[发明专利]基于时空特性相结合的深度学习流量分类方法

说明书

本发明公开了一种基于时空特性相结合的深度学习流量分类方法，主要解决现有技术检测准确率低的问题。其实现方案是：1)采集并标注原始流量负载数据；2)基于原始流量负载数据，生成预处理后的流量图集；3)利用流量图集训练基于时空特性相结合的深度学习模型；4)用新采集并生成的流量数据验证训练好的深度学习模型，合格后将模型作为流量分类器部署于真实网络结点；5)对真实网络环境中的流量进行解析分类并标注。本发明构建的模型利用了流量数据的时空特性，提高了流量分类的准确率，且减少分类器占用的资源，能满足当前网络环境下流量分类的需求，可应用于网络边缘节点中实现加密流量识别和恶意流量检测。

技术领域

本发明属于计算机网络技术领域，尤其涉及一种流量分类方法，可应用于网络边缘节点中，实现加密流量识别和恶意流量检测。

背景技术

当今网络流量环境日益复杂，如何继续保持高效快捷的恶意流量检测成为当今网络环境下一大挑战。流量识别或恶意流量检测的本质皆为分类问题，且传统的流量分类方法，如基于端口号或深度包检测技术，皆无法很好的在当今网络环境下满足任务需求；基于传统机器学习的方法也被用于应对加密流量识别及恶意流量监测，但繁杂的人为选取特征以及标记特征库这一步骤涉及人工成本和隐私信息等问题，使得此类方法的泛化能力受到了制约；近些年刚刚兴起的基于深度学习的方法很好的解决了前人方法中的不足，但大多只利用了原始流量信息中时间或空间单一维度的信息，使得分类器的性能受到了制约，尤其是在应对同时解析加密流量和恶意流量检测任务时，很容易在训练时遇到瓶颈。参上，如何设计一个可以同时利用时空特性的深度学习分类器成为一个核心问题。

上海交通大学邹福泰等人在其申请的专利文献“一种基于深度学习的加密恶意流量的检测系统和方法”(申请号201811244932.5申请日2018.10.24申请公布号：CN109104441A)中公开了一种基于深度学习的加密恶意流量检测系统。该方法的具体步骤是，第一步：通过流量分析软件对加密流量数据进行分析，获得三个日志文件，连接并获得一系列的聚合数据；第二步：从上述的聚合数据中提取一系列的特征数据；第三步：利用xgboost算法，对第二步中的特征数据进行训练，获得第一模型；第四步：对于每条流量聚合的所有server name，利用word2vec训练出一个词向量转换模型，然后转换成词向量矩阵；第五步：将server name转换成词向量矩阵后，用LSTM进行训练，获得第二模型；第六步：利用数据包的payload中的特征，构建流量图，获得第三模型；第七步：将获得的三种模型，以不同比例进行加权，获得最终的恶意流量概率。该方法存在的不足之处是，在第七步获得最终恶意流量概率时需要将三种模型以不同比例进行加权，但对于如何分配三种模型的加权比例，该方法并没有明确指出，而在实际应用过程中，传统的人为干涉加权决策会破坏深度学习的端对端结构，从而削减了深度学习本身的自学习能力；此外，该方法虽然用到了xgbootst，CNN,LSTM三个模型,但是也只是简单的合并其分类概率，并没有完全利用到流量的时空特征来实现分类。综上，因此该方法在实现加密恶意流量检测时具有很大的局限性。

中国科学院声学研究所在其申请的专利文献“一种基于表征学习的网络流量分类的方法及装置”(申请号：201711189690申请日：2018-06-15申请公布号：CN201711189690.XA)中公开了一种基于表征学习的网络流量分类的方法及装置。该方法的具体步骤是，第一步：将获取到的网络流量数据进行预处理，其中包括将获取到的网络流量数据进行流量切分以及将切分后的流量数据的长度进行统一，并将经过切分和长度统一处理后的网络流量数据进行编码,生成特定格式的数据；第二步：对预处理后的网络流量数据使用表征学习中的卷积神经网络算法进行特征提取，将所述网络流量数据生成网络流向量；第三步：根据所述网络流向量对所述网络流量数据进行分类,可实现对网络流量的分类。该方法存在的不足之处是，只结合了流量所有的空间特性，而对于流量本身时序特性的利用有一定的缺失，使其在分类中准确率较低，容易出现误判；该方法需要人为对流量的特征进行提取，其所需要耗费的人工和时间成本都比较大，无法做到端到端的网络流量分类。综上，该方法在实现加密恶意流量检测时具有很大的局限性。

发明内容