CN113472751A - 一种基于数据包头的加密流量识别方法及装置 - Google Patents

Abstract

本发明公开一种基于数据包头的加密流量识别方法及装置，包括提取加密流量中每个数据包的头部信息；依据所述头部信息，对该加密流量进行预处理，得到一流量矩阵；将该流量矩阵输入CapsNet模型，得到该加密流量的类别。本发明不仅可避免隐私问题，减轻数据传输和存储的压力，还可以同时学习加密流量的空间特征和字节特征，提升加密流量识别的精度。

Description

一种基于数据包头的加密流量识别方法及装置

技术领域

本发明提出了一种基于数据包头的加密流量识别方法及装置，它提出仅使用数据包头部字段作为加密流量识别的有效特征，结合胶囊神经网络(CapsNet)实现加密流量识别与分类。本发明涵盖数据包字段提取、训练CapsNet模型、加密流量识别，属于网络安全与计算机科学的交叉技术领域。

背景技术

网络流量识别技术旨在基于协议类型和用户行为对网络流量进行识别与分类，它已经成为高级网络管理的基础分析技术。为解决日益严重的网络攻击和威胁，流量识别技术可用于识别恶意的网络行为并及时阻止网络威胁的传播。从另一个角度看，随着网络技术的发展和新型应用的大量出现，流量识别技术同样可以通过提供特定的流量识别知识来改善网络资源利用。因此，流量识别技术已成为网络入侵检测和服务质量的关键技术手段。

在近十年内，基于明文的数据传输容易遭受中间人攻击和数据窃听，严重侵犯了用户的隐私。因此，越来越多的应用采用安全协议如SSL、VPN、Tor等协议以防止中间人攻击。同时，恶意软件为了躲避防火墙等安全软件的检测，同样使用加密技术来隐藏数据内容。在此情况下，流量加密成为网络应用和恶意软件普遍采用的事实标准做法。然而，由于应用层数据被加密隐藏，传统的流量识别技术不再有效，流量加密给网络管理带来新的挑战。

最近，基于深度学习的加密流量识别方法表现出良好的识别效果，成为主流的加密流量识别方法。一方面，许多研究都将加密流量的前N个字节(例如784、900、1024等)用作模型输入。然后，他们使用卷积神经网络(CNN)，堆叠式自动编码器(SAE)和其他模型来提取流量特征并实现加密流量识别与分类。但是，以上研究直接涉及到应用程序的有效负载，这很容易引起某些隐私问题。另外，由于大量的应用程序有效负载被用作模型的特征，同样对数据存储施加了很大的压力。另一方面，一些研究建议学习序列特征，例如流的包序列和流的消息序列。然而，这类方法容易受到环境和用户习惯的影响，鲁棒性低。

发明内容

针对现有技术中存在的技术问题，本发明提出了一种基于数据包头的加密流量识别方法及装置，基于数据包头的胶囊神经网络的加密流量识别模型(Only Header)，仅将数据包头用作模型的输入，从而避免了隐私风险并减轻了数据存储压力。

为达到目的，本发明采用具体技术方案是：

一种基于数据包头的加密流量识别方法，其步骤包括：

1)提取加密流量中每个数据包的头部信息；

2)依据所述头部信息，对该加密流量进行预处理，得到一流量矩阵；

3)将该流量矩阵输入CapsNet模型，得到该加密流量的类别。

进一步地，提取加密流量中每个数据包的头部信息之前，删除各数据包中的IP地址字段。

进一步地，提取头部信息的位置包括：Packet header、IP header和TCP/UDPheader。

进一步地，通过以下步骤得到流量矩阵：

1)依照会话粒度，对加密流量进行第一次切分；

2)依照数据包粒度，对各第一次切分后流量进行第二次切分；

3)根据设定流量尺寸，对各第二次切分后流量进行字节删除或字节补充，得到所述流量矩阵。

进一步地，通过以下步骤进行第一次切分：

1)设定加密流量为包含不同数据包pⁱ＝(xⁱ,bⁱ,tⁱ)的集合，其中i＝1,2,…,|P|，|P|表示数据包个数，xⁱ是第i个数据包的五元组，所述五元组包括：源IP、源端口、目的IP、目的端口和传输层协议，bⁱ是第i个数据包的字节长度，bⁱ∈(0,∞)，tⁱ是第i个数据包的开始时间， tⁱ∈(0,∞)；

2)根据所述五元组，对加密流量进行第一次切分。

进一步地，通过以下步骤进行第二次切分：

1)设置一设置数据包阈值

其中L_sample为存储各第二次切分后流量的文件字节长度，L_header为加密流量中所有TCP数据包头的总长度

2)依据数据包阈值C，对各第一次切分后流量进行切分，得到相应的第二次切分后流量 G_i，其中G_i＝{p¹＝(x¹,b¹,t¹),…,p^m＝(x^m,b^m,t^m)}，

F为第一次切分后流量。

进一步地，通过以下步骤得到该加密流量的类别：

1)CapsNet模型的第一层卷积层通过尺寸为9*9的卷积核进行步幅为1的卷积操作，输出20*20*256的张量，同时使用ReLU作为激活函数进行非线性变换；

2)在PrimaryCaps卷积层中，对20*20*256的张量执行8次不同权重的卷积操作，其中，每次卷积操作都是通过步幅为2、32个9*9的卷积核完成，最终输出6*6*8*32的向量结构；

3)DigitCaps层通过仿射变换和加权求和，对6*6*8*32的向量结构进行向量转换，并从输出向量的长度，得到加密流量的类别。

进一步地，所述类别包括：VPN加密流量识别与服务分类或Tor加密流量识别与服务分类。

一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述所述的方法。

一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机以执行上述所述的方法。

与现有技术相比，本发明的积极效果：

1.本发明提出了一种仅使用数据包头进行加密流量表征的预处理方法，仅使用数据包头可避免隐私问题，同时还可以减轻数据传输和存储的压力。

2.本发明提出了一种基于CapsNet的加密流量识别模型，该模型可以同时学习加密流量的空间特征和字节特征。

3.本发明采用公开可用的ISCX VPN-nonVPN和ISCX Tor-nonTor数据集上评估Only Header模型，实验结果表明Only Header优于最先进的加密流量识别方法。

附图说明

图1是本发明的整体流程图。

图2是本发明的基于CapsNet的模型架构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术核心作进一步详细的说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

在本发明中，设计了一种基于数据包头的加密流量识别方法。该方法的总体思路是通过仅提取数据包头进行加密流量表征，然后使用CapsNet建立加密流量识别模型，最终可对常规加密流量、VPN加密流量和Tor加密流量进行识别。更详细地说，本发明的模型首先提取报头，并在预处理中通过两次切分机制将流量分割，以稀释干扰流量并增加有效流量的权重。然后，它使用CapsNet学习流头的空间特征和字节特征，CapsNet将固定字符串的位置和数据包之间的顺序考虑在内。最后，通过完全连接的softmax层对加密流量进行识别。本发明针对加密流量不同的划分场景进行分类，在常规加密流量、VPN加密流量和Tor加密流量三种加密流量上进行服务类型(如即时通讯、流媒体等)的识别。

本发明在数据预处理过程中提出了一种提取数据包头和流量二次切分的方法。首先提取数据包的包头字段(Packet header、IP header、TCP header)，然后对只有包头字段的流量进行二次切分，目的在于提取包头字段可有效避免隐私问题，且删除有效载荷可大幅降低数据存储的压力，同时，使用流量二次切分机制可稀释无关流量的比重和增大有效流量的权重。此外，本发明结合CapsNet算法建立加密流量识别模型，在加密流量识别中，由于CapsNet在学习加密流量空间特征的同时，还能有效学习加密流量字节特征CapsNet可比其他传统算法如1dCNN和SAE体现更高的识别能力。

本发明的整体流程图如图1所示，所述方法的具体步骤细节描述为：

(1)数据包头字段提取

由于加密流量的应用层数据部分已被加密为随机化的字符，无法作为流量识别的有效特征，同时，应用层数据的存在会给数据传输和存储造成极大压力。因此，本发明对数据包头字段进行提取，具体包括提取数据包的Packet header、IP header和TCP header。本发明通过以下步骤将数据包头字段提取设计为Only Header的第一部分：提取数据包头，二次切分，字节填充。我们仅从原始流量中提取数据包头部，这样可以避免隐私风险并减轻数据存储压力。此外，我们通过二次切分机制以稀释干扰流量并增加有效流量。因此，数据包头字段可以实现包头字节的提取，流量切分，流量清理和流量标准化。

1)提取数据包头：

应用层载荷很容易造成用户隐私风险和产生极大的数据存储压力。因此本发明提取加密流量中每个数据包的头部信息(Packet header、IP header、TCP/UDP header)，此外，本发明通过删除数据包中的IP地址字段来避免模型过拟合。

2)二次切分：

由于加密流量由连续且长度不统一的若干数据包构成，因此使用机器学习对加密流量进行识别的首要任务是对加密流量进行切分。本发明通过流量二次切分进行加密流量离散化。首先第一次切分是按照会话粒度进行切分，然后第二次切分是按照数据包粒度进行切分，即通过设置单条会话流量中数据包数量的阈值继续对会话进行切分。

①会话切分：基于深度学习的流量识别方法需要将连续的流量以某种特定的粒度切分为离散单元。原始流量P是一个包含不同数据包p的集合，一个数据包pⁱ被定义为：

pⁱ＝(xⁱ,bⁱ,tⁱ) (1)

其中，i＝1,2,...,|P|，bⁱ∈(0,∞)，tⁱ∈[0,∞)，xⁱ是第i个数据包的五元组，bⁱ是第i个数据包的字节长度以及tⁱ是第i个数据包的开始时间。原始流量根据会话粒度(五元组相同的数据包集合)进行第一次切分，它被定义为：

F＝{p¹＝(x¹,b¹,t¹),...,pⁿ＝(xⁿ,bⁿ,tⁿ)} (2)

其中，x¹＝…＝xⁿ，t¹＜…＜tⁿ，n是F中的数据包数量。

②包切分：我们提出了一种包切分用于稀释无关流量的比重和增大有效流量的权重。具体是通过设置数据包阈值对会话流量进一步的细粒度切分，G表示经过包切分后的最新流量组，被定义为：

其中，G_i是会话流量F中的第i个最新流量组，m是G_i中的数据包数量，C是数据包的最大数量，它被定义为：

其中，L_sample表示存储流量组G_i的文件字节长度，L_header表示TCP数据包头的数据字节长度。所有离散单元的最大值C是统一的，设定C＝16。流量组字节长度统一为784字节，删除 IP地址后的TCP数据包头为48字节(TCP数据包头包括数据包头、IP包头和TCP包头，这三者加起来是56字节，IP地址是8字节，因此删除IP地址后是48字节)，理论上的最大包数量应为16.3字节，因此，设置C为16。

3)字节填充：使用神经网络需要固定大小的输入，因此我们将流量组G统一为784字节，如果流量尺寸大于784字节，则仅保留最开始的784字节；如果流量尺寸小于784字节，则用设定字符串(比如0x00)补齐到784字节。

(2)训练CapsNet模型

为有效学习加密流量的空间特征和字节特征，本发明使用胶囊神经网络对经过以上处理的加密流量建立识别模型。CapsNet使用向量作为模型输入，可将加密流量的属性如数据包间的顺序和特定字节的位置考虑在内。

本发明将经过以上预处理过程的流量作为CapsNet模型的输入，通过CapsNet提取流量的空间特征和字节特征。具体CapsNet实现架构如图2所示。

首先第一层卷积层通过尺寸为9*9的卷积核进行步幅为1的卷积操作，输出20*20*256 尺寸的张量，同时使用ReLU作为激活函数进行非线性变换。在本层卷积层中将感受野设置为9*9是因为较大的感受野在CNN层次较少的情况下能感受更多的信息。

在第二层PrimaryCaps卷积层中，需要为CapsNet构造向量结构，因此本层卷积层对 20*20*256的张量执行8次不同权重的卷积操作，其中，每次卷积操作都是通过步幅为2、32 个9*9的卷积核完成，最终输出6*6*8*32的向量结构。从上可知PrimaryCaps就相当于一个深度为32的普通卷积层，只不过每一层由以前的标量值变成了长度为8的向量。

第三层DigitCaps层则对上层输出的向量进行传播和动态路由更新。PrimaryCaps共输出 6*6*32即1152个向量，每个向量的维度为8，因此可看作1152个Capsule单元。第三层中有 3/12/14个标准的Capsule单元，每个Capsule的输出向量为16个元素。因此通过仿射变换和加权求和进行向量转换，最终求得的输出向量长度就表示为识别为某个类别的概率。

(3)加密流量识别

利用经过以上步骤训练的模型完成加密流量识别，即对于一待识别分类的流量，首先将其划分并转换为流量矩阵，然后将流量矩阵输入上述训练好的模型即可得到该流量的类别，包括：VPN加密流量识别与服务分类和Tor加密流量识别与服务分类。

(4)实验结果对比

为验证本发明的有效性，我们采用ISCX VPN-nonVPN和ISCX Tor-nonTor数据集作为原始数据，借助精度、查准率、查全率、F1值四个指标与现有方法比较，以此评估本发明的有效性。

1)VPN加密流量识别与服务分类的对比

为了评估和比较Only Header在VPN加密流量识别与服务分类的有效性，我们采用ISCX VPN-nonVPN中的12中流量进行实验。如表3所示，所有类别的查准率和查全率均达97％以上，9中类别(除Chat、Email、Voip)的F1值达到99％以上。

表1 VPN加密流量识别与服务分类实验结果

2)Tor加密流量识别与服务分类的对比

为了评估和比较Only Header在Tor加密流量识别与服务分类的有效性，我们采用ISCX Tor-nonTor中的14种流量进行实验。如表4所示，Tor加密流量识别精度高达99.3％，除Chat 和Email类别外，其他类别的查准率和查全率均达到99％以上。

表2 Tor加密流量识别与服务分类实验结果

以上实验均表明了Only Header可以实现有效的加密流量分类，且实验结果达到了实际应用的标准。

以上所述实施例仅表达了本发明的实施方式，其描述较为具体，但并不能因此理解为对本发明范围的限制。应当指出，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明的保护范围应当以所附权利要求为准。

Claims (10)

1.一种基于数据包头的加密流量识别方法，其步骤包括：

1)提取加密流量中每个数据包的头部信息；

2)依据所述头部信息，对该加密流量进行预处理，得到一流量矩阵；

3)将该流量矩阵输入CapsNet模型，得到该加密流量的类别。

2.如权利要求1所述的方法，其特征在于，提取加密流量中每个数据包的头部信息之前，删除各数据包中的IP地址字段。

3.如权利要求1所述的方法，其特征在于，提取头部信息的位置包括：Packet header、IP header和TCP/UDP header。

4.如权利要求1所述的方法，其特征在于，通过以下步骤得到流量矩阵：

1)依照会话粒度，对加密流量进行第一次切分；

2)依照数据包粒度，对各第一次切分后流量进行第二次切分；

3)根据设定流量尺寸，对各第二次切分后流量进行字节删除或字节补充，得到所述流量矩阵。

5.如权利要求4所述的方法，其特征在于，通过以下步骤进行第一次切分：

1)设定加密流量为包含不同数据包pⁱ＝(xⁱ，bⁱ，tⁱ)的集合，其中i＝1，2，...，|P|，|P|表示数据包个数，xⁱ是第i个数据包的五元组，所述五元组包括：源IP、源端口、目的IP、目的端口和传输层协议，bⁱ是第i个数据包的字节长度，bⁱ∈(0，∞)，tⁱ是第i个数据包的开始时间，tⁱ∈(0，∞)；

2)根据所述五元组，对加密流量进行第一次切分。

6.如权利要求4所述的方法，其特征在于，通过以下步骤进行第二次切分：

1)设置一设置数据包阈值

其中L_sample为存储各第二次切分后流量的文件字节长度，L_header为加密流量中所有TCP数据包头的总长度

2)依据数据包阈值C，对各第一次切分后流量进行切分，得到相应的第二次切分后流量G_i，其中G_i＝{p¹＝(x¹，b¹，t¹)，...，p^m＝(x^m，b^m，t^m)}，

F为第一次切分后流量。

7.如权利要求1所述的方法，其特征在于，通过以下步骤得到该加密流量的类别：

1)CapsNet模型的第一层卷积层通过尺寸为9*9的卷积核进行步幅为1的卷积操作，输出20*20*256的张量，同时使用ReLU作为激活函数进行非线性变换；

2)在PrimaryCaps卷积层中，对20*20*256的张量执行8次不同权重的卷积操作，其中，每次卷积操作都是通过步幅为2、32个9*9的卷积核完成，最终输出6*6*8*32的向量结构；

3)DigitCaps层通过仿射变换和加权求和，对6*6*8*32的向量结构进行向量转换，并从输出向量的长度，得到加密流量的类别。

8.如权利要求1所述的方法，其特征在于，所述类别包括：VPN加密流量识别与服务分类或Tor加密流量识别与服务分类。

9.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-8中任一所述方法。

10.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-8中任一所述方法。

Images