[发明专利]一种基于深度神经网络的加密网络流量识别方法

说明书

本发明涉及一种基于深度神经网络的加密网络流量识别方法，属于深度学习、网络服务安全以及流量识别技术领域。所述基于深度神经网络的加密网络流量识别方法，包括：步骤1、基于抓取、部署以及提取操作获取离线数据集，生成训练集及测试集；步骤2、搭建深度神经网络模型；步骤3、数据读取、模型训练及参数优化，将离线数据集输入深度神经网络模型中训练及迭代直至准确率达标后即停止训练；步骤4、搭建、部署在线网络流抓取平台，抓取在线数据集；步骤5、在线网络流识别，得到识别结果。所述方法能更好提取流量数据的高维特征；与现有深度神经网络相比具有更好的多分类识别准确率，更低的假阳率和误报率，保证了加密数据流在线识别的高效性。

技术领域

本发明涉及一种基于深度神经网络的加密网络流量识别方法，旨在识别加密网络流类型，属于深度学习、网络服务安全以及流量识别技术领域。

背景技术

流量是网络传输中各类信息的重要载体。为了保护用户隐私，现有网络多采用SSL/TLS加密协议对网络流量进行加密。通过对加密网络流量进行分析识别，可以为网络服务供应商的流量审计工作提供技术支持，使其更好地制定路由策略、提高关键传输节点的数据分发效率提供理论依据，进一步提升网络用户的用户体验。本方法在实际应用中，应布置于起连接作用的节点中。

现有的加密网络流量识别方法主要依赖各类传统机器学习方法，比如利用kNN、马尔科夫链或其它方法构建分类识别模型，代入训练数据训练后即可完成对测试数据的分类识别。由于机器学习方法过度依赖特征提取的过程，故不同的特征提取方法之间准确率差异巨大。深度学习技术已广泛应用于自然语言处理、图像分析等领域，基于深度学习的加密网络流量分类识别方法已经成为当前研究的热点方向。

在加密应用网络流量分类和识别方面，可检索到的关联最大的两项专利为：

(1)已有研究者提出一种基于马尔科夫链的加密网络流识别方法。该方法利用SSL/TLS加密后数据包的标志位信息构建不同加密应用的马尔科夫指纹，在分类未知应用的加密流量时计算该未知应用被分类成其它不同应用的概率，使用极大似然法来决断该未知应用的所属类别。在构建马尔可夫指纹时用到的标志位状态有限，不同加密应用的指纹可能会非常相似，不同加密应用的指纹部分重合的情况时有发生，这导致该种方法在加密应用识别上的准确度降低。

(2)已有文献提出了一种加密网络流识别方法，仅仅依赖SSL/TLS连接的前几个通信数据包大小的分析即可完成流量分类识别。该方法通过构造流量前N个数据包大小的向量构建网络应用/服务的指纹，并将待测流量与指纹进行相似度匹配，以判定该待测流量的向量最接近于何种网络应用/服务。作者的实验表明本方法对加密网络流的识别准确率可达85％。

综上所述，在现有的加密流量分类领域，两种方法均不能实现高准确性，与投入实际应用所需的标准仍有一定距离，且实验证明上文方法一在某些情况下极易出现准确率极低的情况。

发明内容

本发明的目的在于针对现有加密网络流量分类识别存在识别精度及准确率低、误判和漏判率高、稳定性差的技术缺陷，提出了一种基于深度神经网络的加密网络流量识别方法。

所述基于深度神经网络的加密网络流量识别方法，包括如下步骤：

步骤1、基于抓取、部署以及提取操作获取离线数据集，生成训练集及测试集，具体为：

步骤1.1基于网络抓包工具搭建数据集获取平台，监听并存储流经该数据集获取平台的SSL/TLS加密网络流量；

其中，网络抓包工具为Wireshark、Tshark；

步骤1.2选择多个网关及网络纽带节点部署步骤1.1中的数据集获取平台，生成多个离线数据子集；

其中，步骤1.2部署的数据集获取平台能够减小特殊数据集的干扰；