相关偏移量St，及未知流量与非目标加密流量业务之间的数据流梯度导向关键标识的相关偏移量Sn。

其中，计算相关偏移量，还包含：对相关偏移量的取模运算。

相关偏移量用于比较数据流关键标识之间的近似度，相关偏移量为非负数，取值范围[0,1]；比较结果越接近于0，二者越不近似，越接近1，二者越近似。

优选的，相关偏移量未知流量中的元素以概率p由关键标识所对应的应用层关键标识产生，该元素与未知流量的数据流梯度导向关键标识最大值正相关，与未知流量的数据流梯度导向关键标识矢量数据对的加权均值正相关，与未知流量的数据流梯度导向关键标识最小值负相关。

5)判断相关偏移量St是否大于Sn，若是，则判定该未知流量为目标加密流量业务，否则，则判定该未知流量为非目标加密流量业务。

本发明中，所有梯度导向效应状态矢量数列随当前数据包与前序数据包大小之比正相关，前序数据包越大，关键标识矢量数对趋小，反之趋大；所有梯度导向效应状态矢量数列随当前数据包到达间隔与前序数据包到达间隔之比正相关，到达时间间隔越大，关键标识矢量数列趋小，反之趋大；构成梯度导向效应状态矢量数列数据包大小部分采用以2为底的对数计算；构成梯度导向效应状态矢量数列数据包到达时间间隔部分采用以10为底的对数计算。处理尽可能少的前序数据包对方法的简易性有益，随着前序数据包数量选取增加，梯度导向关键标识计算越精确。综合平滑滤波器效能与滤除噪声效果，随着模糊窗口增大，其滤波召回率仍呈现增大梯度，但增长速率已满足滤波需求。

本发明应用于各级数据传输网络各级节点中，提取未知流并计算梯度导向关键标识与已知目标流量做相关偏移量比较，判定流类型；通过比较未知数据流与已训练数据流关键标识的相关偏移量来判定是否为目标加密数据流，识别率高，易用性强；对任意网络加密流识别均具有适用性，支持网络的演进，对于未来可能出现的网络加密流识别也可以兼容。

本发明不局限于上述具体实施方式，本领域技术人员还可据此做出多种变化，但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。