[发明专利]基于流量相似性比对的加密流识别方法、装置及存储介质

说明书

本发明涉及加密流识别技术领域，具体涉及一种基于流量相似性比对的加密流识别方法、装置及存储介质。本发明的识别方法包括如下步骤：采集网络流量；数据预处理；提取多层次特征；样本打标签，包括：基于相似流和多层次特征聚类；基于聚类算法形成相似流；在分类算法上训练建模并测试验证，可提高分类模型效率和鲁棒性。本发明的基于流量相似性比对的加密流识别方法通过分析加密流的特征和数据流间的相似性，确保在加密流识别过程中，能充分挖掘到数据流相似特征，并进行训练，以提供分类精度。

技术领域

本发明涉及加密流识别技术领域，具体涉及一种基于流量相似性比对的加密流识别方法、装置及存储介质。

背景技术

流量分类对不同的应用提供不同的个性化服务和安全监控是一个很重要的任务，随着加密应用和隧道技术的出现，使得分类识别流量变得困难。由于加密数据传输加密流量已经成为趋势，网络环境随之也变得非常复杂和多样化，这对流量管理是一大挑战，尤其是对于那些依靠网络流量类型来分析和和检测的方法。因此对网络的正常运行、网络服务、资源实时分配和流量管理有更高的要求，此时能有一种有效的监管网络活动的方法非常重要。加密流量分类识别是网络安全监管的重要一步。如果能准确的把加密流量分类和识别，可对网络安全和网络管理服务效率有很大提升，也可以保证用户信息安全。

现有技术提供了一种面向网络加密流量的恶意移动应用检测方法，包括如下步骤：步骤A.识别获得待判断加密网络流量所对应的移动应用，作为待判断移动应用对象，然后进入步骤B；步骤B.分析待判断移动应用对象的整体网络行为是否异常，以及分析待判断加密网络流量是否异常；若两者分析均不存在异常，则判定待判断移动应用对象为非恶意应用，针对待判断加密网络流量的检测结束；若两者分析中存在异常，则获得全部异常信息，并进入步骤C；步骤C.基于异常信息，使用分类方法判断待判断加密网络流量是否为恶意攻击流量，是则判定待判断移动应用对象为恶意应用，针对待判断加密网络流量的检测结束；否则判定待判断移动应用对象为非恶意应用，针对待判断加密网络流量的检测结束。

现有技术还提供了一种基于特征自学习的加密流量识别方法，所述方法包括：将获取的当前网络流量数据包转换为归一化数值或归一化灰度值；将所述当网网络流量数据包对应的归一化数值保存到文本文件中；或者将所述当网网络流量数据包对应的归一化灰度值生成灰度图像，并保存到图片文件中；将所述文本文件或所述图片文件作为预先训练得到的加密流量分类器的测试输入；通过所述加密流量分类器识别所述当前网络流量数据包的流量类型。

现有技术中的加密流量分类方法没有针对加密流量内容特性进行分析和研究，也不能很好的挖掘加密流量和正常流量间的潜在联系。目前，随着加密流量复杂多变，已存在的分类识别方法在分类精度上已有欠缺，不能达到很好的分类效果。如何精确检测出加密流量仍是一个难点。

鉴于此，克服以上现有技术中的缺陷，提供一种新的成为本领域亟待解决的技术问题。

发明内容

本发明的目的在于针对现有技术的上述缺陷，提供一种基于流量相似性比对的加密流识别方法、装置及存储介质。

本发明的目的可通过以下的技术措施来实现：

本发明第一方面提供了一种基于流量相似性比对的加密流识别方法，该识别方法包括：

采集网络流量数据，从所述网络流量数据中提取网络数据流，所述网络数据流包括未加密数据流和加密数据流；

提取所述未加密数据流的第一特征和所述加密数据流的第二特征；

将所述未加密数据流和网络日志中已识别网络应用进行匹配，根据匹配结果得到未加密数据标签流；根据所述第一特征和所述第二特征对加密数据流进行聚类处理，根据聚类结果得到加密数据标签流；未加密数据标签流和加密数据标签流形成标签流；

将所述标签流和网络数据流样本进行聚类处理，根据聚类结果获取未加密数据流和加密数据流的相似流；