一种针对隧道流量的关联方法和装置与流程

本发明涉及网络流量测量分析，尤其涉及一种针对隧道流量的关联方法和装置。

背景技术：

1、在网络安全领域，越来越多的攻击者开始使用隧道技术来隐藏其攻击行为。对于网络攻击者而言，不管是为了使攻击载荷绕过防火墙等网络安全防护系统和安全防护设备，还是在完成入侵后维持受害主机与c&c服务器(command and control server，命令与控制服务器)的通信以向受害主机发送指令或从受害主机窃取信息，均需要利用隧道的封装、加密、混淆等方式将异常的网络行为“洗白”成正常的网络流量进行传输。这些隧道节点往往被构建在cdn、公有云等公共网络服务上，经过隧道的封装后，攻击者的异常网络行为将隐匿在正常的网络服务中，以相同隧道协议产生的网络流量进行传递，难以识别。因此，确定隧道背后的通信关系、实施追踪溯源，对维护网络空间安全具有重要意义。隧道流量一般会采取加密措施，我们无法基于内容分析数据来源；而逐跳追踪又需要分析者掌握足够的节点信息，现实中也很难做到。基于此，现阶段只有流量关联技术可以在有限条件下实现流量关联，即将特定的隧道出口节点流对应到与其相关(属于同一个通信会话)的入口节点流，该过程使用内容无关特征，且仅在隧道两端即可完成。

2、目前的流量关联方法分为两类：一类是基于统计距离的方法，将统计距离视作测度两条流相关性的指标，常用指标包括余弦距离、皮尔逊系数、互信息等。每条数据流被抽象为描述其形态特征的向量(如包方向序列、包大小序列、包间隔序列等)，然后使用相应指标的计算公式计算相似度。另一类基于学习模型的关联方法将入口和出口节点流的联合向量表示输入到非线性拟合能力更强的卷积神经网络等深度学习模型中，由模型给出入口节点流和出口节点流的相关概率，即将流量关联转化为“相关”、“不相关”的二分类问题。

3、然而，无论哪种流量关联方法，仍然受到以下问题的困扰：以某一出口节点流为参照，从候选入口节点流集合中挑选与之相关的入口节点流时，在入口节点流集合规模较大的情况下，不可避免地会出现形态与目标出口节点流量接近的非相关入口节点流，影响关联准确率。

技术实现思路

1、本发明提供一种针对隧道流量的关联方法和装置，用以解决现有技术中在入口节点流集合规模较大的情况下关联准确率较低的缺陷。

2、本发明提供一种针对隧道流量的关联方法，包括：

3、获取预建立的网络隧道的多个入口节点流和多个出口节点流；其中，所述网络隧道用于客户端访问对应的网络；

4、确定与每个出口节点流对应的候选入口节点流，分别计算多个候选入口节点流的累计传输量距离；

5、将每个出口节点流输入至自编码网络，输出对应的映射入口节点流，分别计算所述映射入口节点流和多个候选入口节点流的降噪距离；

6、将与每个出口节点流关联的多个候选入口节点流输入至优化表示生成器，分别输出多个候选入口节点流之间的优化表示距离；

7、根据所述多个候选入口节点流的累计传输量距离、多个候选入口节点流和所述映射入口节点流的降噪距离以及多个候选入口节点流之间的优化表示距离，对所述候选入口节点流进行筛选，确定每个所述出口节点流对应的目标入口节点流；

8、其中，所述自编码网络用于学习相关联的样本入口节点流和样本出口节点流的映射关系，以将输入的出口节点流还原为对应的映射入口节点流；

9、所述优化表示生成器用于学习不相关联的入口节点流的优化表示，以获得多个不相关联的候选入口节点流之间的优化表示距离。

10、根据本发明提供的一种针对隧道流量的关联方法，获取所述网络隧道的多个入口节点流和多个出口节点流，包括：

11、在每个入口节点处，统计入口节点数据流的数据包大小序列以及对应的数据包时间序列；定义第一时间窗口，并根据每个第一时间窗口内的数据包时间序列对应的数据包大小序列进行累计计算，得到每个第一时间窗口内的入口数据流累计传输量，将多个第一时间窗口内的入口数据流累计传输量序列作为所述入口节点流；

12、在每个出口节点处，统计出口节点数据流的数据包大小序列以及对应的数据包时间序列；定义第二时间窗口，并根据每个第二时间窗口内的数据包时间序列对应的数据包大小序列进行累计计算，得到每个第二时间窗口内的出口数据流累计传输量，将多个第二时间窗口内的入口数据流累计传输量序列作为所述出口节点流。

13、根据本发明提供的一种针对隧道流量的关联方法，分别计算多个候选入口节点流的累计传输量距离，包括：

14、计算每个候选入口节点流中的多个入口数据流累计传输量的欧式距离，作为每个所述候选入口节点流的累计传输量距离。

15、根据本发明提供的一种针对隧道流量的关联方法，将每个出口节点流输入至自编码网络，输出对应的映射入口节点流，包括：将每个出口节点流的多个出口数据流累计传输量输入至自编码网络，输出对应的映射入口数据流累计传输量；

16、分别计算所述映射入口节点流和多个候选入口节点流的降噪距离，包括：分别计算所述映射入口节点流的多个映射入口数据流累计传输量与每个候选入口节点流的多个入口数据流累计传输量的欧式距离，作为映射入口节点流和每个所述候选入口节点流的降噪距离。

17、根据本发明提供的一种针对隧道流量的关联方法，所述自编码网络通过以下方式训练：

18、将相关联的样本入口节点流和样本出口节点流作为训练数据输入至自编码网络中，其中，将所述样本出口节点流作为带有噪声的输入，将所述样本入口节点流作为待拟合的优化目标；

19、通过最小化自编码网络输出与待拟合的优化目标之间的平方差损失，确定所述自编码网络的最优参数集合。

20、根据本发明提供的一种针对隧道流量的关联方法，所述优化表示生成器通过以下方式训练：

21、将样本出口节点流、与所述样本出口节点流关联的样本入口节点流以及与所述样本出口节点流不关联的样本入口节点流作为训练数据输入至优化表示生成器中，并通过三元损失函数进行训练，得到训练好的优化表示生成器；

22、其中，所述三元损失函数用于指导所述优化表示生成器产生以下的优化表示：将与样本出口节点流关联的样本入口节点流和不关联的样本入口节点流的优化表示距离增大，直至所述优化表示距离超过设定阈值。

23、根据本发明提供的一种针对隧道流量的关联方法，根据所述多个候选入口节点流的累计传输量距离、多个候选入口节点流和所述映射入口节点流的降噪距离以及多个候选入口节点流之间的优化表示距离，对所述候选入口节点流进行筛选，确定每个所述出口节点流对应的目标入口节点流，包括：

24、根据所述多个候选入口节点流的累计传输量距离从小到大进行排序，选择排序靠前的预设第一比例的候选入口节点流作为第一候选入口节点流；

25、将所述第一候选入口节点流和所述映射入口节点流的降噪距离从小到大进行排序，选择排序靠前的预设第二比例的第一候选入口节点流作为第二候选入口节点流；

26、将所述第二候选入口节点流的优化表示距离进行排序，将最小优化表示距离对应的第二候选入口节点流作为所述出口节点流对应的目标入口节点流。

27、本发明还提供一种针对隧道流量的关联装置，包括：

28、节点流获取模块，用于获取预建立的网络隧道的多个入口节点流和多个出口节点流；其中，所述网络隧道用于客户端访问对应的网络；

29、累计传输量距离确定模块，用于确定与每个出口节点流对应的候选入口节点流，分别计算多个候选入口节点流的累计传输量距离；

30、降噪距离确定模块，用于将每个出口节点流输入至自编码网络，输出对应的映射入口节点流，分别计算所述映射入口节点流和多个候选入口节点流的降噪距离；

31、优化表示距离确定模块，用于将与每个出口节点流关联的多个候选入口节点流输入至优化表示生成器，分别输出多个候选入口节点流之间的优化表示距离；

32、关联模块，用于根据所述多个候选入口节点流的累计传输量距离、多个候选入口节点流和所述映射入口节点流的降噪距离以及多个候选入口节点流之间的优化表示距离，对所述候选入口节点流进行筛选，确定每个所述出口节点流对应的目标入口节点流；

33、其中，所述自编码网络用于学习相关联的样本入口节点流和样本出口节点流的映射关系，以将输入的出口节点流还原为对应的映射入口节点流；

34、所述优化表示生成器用于学习不相关联的入口节点流的优化表示，以获得多个不相关联的候选入口节点流之间的优化表示距离。

35、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述针对隧道流量的关联方法的步骤。

36、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述针对隧道流量的关联方法的步骤。

37、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述针对隧道流量的关联方法的步骤。

38、本发明提供的针对隧道流量的关联方法和装置，通过计算每个出口节点流对应的候选入口节点流的累计传输量距离、所述映射入口节点流和多个候选入口节点流的降噪距离以及多个候选入口节点流之间的优化表示距离，然后分别基于三个距离逐级筛选，经过测试，即便在入口节点流集合规模较大的情况下，也可以实现精细化决策，提升关联准确率。

39、其次，本发明实施例通过定义第一时间窗口和第二时间窗口为单位来分别统计入口数据流累计传输量和出口数据流累计传输量，该粒度与数据流中包含多少数据包、这些数据包的到达顺序无关，因此在包丢失、重组、重传等情况下，相比于以数据包为单位的表征，其对数据流累计传输量的刻画更加稳定。

40、再次，本发明实施例通过自编码网络对相关联的入口节点流和出口节点流的映射关系的挖掘，能够增强相关节点流的相似性，在网络噪声较复杂的场景下保证关联效果；借助于对非相关节点流的挖掘，能够减弱非相关节点流的相似性，在大量候选入口节点流集合的情况下避免错误的关联决策。

41、另外，本发明实施例在候选入口节点流集合较大的情况下，若要选择出与出口节点流关联的目标入口节点流，会存在大量干扰关联决策的候选入口节点流。通过引入优化表示生成器可以获得多个不相关联的候选入口节点流之间的优化表示距离，从而拉大不相关联的候选入口节点流之间的差异性，将进一步改善流量关联的效果。