应用的识别方法、装置、设备、存储介质及程序产品与流程

本申请属于网络流量，尤其涉及一种应用的识别方法、装置、设备、存储介质及程序产品。

背景技术：

1、近年来，随着用户隐私保护程度的持续增强，越来越多的移动应用程序采用加密技术来保证数据传输的机密性和完整性。但流量加密在保护用户数据隐私的同时也给网络犯罪提供了温床，黑客可以利用加密技术来隐藏恶意攻击流量以躲避入侵检测系统。

2、网络应用识别包括基于特征签名的网络应用识别方法和基于机器学习的网络应用识别方法。该方法通过匹配待测流量中是否包含特定恶意流量特征来识别恶意攻击，检测方法简便快速，可以实现实时检测，但该方法无法检测经过加密后的网络数据包，使得该类方法在检测加密应用时的准确性较低。

技术实现思路

1、本申请实施例提供了一种应用的识别方法、装置、设备、存储介质及程序产品，能够解决现有的对加密应用进行识别时的准确性较低的问题。

2、第一方面，本申请实施例提供一种应用的识别方法，方法包括：

3、获取待识别应用的网络流量数据；

4、将所述网络流量数据的统计特征和序列特征进行拼接，得到侧信道特征；

5、从所述网络流量数据中提取局部时空特征；

6、基于注意力机制对所述侧信道特征和所述时序依赖特征进行融合，得到多头注意力特征，所述多头注意力特征用于表征所述网络流量数据的全局依赖关系；

7、根据所述多头注意力特征、所述局部时空特征和所述侧信道特征确定所述待识别应用的目标类型。

8、在一些实施例中，所述获取待识别应用的网络流量数据之后，所述方法还包括：

9、获取待识别应用的网络流量数据包括的多个网络数据包；

10、将所述多个网络数据包按照时间顺序进行汇聚，得到所述待识别应用对应的至少一个时序网络流，其中，一个时序网络流用于表征所述待识别应用的一条完整的网络会话；

11、从所述至少一个时序网络流中提取所述网络流量数据的统计特征和序列特征。

12、在一些实施例中，所述局部时空特征包括局部空间特征和时序依赖特征，所述从所述网络流量数据中提取局部时空特征，包括：

13、通过卷积神经网络从所述网络流量数据中提取所述网络流量数据的局部空间特征；

14、通过双向长短期记忆网络从所述网络流量数据中获取所述网络流量数据的时序依赖特征。

15、在一些实施例中，所述基于注意力机制对所述侧信道特征和所述时序依赖特征进行融合，得到多头注意力特征，包括：

16、基于注意力机制对所述侧信道特征和所述时序依赖特征进行特征增强；

17、对增强后的所述测信道特征和所述时序依赖特征进行融合，得到多头注意力特征。

18、在一些实施例中，所述根据所述多头注意力特征、所述局部时空特征和所述侧信道特征确定所述待识别应用的目标类型，包括：

19、将所述多头注意力特征、所述局部时空特征和所述侧信道特征进行融合，得到全局特征；

20、将所述全局特征输入到预先训练好的分类模型中，得到所述分类模型输出的所述待识别应用的目标类型。

21、在一些实施例中，所述将所述全局特征输入到预先训练好的分类模型中，得到所述分类模型输出的所述待识别应用的目标类型之后，所述方法还包括：

22、获取训练样本集；所述训练样本集包括多个训练样本，每个所述训练样本包括一个全局特征样本和所述全局特征样本对应的真实标签；

23、对每个训练样本，分别执行以下步骤：

24、将所述全局特征样本输入至初始的分类模型中，得到所述初始的分类模型输出的预测标签；

25、根据各个所述训练样本的所述预测标签以及真实标签，通过焦点损失函数确定所述分类模型的损失函数值；

26、判断所述分类模型的损失函数值是否满足预设训练停止条件；

27、若不满足，调整所述分类模型的模型参数，并利用所述训练样本集训练调整后的分类模型，直至满足所述预设训练停止条件，得到训练后的分类模型。

28、第二方面，本申请实施例提供一种应用的识别装置，装置包括：

29、获取模块，用于获取待识别应用的网络流量数据；

30、拼接模块，用于将所述网络流量数据的统计特征和序列特征进行拼接，得到侧信道特征；

31、提取模块，用于从所述网络流量数据中提取局部时空特征；

32、融合模块，用于基于注意力机制对所述侧信道特征和所述时序依赖特征进行融合，得到多头注意力特征，所述多头注意力特征用于表征所述网络流量数据的全局依赖关系；

33、确定模块，用于根据所述多头注意力特征、所述局部时空特征和所述侧信道特征确定所述待识别应用的目标类型。

34、第三方面，本申请实施例提供了一种应用的识别设备，设备包括：处理器以及存储有计算机程序指令的存储器；

35、处理器执行计算机程序指令时实现如上的应用的识别方法。

36、第四方面，本申请实施例提供了一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如上的应用的识别方法。

37、第五方面，本申请实施例提供了一种计算机程序产品，所述计算机程序产品包括计算机程序指令，所述计算机程序指令被处理器执行时实现如上的应用的识别方法。

38、在本申请中，通过将网络流量数据的统计特征和序列特征进行拼接，得到侧信道特征；然后从网络流量数据中提取局部时空特征；基于注意力机制对侧信道特征和时序依赖特征进行融合，得到多头注意力特征，多头注意力特征用于表征网络流量数据的全局依赖关系；最后根据多头注意力特征、局部时空特征和侧信道特征确定待识别应用的目标类型。如此一来，通过建模多维流量特征来学习加密网络应用的精细化和全面化的流量特征和行为模式，多种特征的提取和融合显著提升了特征表示的丰富性和准确性，从而提高了对加密网络应用的识别精度。

技术特征：

1.一种应用的识别方法，其特征在于，所述方法包括：

2.根据权利要求1所述的应用的识别方法，其特征在于，所述获取待识别应用的网络流量数据之后，所述方法还包括：

3.根据权利要求1所述的应用的识别方法，其特征在于，所述局部时空特征包括局部空间特征和时序依赖特征，所述从所述网络流量数据中提取局部时空特征，包括：

4.根据权利要求1所述的应用的识别方法，其特征在于，所述基于注意力机制对所述侧信道特征和所述时序依赖特征进行融合，得到多头注意力特征，包括：

5.根据权利要求1所述的应用的识别方法，其特征在于，所述根据所述多头注意力特征、所述局部时空特征和所述侧信道特征确定所述待识别应用的目标类型，包括：

6.根据权利要求1所述的应用的识别方法，其特征在于，所述将所述全局特征输入到预先训练好的分类模型中，得到所述分类模型输出的所述待识别应用的目标类型之后，所述方法还包括：

7.一种应用的识别装置，其特征在于，所述装置包括：

8.一种应用的识别设备，其特征在于，所述应用的识别设备包括：处理器以及存储有计算机程序指令的存储器；

9.一种计算机存储介质，其特征在于，所述计算机存储介质上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如权利要求1-6中任一项所述的应用的识别方法。

10.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序指令，所述计算机程序指令被处理器执行时实现权利要求1-6中任一项所述的应用的识别方法。

技术总结
本申请公开了一种应用的识别方法、装置、设备、存储介质及程序产品。该方法包括：获取待识别应用的网络流量数据；将网络流量数据的统计特征和序列特征进行拼接，得到侧信道特征；从网络流量数据中提取局部时空特征；基于注意力机制对侧信道特征和时序依赖特征进行融合，得到多头注意力特征，多头注意力特征用于表征网络流量数据的全局依赖关系；根据多头注意力特征、局部时空特征和侧信道特征确定待识别应用的类型。根据本申请实施例，能够保证应用识别的准确性。

技术研发人员：王超
受保护的技术使用者：中移物联网有限公司
技术研发日：
技术公布日：2024/9/29