[发明专利]一种网络加密流量分类方法

权利要求书

1.一种网络加密流量分类方法，其特征在于，该分类方法包括以下步骤：

1)获取待分类的加密流量数据包，截取前2^N字节作为原始序列，所述的N为大于等于6的正整数；

2)将原始序列的256字节分别按照2^N-1字节、2^N-2字节、…、2⁰字节中至少两种方式进行分组，得到相应的重组序列，并将重组序列与原始序列转换为十进制，得到特征向量；

3)统计相邻数据包到达时间间隔，根据时间间隔判断相邻数据包之间是否插入空白包；

4)根据空白包的个数和特征向量的维数将一个空白包对应一个全1矩阵；

5)将得到的特征向量和全1矩阵输入到已训练的网络加密流量分类器中，所述的网络加密流量分类器采用深度神经网络模型。

2.根据权利要求1所述的网络加密流量分类方法，其特征在于，所述的深度神经网络模型包括卷积神经网络、长短期记忆网络和全连接层网络，所述的卷积神经网络和长短时记忆网络用于将原始数据映射到隐层特征空间，所述的全连接层网络用于将学到的分布式特征表示映射到样本标记空间。

3.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述的卷积神经网络包含10个四层1D-CNN。

4.根据权利要求3所述的网络加密流量分类方法，其特征在于，所述的长短期记忆网络用于将卷积神经网络中最后一层连续的10个CNN输出拼接到一起，包括有输入门、遗忘门和输出门，所述的输入门包含有包含sigmod函数I(t)和tanh函数R(t)。

5.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述的全连接层网络包括三个全连接层，第一个全连接层输入为长短期记忆网络的输出，第一个全连接层的输出为输入的一半；第二个全连接层的输入为第一个全连接层的输出，第二个全连接层的输出接入到Dropout层，用于按照一定的概率将训练单元从网络中移除，以防止过拟合；第三个全连接层输入为Dropout层的输出，第三个全连接层的输出连接一个softmax分类器。

6.根据权利要求1所述的网络加密流量分类方法，其特征在于，当N等于8时，截取获取的加密流量数据包前256字节，不足256字节的补0，得到原始序列p₂₅₆＝(b₁，b₂，...，b_8×256)，其中b₁，b₂，...，b_8×256表示流数据的比特值；将原始序列的256字节分别按64字节、32字节、16字节、8字节分组，得到四个相应的重组序列。

7.根据权利要求6所述的网络加密流量分类方法，其特征在于，得到的重组序列为：

其中p_α表示长度为256字节分组为α的包序列，表示包序列p_α的第i个分组，表示包序列分组中的j个比特位，重组时的分组长度α∈{8，16，32，64，256}，分组包序列中比特j∈{1，2，...，8α}，则p_α用表示为：

按1字节的长度分隔256字节，依次提取每组第j比特作为重组后的部分，得到256字节的重组序列：

将重组后得到的4条序列以及原始序列转换为十进制，按照每个字节取值0-255，则得到5×256维的矩阵

8.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述卷积神经网络的通道数等于重组序列的个数加1。

9.根据权利要求1所述的网络加密流量分类方法，其特征在于，所述步骤3)中若相邻数据包到达时间间隔大于1s，则插入一个空白包，若不到1s，则不插入空白包。