[发明专利]基于多尺度载荷语义挖掘的加密应用协议类型识别方法

说明书

本发明提供了基于多尺度载荷语义挖掘的加密应用协议类型识别方法，包括：步骤1、对原始流量提取载荷特征，并转换为十进制字节序列；步骤2、基于载荷语义挖掘块构建金字塔型神经网络，对十进制字节序列处理得到的输入特征序列；步骤3、载荷语义挖掘块在输入特征序列上构建滑动窗口，滑动窗口依次移动到序列末端，拼接窗口中提取的特征得到输入序列的特征；步骤4、将输入序列的特征进行降维作为新的输入序列，重复步骤3‑步骤4，拼接每次得到的特征，得到多尺度特征；步骤5、根据多次尺度特征完成加密网络应用协议类型的分类。本发明能够提取复杂场景下加密网络应用协议报文中的多尺度特征，提高加密流量识别的速度与精度。

技术领域

本发明涉及流量解析领域，特别涉及一种基于多尺度载荷语义挖掘的加密应用协议类型识别方法。

背景技术

流量分类已有着非常广泛的应用，它是网络安全和网络管理的基础，从网络服务提供商中的QoS服务到防火墙和入侵检测系统中的安全应用的检测都离不开流量分类。目前流量分类主要采用基于端口号、深度包检查、基于机器学习等方法，但存在一定不足：

（1）传统的基于端口号的方法早已失效，因为更新的应用程序要么使用众所周知的端口号来掩盖其流量，要么不使用标准的注册端口号。

（2）深度包检查的方式依靠在数据包中寻找关键字，在面对加密流量时这种方法会失效。

（3）基于机器学习的加密网络流量识别方法很大程度上依赖于人类工程的特征，这限制了它们的普遍性。

随着深度学习方法的普及，研究人员对这些方法在流量分类任务上效果进行了研究，并在早期的移动应用流量数据集上展示了较高的准确性。随着加密协议的不断升级、移动应用数量的爆炸式增长以及移动应用开发方式的变化，浅层的深度学习模型已经无法满足当前复杂场景下移动应用流量识别的实际需要。目前提出的基于Transformer的加密流量识别方法虽然在特征学习上展示了较好的效果，但是在特征提取过程中更多地关注全局特征，忽略了隐藏在高分率的载荷数据中的细节特征，而这些局部特征在很多情况下却是实现精确分类的关键。

发明内容

为了解决浅层神经网络无法在目前的复杂场景下学习到加密流量中的深层次特征以及已有的深层神经网络过分关注全局特征导致细节特征丢失的问题，本发明提出一种新的加密网络应用协议类型识别方法，通过提取不同尺度的特征，充分利用包负载中的全局特征和不同尺度的局部细节特征，进而提高识别精度。

本发明采用的技术方案如下：基于多尺度载荷语义挖掘的加密应用协议类型识别方法，包括：

步骤1、对移动应用加密网络的原始流量进行预处理，提取传输层负载的载荷特征，并转换为十进制字节序列；

步骤2、基于载荷语义挖掘块构建金字塔型神经网络，获取十进制字节序列的词嵌入特征和位置编码特征，词嵌入特征和位置编码特征相加得到的输入特征序列；

步骤3、载荷语义挖掘块在输入特征序列上构建滑动窗口，滑动窗口依次移动直至输入序列末端，提取每次移动时滑动窗口内特征，将所有滑动窗口内提取的特征依次进行拼接，得到输入序列的特征；

步骤4、将输入序列的特征进行特征压缩和降维作为新的输入序列，重复步骤3-步骤4 k次，将每次得到的输入序列的特征进行拼接得到输入序列的多尺度特征；

步骤5、根据多次尺度特征完成加密网络应用协议类型的分类。

进一步的，所述步骤1中预处理过程为：

步骤1.1、将数据包按五元组划分成会话流；

步骤1.2、对会话流进行清洗，去除超时重传的数据包、地址解析协议和动态主机配置协议的数据包；

步骤1.3、提取数据包中传输层负载的载荷特征，并按照数据包到达顺序将提取的载荷特征进行拼接，直至拼接后字节长度达到设定的载荷特征长度；