加密报文数据流分类方法、系统、电子设备及存储介质与流程

本技术涉及数据流分类，尤其涉及一种加密报文数据流分类方法、系统、电子设备及存储介质。

背景技术：

1、虚拟专用网络（virtual private network，vpn）流量识别是指对经过vpn传输的数据流进行识别和分类的过程。一般来说，vpn流量识别可以通过分析数据包的头部信息、协议类型、端口号等来实现。vpn流量识别可以帮助网络管理员监控和管理vpn使用情况，以确保网络的安全性和性能。在经过vpn进行加密报文传输的过程中，可以根据加密报文的报文长度和报文数量等进行初步分析和识别，以确定加密报文的类型和特征。

2、相关技术中，通常采用安全加密隧道实现方式进行加密报文数据流的传输，使加密后的报文无法直观地统计出明文的目的地址、源地址、端口号等五元组信息，从而无法直接从加密报文中区分不同的流或会话，保护整个原始的互联网协议（internet protocol，ip）数据包。但是，这种加密方式也存在缺点，即只利用了数据流的统计信息进行分类，如仅仅对报文长度和报文数量进行分析，而忽略了报文的信息传递路径以及在短时间内加密报文的上下文关联信息，因而难以直接从加密报文中区分固定的数据包格式，从而降低对加密报文数据流进行分类的效率，也导致了最终得到的加密报文数据流的分类结果并不准确。

技术实现思路

1、本技术实施例的主要目的在于提出一种加密报文数据流分类方法、系统、电子设备及存储介质，能够解决加密报文数据流分类效率低以及分类结果不准确的问题。

2、为实现上述目的，本技术实施例的第一方面提出了一种加密报文数据流分类方法，所述方法包括：获取加密报文数据流，其中，所述加密报文数据流包括连续的多个加密报文数据包；按照时间的先后顺序，将所述加密报文数据流划分成多个报文片段，并按照所述加密报文数据包的报文方向将每个所述报文片段划分为多个报文组；其中，每个所述报文组内的所述加密报文数据包的所述报文方向一致；针对每个所述报文片段，在所述报文片段对应的每个所述报文组中，根据每个所述报文组所包含的所述加密报文数据包的报文长度确定报文组子图像的高、报文数量确定所述报文组子图像的宽以及所述报文方向确定所述报文组子图像的方向，并根据多个所述报文组子图像生成片段图像；提取各个所述片段图像的图像特征，并依次将前一时刻所述图像特征的历史分类结果与当前时刻的所述图像特征输入到预设的报文分类网络中进行报文行为分类，得到所述加密报文数据流报文行为的分类结果。

3、根据本技术的一些实施例，所述按照时间的先后顺序，将所述加密报文数据流划分成多个报文片段，并按照所述加密报文数据包的报文方向将每个所述报文片段划分为多个报文组，包括：在每个所述加密报文数据流中，将所述加密报文数据包按照时间顺序进行排列，并根据预设划分数量对所述加密报文数据包进行划分，得到多个报文片段；在每个所述报文片段内，对每个所述加密报文数据包的报文方向进行区分，并将所述报文方向相同的所述加密报文数据包划分为同一个报文组，得到多个报文组。

4、根据本技术的一些实施例，所述确定报文组子图像的高，包括：在每个所述报文组中，根据预设排除比例对所述报文组内的所述加密报文数据包进行筛选；根据筛选后各个所述加密报文数据包的报文长度进行相加后除以所述报文组内的所述加密报文数据包的报文数量，得到平均报文长度；根据所述平均报文长度乘以预设提取比例后得到的参照长度，与所述报文组内的每个所述加密报文数据包的所述报文长度进行比较，得到比较结果；根据所述比较结果确定报文组子图像的高。

5、根据本技术的一些实施例，所述根据所述比较结果确定报文组子图像的高，包括：若所述比较结果表征所述报文组内不存在所述报文长度短于所述参照长度的所述加密报文数据包，则将所述参照长度作为所述报文组子图像的高；若所述比较结果表征所述报文组内存在所述报文长度短于所述参照长度的所述加密报文数据包，将对应的所述加密报文数据包的所述报文长度作为所述报文组子图像的高。

6、根据本技术的一些实施例，所述方法还包括：获取每个所述报文片段对应的筛选所述加密报文数据包后的多个报文组；根据每个所述报文组所包含的所述加密报文数据包确定报文组子图像的颜色。

7、根据本技术的一些实施例，所述报文方向包括发送方向和接收方向；所述在每个所述报文片段内，对每个所述加密报文数据包的报文方向进行区分，并将所述报文方向相同的所述加密报文数据包划分为同一个报文组，得到多个报文组，包括：在每个所述报文片段内，将每个所述加密报文数据包的报文方向区分为发送方向或者接收方向；按照时间顺序将连续的所述发送方向对应的所述加密报文数据包或者连续的所述接收方向对应的所述加密报文数据包进行划分，得到按照时间顺序排列的多个报文组。

8、根据本技术的一些实施例，所述提取各个所述片段图像的图像特征，包括：加载预先训练好的卷积神经网络；将各个所述片段图像按照时间顺序依次输入至所述卷积神经网络进行特征提取，得到所述片段图像对应的图像特征。

9、根据本技术的一些实施例，所述依次将前一时刻所述图像特征的历史分类结果与当前时刻的所述图像特征输入到预设的报文分类网络中进行报文行为分类，得到所述加密报文数据流报文行为的分类结果，包括：获取前一时刻的所述图像特征输入至所述报文分类网络之后得到的历史分类结果；依次将每个当前时刻的所述图像特征与对应的所述历史分类结果输入至预设的报文分类网络中进行报文行为分类，直至向所述报文分类网络输入所述加密报文数据流的最后一个所述图像特征，得到所述加密报文数据流报文行为的分类结果。

10、根据本技术的一些实施例，所述依次将每个当前时刻的所述图像特征与对应的所述历史分类结果输入至预设的报文分类网络中进行报文行为分类，直至向所述报文分类网络输入所述加密报文数据流的最后一个所述图像特征，得到所述加密报文数据流报文行为的分类结果，包括：依次将每个当前时刻的所述图像特征输入至所述报文分类网络，通过所述报文分类网络的输入门从所述图像特征中确定要保留的第一分类信息；将所述第一分类信息和所述历史分类结果输入至所述报文分类网络的遗忘门，并从所述第一分类信息和所述历史分类结果中确定需要保留的第二分类信息；对所述历史分类结果与所述第二分类信息进行加权，得到加权分类信息；将所述加权分类信息输入至输出门进行筛选，得到当前时刻所述加密报文数据流报文行为的当前分类结果；继续向所述报文分类网络输入所述加密报文数据流未分类的所述图像特征，直至向所述报文分类网络输入所述加密报文数据流的最后一个所述图像特征，输出所述加密报文数据流报文行为的分类结果。

11、根据本技术的一些实施例，所述报文分类网络通过以下步骤训练得到：获取多个加密报文数据流，并根据多个所述加密报文数据流组成训练数据集；对所述训练数据集中的每个所述加密报文数据流进行预处理，得到多个报文片段以及所述报文片段对应的片段图像；提取各个所述片段图像的图像特征，并依次将前一时刻所述图像特征的历史分类结果与当前时刻的所述图像特征输入到预设的报文分类网络中进行报文行为分类，得到所述加密报文数据流报文行为的第一分类结果；根据预设的损失函数计算所述第一分类结果的损失值，并根据所述损失值对所述报文分类网络进行参数调整，得到训练好的报文分类网络。

12、为实现上述目的，本技术实施例的第二方面提出了一种加密报文数据流分类系统，所述系统包括：加密报文数据流获取模块，用于获取加密报文数据流，其中，所述加密报文数据流包括连续的多个加密报文数据包；报文组划分模块，用于按照时间的先后顺序，将所述加密报文数据流划分成多个报文片段，并按照所述加密报文数据包的报文方向将每个所述报文片段划分为多个报文组；其中，每个所述报文组内的所述加密报文数据包的所述报文方向一致；片段图像生成模块，用于针对每个所述报文片段，在所述报文片段对应的每个所述报文组中，根据每个所述报文组所包含的所述加密报文数据包的报文长度确定报文组子图像的高、报文数量确定所述报文组子图像的宽以及所述报文方向确定所述报文组子图像的方向，并根据多个所述报文组子图像生成片段图像；分类结果获取模块，用于提取各个所述片段图像的图像特征，并依次将前一时刻所述图像特征的历史分类结果与当前时刻的所述图像特征输入到预设的报文分类网络中进行报文行为分类，得到所述加密报文数据流报文行为的分类结果。

13、为实现上述目的，本技术实施例的第三方面提出了一种电子设备，所述电子设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现本技术第一方面实施例任一项所述的加密报文数据流分类方法。

14、为实现上述目的，本技术实施例的第四方面提出了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现本技术第一方面实施例任一项所述的加密报文数据流分类方法。

15、本技术提出的加密报文数据流分类方法、系统、电子设备及存储介质，通过将加密报文数据流按照时间顺序划分为多个报文片段，并将每个报文片段划分为多个报文组，可以根据每个报文组的报文长度、报文数量和报文方向生成片段图像，从而将原本复杂的加密报文数据流转化为可视化的片段图像，同时更清晰地展示了加密过程中的信息传递路径，以便于对图像进行分类。之后，将片段图像进行特征提取，得到图像特征。并将前一时刻图像特征的历史分类结果与当前时刻的图像特征一同输入到报文分类网络中，使得报文分类网络在对图像特征进行分类时，能够充分考虑加密报文数据流的特征的上下文关联关系，从而使得报文分类网络能够结合上下文的关联关系识别出固定的数据包格式，提高对加密报文数据流进行分类的效率，以及得到的加密报文数据流报文行为的分类结果的准确性。