[发明专利]基于多尺度载荷语义挖掘的加密应用协议类型识别方法

权利要求书

1.基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，包括：

步骤1、对移动应用加密网络的原始流量进行预处理，提取传输层负载的载荷特征，并转换为十进制字节序列；

步骤2、基于载荷语义挖掘块构建金字塔型神经网络，获取十进制字节序列的词嵌入特征和位置编码特征，词嵌入特征和位置编码特征相加得到的输入特征序列；

步骤3、载荷语义挖掘块在输入特征序列上构建滑动窗口，滑动窗口依次移动直至输入序列末端，提取每次移动时滑动窗口内特征，将所有滑动窗口内提取的特征依次进行拼接，得到输入序列的特征；

步骤4、将输入序列的特征进行特征压缩和降维作为新的输入序列，重复步骤3-步骤4k次，将每次重复步骤3中得到的输入序列的特征进行拼接处理得到输入序列的多尺度特征；

步骤5、根据多次尺度特征完成加密网络应用协议类型的分类；

所述步骤3的子步骤包括：

步骤3.1、在输入特征序列上构建大小L个字节长度的滑动窗口；

步骤3.2、采用多头注意力机制对滑动窗口内数据进行特征提取，得到特征F4；

步骤3.3、对输入序列F3和特征F4进行残差连接和层归一化处理得到特征F5；

步骤3.4、对特征F5进行两层全连接层运算得到特征F6；

步骤3.5、对特征F5和特征F6进行残差连接和层归一化处理得到特征F7；

步骤3.6、滑动窗口向后移动L个字节，重复步骤3.2-步骤3.6，直到滑动窗口移动到输入序列的末端；

步骤3.7、将所有滑动窗口内的特征F7进行拼接得到特征F8，作为输入序列的特征。

2.根据权利要求1所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤1中预处理过程为：

步骤1.1、将数据包按五元组划分成会话流；

步骤1.2、对会话流进行清洗，去除超时重传的数据包、地址解析协议和动态主机配置协议的数据包；

步骤1.3、提取数据包中传输层负载的载荷特征，并按照数据包到达顺序将提取的载荷特征进行拼接，直至拼接后字节长度达到设定的载荷特征长度；

步骤1.4、将提取的拼接后的载荷特征转化为十进制字节序列。

3.根据权利要求2所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤1.3中，若会话流中所有数据包的载荷特征拼接后字节长度仍小于设定的载荷特征长度，则用0X00填充。

4.根据权利要求1或2所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤2中，将十进制字节序列的字节特征映射到d维的向量空间，得到词嵌入特征F1，，其中R表示矩阵中的实数。

5.根据权利要求4所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤2中，位置编码特征计算方法为：

 （1）

 （2）

 （3）

其中，pos表示字节出现在字节序列中的位置，（1）式左边表示在偶数位置的字节的位置编码，（2）式左边表示在奇数位置的字节的位置编码，，i为位置编码的维度下标对2取模，（1）式表示偶数位置用，（2）式表示奇数位置用，为位置编码的维度，为位置编码特征，（3）式中表示字节序列中各个字节的位置编码。

6.根据权利要求1所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤3.2的子步骤为：

步骤3.2.1、对滑动窗口内数据进行多头自注意力计算，提取窗口内字节序列的关联关系；

步骤3.2.2、根据设置的注意力头数M，重复M次步骤3.2.1，将每次提取的结果进行拼接和线性变换，得到滑动窗口内数据的特征F4。

7.根据权利要求1所述的基于多尺度载荷语义挖掘的加密应用协议类型识别方法，其特征在于，所述步骤4中，采用一维最大池化层完成特征压缩和降维，每次池化操作使特征第一维的维度减半。