[发明专利]一种基于转向包间隔概率分布的VPN流量分类方法

权利要求书

1.一种基于转向包间隔概率分布的VPN流量分类方法，其特征在于，包括以下步骤：

步骤1，加密流量数据采集：在计算机上开启若干种主流应用，产生若干种应用的流量，并使用OpenVPN产生每种应用相应的VPN流量，使用Wireshark在计算机进行数据包抓取获得网络流量数据，以pcap文件形式存储，最终得到若干种不同应用的加密流量数据和每种应用对应的VPN流量数据；

步骤2，数据包标识：对采集到的pcap源文件进行数据包的标识，将每个数据包按照八元组标识；

步骤3，组流过程：以步骤2中得到的数据包标识为基础，对每个数据包进行组流；

步骤4，转向包时间间隔特征提取：具体分为对TCP流的转向包间隔提取和UDP流的转向包间隔提取；

步骤4中， TCP流有两种情况：

（1）包含三次握手的TCP流；

（2）不包含三次握手的TCP流；

通过对齐数据包头中的序列号和确认号来确定两个数据包之间的响应关系，并根据两个数据包的传输方向是否相同来判断这两个数据包是否为相邻的转向包，如果两个数据包确定是相邻的响应关系，并且传输方向相反，则提取两个包之间的时间间隔作为一个转向包时间间隔；

对于UDP流，根据两个数据包的时间顺序和传输方向来判断是否为相邻转向包，具体来说就是先将流内的所有数据包按照时间排序，然后判断时间上相邻的数据包传输方向是否相反，如果相反则确定为相邻转向包，提取其时间间隔；

最终得到每一条流的转向包时间间隔序列{rev1,rev2,rev3…revn}，其中n表示该流中转向包间隔的数量；

步骤5，统计转向包时间间隔的概率分布；

步骤6，抽取概率分布特征：通过观察步骤5统计的关于转向包间隔的概率分布，在0到2秒区间内VPN流和非VPN流有着明显的差异；将该区间又划分为50个子区间，提取每个子区间更细粒度的概率分布作为特征，并将不在0到2秒这个区间的所有概率分布统一划分到1个特征中，最终得到51个特征用于训练分类器；

步骤7，训练模型；

步骤7中，使用集成学习中的随机森林算法训练模型，将每条流提取到的51个特征作为训练集输入得到最终的分类模型，用于对VPN流量和非VPN流量进行二分类。

2.根据权利要求1所述的一种基于转向包间隔概率分布的VPN流量分类方法，其特征在于，步骤1中，所采集的流量数据主要包括以下几类：

（1）BROWSING：在浏览或执行任何包括使用浏览器的任务时生成的HTTPS流量；

（2）VPN-BROWSING：使用OpenVPN之后，产生的BROWSING流量；

（3）CHAT：聊天标签标识即时消息应用程序；

（4）VPN-CHAT：使用OpenVPN之后，产生的CHAT流量；

（5）EMAIL：使用Thunderbird客户端以及Alice和Bob Gmail帐户生成的流量样本；客户端被配置为通过SMTP / S传递邮件，并在一个客户端中使用POP3 / SSL和在另一个客户端中使用IMAP / SSL接收邮件；

（6）VPN-EMAIL：使用OpenVPN之后，产生的EMAIL流量；

（7）STREAMING：连续且稳定的数据流的多媒体应用程序；

（8）VPN-STREAMING：使用OpenVPN之后，产生的STREAMING流量；

（9）FILE：主要用于发送或接收文件和文档的应用程序；

（10）VPN-FILE：使用OpenVPN之后，产生的FILE流量；

（11）VoIP：语音应用程序生成的所有流量；

（12）VPN-VoIP：使用OpenVPN之后，产生的VoIP流量；

（13）P2P：文件共享协议；

（14）VPN-P2P：使用OpenVPN之后，产生的P2P流量。