[发明专利]一种基于深度神经网络的加密网络流量识别方法

摘要

本发明涉及一种基于深度神经网络的加密网络流量识别方法，属于深度学习、网络服务安全以及流量识别技术领域。所述基于深度神经网络的加密网络流量识别方法，包括：步骤1、基于抓取、部署以及提取操作获取离线数据集，生成训练集及测试集；步骤2、搭建深度神经网络模型；步骤3、数据读取、模型训练及参数优化，将离线数据集输入深度神经网络模型中训练及迭代直至准确率达标后即停止训练；步骤4、搭建、部署在线网络流抓取平台，抓取在线数据集；步骤5、在线网络流识别，得到识别结果。所述方法能更好提取流量数据的高维特征；与现有深度神经网络相比具有更好的多分类识别准确率，更低的假阳率和误报率，保证了加密数据流在线识别的高效性。

主权项

1.一种基于深度神经网络的加密网络流量识别方法，其特征在于：包括如下步骤：步骤1、基于抓取、部署以及提取操作获取离线数据集，生成训练集及测试集，具体为：步骤1.1基于网络抓包工具搭建数据集获取平台，监听并存储流经该数据集获取平台的SSL/TLS加密网络流量；步骤1.2选择多个网关及网络纽带节点部署步骤1.1中的数据集获取平台，生成多个离线数据子集；步骤1.3合并步骤1.2生成的多个离线数据子集，过滤掉非SSL/TLS加密协议的数据包，生成过滤后的数据包，再基于过滤后的数据包提取多条数据流；步骤1.4将步骤1.3提取的每条数据流中的前N个数据包的七元组缩减为三元组表示，再将该三元组存储为3*N的二维矩阵；步骤1.5将所有离线数据子集中数据流重新组合为两个数据集：一个训练集以及一个测试集，具体为：随机选取所有离线数据子集中的80％的数据流汇集为训练集；随机选取所有离线数据子集中的20％的数据流汇集为测试集，以此作为分类和识别的标签；步骤2、搭建深度神经网络模型，具体为：步骤2.1针对步骤1中生成的三元组加入深度神经网络的一个卷积层，调整输入格式为3*N的形式；其中，一个卷积层的参数包括卷积核个数、卷积核大小、卷积核步长以及填充格式；步骤2.2在步骤2.1后加入一个激活函数层，该激活函数层的参数为激活函数种类；步骤2.3在步骤2.2后加入一个池化层，该池化层的参数包括池化层种类、池化核大小、池化核步长以及填充格式；至此，从步骤2.1到步骤2.3，搭建了第一个特征提取模块，该特征提取模块包括一个卷积层、一个激活函数层以及一个池化层；步骤2.4重复步骤2.1到步骤2.3，搭建本深度神经网络的第二个特征提取模块；其中，第一个特征提取模块以及第二个特征提取模块中所包含的卷积层、激活函数层以及池化层中的参数种类相同，但是参数值不同；步骤2.5加入Flatten扁平化层；步骤2.6加入一个全连接层，该全连接层的参数为神经元个数；步骤2.7加入一个激活函数层，该激活函数层的参数为激活函数种类；至此，从步骤2.6到步骤2.7，搭建了第一个全连接层模块，该全连接层模块包括一个全连接层以及一个激活函数层；步骤2.8重复步骤2.6到步骤2.7，搭建第二个全连接层模块；其中，第一个全连接层模块以及第二个全连接层模块中所包含的全连接层以及激活函数层的参数种类相同，但是参数值不同；步骤2.9加入一个全连接层，该全连接层的神经元个数为所需分类的来源IP地址总类数；步骤2.10加入softmax函数层；至此，从步骤2.1到步骤2.10，搭建起了深度神经网络；其中，BN层即Batch Normalization层，为批正规化层；步骤3、数据读取、模型训练及参数优化，将步骤1得到的离线数据集输入步骤2得到的深度神经网络模型中进行训练，迭代直至准确率达标后即停止训练，得到训练好的深度神经网络模型，具体包括如下子步骤：步骤3.1读取训练集，并将读取的训练集数据输入深度神经网络；步骤3.2使用训练函数训练神经网络，训练函数的参数为迭代次数，得到经过训练的深度神经网络；步骤3.3参数优化，针对步骤3.2得到的经过训练的深度神经网络内所有参数进行调整优化，使深度神经网络的识别准确率最终达到理想值；其中，深度神经网络内的所有参数包括步骤2.1至步骤2.8搭建深度神经网络过程中使用的全部参数以及步骤3.2使用的迭代次数；步骤4、搭建、部署在线网络流抓取平台，抓取在线数据集，输出三元组格式的数据流，具体包括如下子步骤：步骤4.1基于Wireshark或Tshark网络抓包工具，搭建在线网络流抓取平台，并截获流经该抓取平台的加密数据流为后续分类与识别操作提供数据支持；步骤4.2将步骤4.1中的在线网络流抓取平台部署于在线网络流识别的网络位置；步骤4.3在线抓取加密数据流，并过滤无用数据包，将其作为在线数据集；步骤5、在线网络流识别，将步骤4得到的三元组格式的数据流输入步骤3得到的训练好的深度神经网络模型中进行在线识别，即可得到识别结果。