一种加密网络流量分类方法及系统与流程

本发明属于网络安全，尤其涉及一种加密网络流量分类方法及系统。

背景技术：

1、本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

2、巨大的网络流量增长产生了网络流量分类这项工作，网络安全人员使用网络流量分析来识别流量中的任何可疑数据包，通过监视下载/上传速度，吞吐量，网络传输性能、各种协议传输质量、应用和业务等，以了解网络操作和透视网络活动。

3、发明人发现，现有的网络流量分类主要采用如下方法：基于端口号的流量分类方法随着应用和服务不再使用固定的端口号及端口伪装技术，该方法的准确性受到了影响；基于有效负载的流量分类方法只能识别已知的非加密流量；基于统计的方法因其需要专门的特征设计，误警率较高。随着网络流量的愈加复杂，传统的机器学习方法不再适用现阶段加密网络流量的分类。

技术实现思路

1、为克服上述现有技术的不足，本发明提供了一种加密网络流量分类方法及系统，所述方案基于提出的混合深度学习模型，通过膨胀卷积完成对网络流量的空间特征提取，通过长短时记忆网络实现对网络流量的时序特征挖掘，同时使用通道注意力机制避免与任务无关的不必要的噪声，基于网络流量去噪后的空间特征和时序特征，有效保证了流量分类的准确性。

2、根据本发明实施例的第一个方面，提供了一种加密网络流量分类方法，包括：

3、对于待分类的加密网络流量进行数据预处理；

4、以预处理后的加密网络流量数据作为预先训练的混合深度学习模型的输入，获得分类结果；

5、其中，所述混合深度学习模型具体执行如下处理过程：对于输入的加密网络流量数据，利用第一神经网络模块进行多尺度空间特征提取，获得空间融合特征；对于获得的空间融合特征，按照预设时间步的顺序作为第二神经网络模块的输入，获得融合的时空特征，并基于所述时空特征获得分类结果。

6、进一步的，所述混合深度学习模型包括第一神经网络模块和第二神经网络模块，其中，所述第一神经网络模块采用inception模块，所述inception模块中的卷积层采用扩张卷积；所述第二神经网络模块采用基于通道注意力机制的长短时记忆网络。

7、进一步的，所述inception模块包括若干并行设置的扩张卷积，且每个扩张卷积采用不同的扩张率，对于输出的加密网络流量数据，通过inception模块获得多尺度的空间特征。

8、进一步的，所述第一神经网络模块包括并行的第一inception模块和第二inception模块，预处理后的加密网络流量数据分别作为第一inception模块和第二inception模块的输入，第一inception模块的输出经预设激活函数后与第二inception模块的输出经门控单元机制处理后的结果进行融合，获得空间融合特征。

9、进一步的，所述数据预处理包括：将加密网络流量划分为若干流，每个流进行单独存储，以及将单独存储的流调整为统一的固定长度。

10、进一步的，所述将加密网络流量划分为若干流，具体为：通过分析五元组信息将原始流量分割成单独的流，其中，所述五元组信息包括：源ip地址、目标ip地址、协议类型、源端口号和目标端口号。

11、进一步的，将每个流中数据链路层的mac地址和网络层的ip地址利用随机生成的地址进行替换。

12、根据本发明实施例的第二个方面，提供了一种加密网络流量分类系统，包括：

13、数据预处理单元，其用于对于待分类的加密网络流量进行数据预处理；

14、分类单元，其用于以预处理后的加密网络流量数据作为预先训练的混合深度学习模型的输入，获得分类结果；

15、其中，所述混合深度学习模型具体执行如下处理过程：对于输入的加密网络流量数据，利用第一神经网络模块进行多尺度空间特征提取，获得空间融合特征；对于获得的空间融合特征，按照预设时间步的顺序作为第二神经网络模块的输入，获得融合的时空特征，并基于所述时空特征获得分类结果。

16、根据本发明实施例的第三个方面，提供了一种电子设备，包括存储器、处理器及存储在存储器上运行的计算机程序，所述处理器执行所述程序时实现所述的一种加密网络流量分类方法。

17、根据本发明实施例的第四个方面，提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现所述的一种加密网络流量分类方法。

18、以上一个或多个技术方案存在以下有益效果：

19、(1)本发明提供了一种加密网络流量分类方法及系统，所述方案基于提出的混合深度学习模型，通过膨胀卷积完成对网络流量的空间特征提取，通过长短时记忆网络实现对网络流量的时序特征挖掘，同时使用通道注意力机制避免与任务无关的不必要的噪声，基于网络流量去噪后的空间特征和时序特征，有效保证了流量分类的准确性。

20、(2)所述方案为了防止混合深度学习模型的过拟合，将数据链路层的mac地址和网络层的ip地址使用随机生成的新地址替换。

21、本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

技术特征：

1.一种加密网络流量分类方法，其特征在于，包括：

2.如权利要求1所述的一种加密网络流量分类方法，其特征在于，所述混合深度学习模型包括第一神经网络模块和第二神经网络模块，其中，所述第一神经网络模块采用inception模块，所述inception模块中的卷积层采用扩张卷积；所述第二神经网络模块采用基于通道注意力机制的长短时记忆网络。

3.如权利要求2所述的一种加密网络流量分类方法，其特征在于，所述inception模块包括若干并行设置的扩张卷积，且每个扩张卷积采用不同的扩张率，对于输出的加密网络流量数据，通过inception模块获得多尺度的空间特征。

4.如权利要求2所述的一种加密网络流量分类方法，其特征在于，所述第一神经网络模块包括并行的第一inception模块和第二inception模块，预处理后的加密网络流量数据分别作为第一inception模块和第二inception模块的输入，第一inception模块的输出经预设激活函数后与第二inception模块的输出经门控单元机制处理后的结果进行融合，获得空间融合特征。

5.如权利要求1所述的一种加密网络流量分类方法，其特征在于，所述数据预处理包括：将加密网络流量划分为若干流，每个流进行单独存储，以及将单独存储的流调整为统一的固定长度。

6.如权利要求5所述的一种加密网络流量分类方法，其特征在于，所述将加密网络流量划分为若干流，具体为：通过分析五元组信息将原始流量分割成单独的流，其中，所述五元组信息包括：源ip地址、目标ip地址、协议类型、源端口号和目标端口号。

7.如权利要求5所述的一种加密网络流量分类方法，其特征在于，将每个流中数据链路层的mac地址和网络层的ip地址利用随机生成的地址进行替换。

8.一种加密网络流量分类系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器、处理器及存储在存储器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1-7任一项所述的一种加密网络流量分类方法。

10.一种非暂态计算机可读存储介质，其特征在于，其上存储有计算机程序，该程序被处理器执行时实现如权利要求1-7任一项所述的一种加密网络流量分类方法。

技术总结
本发明提供了一种加密网络流量分类方法及系统，所述方案包括：对于待分类的加密网络流量进行数据预处理；以预处理后的加密网络流量数据作为预先训练的混合深度学习模型的输入，获得分类结果；其中，所述混合深度学习模型具体执行如下处理过程：对于输入的加密网络流量数据，利用第一神经网络模块进行多尺度空间特征提取，获得空间融合特征；对于获得的空间融合特征，按照预设时间步的顺序作为第二神经网络模块的输入，获得融合的时空特征，并基于所述时空特征获得分类结果。

技术研发人员：张玮,王成,史慧玲,郝昊,丁伟,谭立状,王小龙
受保护的技术使用者：山东省计算中心（国家超级计算济南中心）
技术研发日：
技术公布日：2024/7/15