[发明专利]一种基于孪生神经网络的加密流量分类方法

说明书

本发明属于网络加密流量分类技术领域，具体涉及一种基于孪生神经网络的加密流量分类方法。该方法首先提取待分类网络流数据中数据包的包特征，并进行特征级联，得到包特征向量；然后将包特征向量输入至训练好的特征处理网络模型中，以对包特征向量依次进行深度特征挖掘、扁平化处理、特征压缩得到流向量；最后对比待分类网络流数据的输出向量与各种已知类别网络流数据的输出向量，以对待分类网络流数据进行分类。本发明所使用的特征处理网络模型结构简单，采用了多头注意力机制捕捉数据包之间的关系并提升并行化程度，使用简单的1维CNN做进一步的特征抽取与融合，并且重复使用部分网络结构以降低参数量，从而实现简单高效的未知流量发现以及分类。

技术领域

本发明属于网络加密流量分类技术领域，具体涉及一种基于孪生神经网络的加密流量分类方法。

背景技术

随着互联网的快速发展，网络应用、协议层出不穷，使得网络流量种类变得复杂和繁多，对网络流量管理工作造成了一定障碍。同时，数据泄露、网络渗透、身份盗窃、勒索软件事件频繁发生，各国不断颁布新的关于网络安全的规定和规范，用户对安全和隐私的需要也日渐迫切，网络流量整体呈现出向加密化发展的趋势。网络流量识别是指根据特定目标，通过观察网络流量的特征，将网络流量分类为不同的集合，是网络行为分析、网络规划与建设、网络异常检测、网络流量模型研究的重点。近年来，由于加密网络流量的急剧增加，加密流量识别问题引起了研究人员的广泛关注。

目前，已对封闭环境中的加密流量识别进行了充分研究。但是，对于开放世界环境中的应用，还有更多的实际问题需要考虑，包括未知流量发现和模型效率挑战。

为了便于部署到实际应用中，加密流量识别模型需要发现在训练阶段未涉及到的未知流量类别。然而，大多数现有模型都是基于封闭世界假设，这意味着假设训练集已经包含模型部署环境中的所有流量类别。可见，这样的假设在许多实际应用中是不成立的。因此，用封闭集训练的分类器很容易将样本从未知类错误地分类到训练集中的某个已知类。为了解决这个问题，研究人员尝试开发支持已知类样本分类和未知类样本发现的模型。2017年Chen等人(Y.Chen,Z.Li,J.Shi,G.Gou,C.Liu,and G.Xiong,“Not afraid of theunseen:a siamese network based scheme for unknown traffic discovery,”in IEEESymposium on Computers and Communications,ISCC 2020,Rennes,France,July 7-10,2020.IEEE,2020,pp.1–7)提出了一种名为SEEN的未知流量发现模型，首次将孪生网络应用于加密流量识别区域。SEEN可以将已知流量分类为正确的类别并区分未知流量。但是，SEEN使用的流量特征比较粗糙，并且SEEN的网络结构比较复杂，限制了它的实际应用。

许多分类精度较高的加密流量识别模型都会使用复杂的神经网络结构，有些还会使用并行度较低的模型，例如LSTM(Kim,Tae-Young and S.Cho.“Web traffic anomalydetection using C-LSTM neural networks.”Expert Syst.Appl.106(2018):66-76)。这些模型具有很强的特征提取能力，但需要大量的训练数据。而且这些模型的效率不够高，模型更新复杂，几乎无法应对复杂多变的网络环境。

发明内容

本发明提供了一种基于孪生神经网络的加密流量分类方法，用以解决由于现有技术中模型结构复杂造成的无法适应复杂多变的网络环境的问题。

为解决上述技术问题，本发明所包括的技术方案以及技术方案对应的有益效果如下：

本发明提供了一种基于孪生神经网络的加密流量分类方法，包括如下步骤：

1)获取待分类网络流数据，提取待分类网络流数据中数据包的包特征，并进行特征级联，得到包特征向量；