[发明专利]一种基于转向包间隔概率分布的VPN流量分类方法

说明书

本发明公开了一种基于转向包间隔概率分布的VPN流量分类方法，其特征在于：1)从网络采集较为广泛的加密流量数据；2)对流量数据进行数据包标识并组流，流以会话的形式表示隐含了更多有助于分类的统计信息3)针对VPN流量和非VPN流量分类，充分考虑到了这两种流量在传输过程中的差异，提取了一种新的高效的特征，称为转向包时间间隔，并且在此基础上通过对转向包时间间隔的概率分布统计更细粒度的对该特征进行了优化拓展，得到了基于转向包时间间隔的概率分布的统计特征；4)因为采用集成学习，拥有较传统流量分类模型更高的准确率和更广泛的应用范围，具有实际应用的优势。

技术领域

本发明涉及互联网应用技术领域，具体涉及一种基于转向包间隔概率分布的VPN流量分类方法。

背景技术

准确分类互联网流量是许多网络管理任务的基础，包括服务质量(QoS)控制，入侵检测和诊断监控。传统的流量分类方法一般是通过检查传输层报头中的16位端口号或调查数据包有效负载中的签名信息。但是随着动态端口技术应用越来越普遍，基于检查端口号的流量分类方法已不再适用，调查数据包的负载涉及到了用户的隐私安全问题，并且加密技术在网络通信上的应用使得第三方无法直接获得数据包的真实负载，这些都使得传统的基于数据包有效负载的流量分类方法不再适用。因此许多研究开始应用机器学习技术统计流量在传输层的特征去进行流量的分类。现今大多数的研究都是对应用进行分类，但是对于VPN和非VPN流量的分类却寥寥无几，这也是因为不同应用的流量在统计上有许多区分较大的特征，比如实时性要求较高的视频应用对应的数据流中，数据包之间的时间间隔相对较短等等。但对于VPN和非VPN流量而言，目前用来区分应用的特征都不太适用。而对于VPN流量的识别又十分重要，许多部门需要对部门内员工使用VPN进行管控，国家机构也需要对网民使用VPN进行管控，这就使VPN流量的识别工作提上了日程。

现在已经存在了许多利用机器学习方法对网络流量进行分类的工作。

现有技术提出了一种基于传输层特征的流量分类方法，来对网络流量进行应用级的分类，其主要包括：首先采集一段时间内的所有数据包，并从数据包中提取出作为训练集的数据流；接着对数据流进行预处理，并统计出数据流的一些统计特征，例如平均数据包大小、各数据包之间到达时间间隔，IP层的数据部分大小的统计特征等；然后对数据流进行手工的分类标记处数据流所属的应用类型构建训练集；之后对构造出的训练集进行机器学习，得到作为分类器的决策树；最后利用构建的分类器实现对位置的数据流数据进行准确的分类。

现有技术提出了一种网络流量聚类的方法，其方法主要包括：首先，收集全局的网络流量，并将采集到的网络流量按照单用户进行流量切割，生成所需的样本数据；然后根据样本数据对流量进行类型分类；接着根据流量类型选择不同的特征进行聚类。

上述运用机器学习对网络流量进行分类的方法，首先都只是对非加密的流量进行分类，而如今加密技术在网络通信方面应用越来越普遍，对加密流量进行流量分类的重要性越来越大，VPN流量本身就运用到了加密技术；其次，这些方法都是针对应用进行分类，无法对VPN和非VPN流量进行识别分类；

最后，这些方法在最终模型的选择上过于简单，使得分类的准确率不是很高。

发明内容

本发明的目的在于提供一种基于转向包间隔概率分布的VPN流量分类方法，以解决上述问题。

为实现上述目的，本发明采用以下技术方案：

一种基于转向包间隔概率分布的VPN流量分类方法，包括以下步骤：

步骤1，加密流量数据采集：在计算机上开启若干种主流应用产生若干种应用的流量，并使用OpenVPN产生每种应用相应的VPN流量，使用Wireshark在计算机进行数据包抓取获得网络流量数据，以pcap文件形式存储，最终得到若干种不同应用的加密流量数据和每种应用对应的VPN流量数据；

步骤2，数据包标识：对采集到的pcap源文件进行数据包的标识，将每个数据包按照八元组标识；