CN113627502A

CN113627502A - 一种网络加密流量分类方法

Info

Publication number: CN113627502A
Application number: CN202110871590.5A
Authority: CN
Inventors: 顾纯祥; 胡馨艺; 魏福山; 杨本朝
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2021-07-30
Filing date: 2021-07-30
Publication date: 2021-11-09

Abstract

本发明涉及一种网络加密流量分类方法，属于加密网络流程分类技术领域。本发明通过对加密流量数据包的有效载荷进行切割和重组，使其更高效地提取数据的统计特征，将原始序列与重组序列中的十进制数值(0‑255)对应特征向量的一维数据，从而帮助深度学习加快统计特征的学习，保证对网络加密流量进行有效地分类；并通过统计不同类别的相邻两个网络流数据包到达时间的间隔，将时间间隔的信息在改变表现形式后加入到已有的特征数据中进行辅助分类，确保分类器在训练过程中能够感知到这种间隔信息，从而更有效地对网络加密流量进行分类。

Description

一种网络加密流量分类方法

技术领域

本发明涉及一种网络加密流量分类方法，属于加密网络流程分类技术领域。

背景技术

随着互联网的快速发展，网络应用、协议层出不穷，使得网络流量种类变得复杂和繁多，这对网络流量管理工作造成了一定障碍。随着数据泄露、网络渗透、身份盗窃、勒索软件事件的时有发生，各国不断颁布新的关于网络安全的规定和规范，用户对安全和隐私的需要也日渐迫切，网络流量整体呈现出向加密化发展的趋势。流量加密的使用是一把双刃剑，虽然提高和维护了用户的安全性和隐私性，但同时使得网络链路中的第三方无法使用深度包检测(DPI)技术对流量载荷中的关键字段进行匹配和筛查，对防火墙的流量审查工作造成了一定障碍。

随后机器学习兴起，并很快在众多领域取得丰硕成果，引起人们的广泛关注。同时也启发安全人员将机器学习技术引入流量分析领域，从统计学角度分析和研究加密流量。虽然取得了巨大成效，但是传统的机器学习分类器，如支持向量机、随机森林等，均要求研究人员依据专家知识，手动构造特征集，也就是特征工程。特征集的构建很大程度上影响了分类任务的结果，而在很多实际情况下，研究人员对问题的经验仍不充足，关键的统计学特征经常被遗漏，导致模型效果欠佳。为了解决这一技术瓶颈，深度学习得到迅速发展。以人工神经网络为代表的深度学习技术，因能够在特征工程方面能够自动挖掘特征，大幅降低人为干预，发现数据间人类未曾发现的关联关系，较机器学习具有明显优势。

深度神经网络方法作为一种端到端的模型，可以通过整体优化得到更好的分类结果，且不需要过多的人工干预。人工神经网络在加密流量分类任务中的应用，使分类效果得到进一步提升，如2017年Zhou等人(Zhou,Huiyi et al.“AMethod of Improved CNNTraffic Classification.”2017 13th International Conference on ComputationalIntelligence and Security(CIS)(2017):177-181.)提出的一种基于改进卷积神经网络的流量分类算法，将流量数据映射为灰度图像后作为改进后卷积神经网络的输入数据，与传统分类方法相比，该方法可以提高分类精度，减少分类时间；2017年Wang等人(Wang,W.etal.“Malware traffic classification using convolutional neural network forrepresentation learning.”2017International Conference on InformationNetworking(ICOIN)(2017):712-717.)将流量数据处理成图像，直接作为分类器的输入数据，利用卷积神经网络对恶意软件进行流量分类；2018年Kim等人(Kim,Tae-Young andS.Cho.“Web traffic anomaly detection using C-LSTM neural networks.”ExpertSyst.Appl.106(2018):66-76.)提出的C-LSTM模型，将网络流中的数据包当成一维的灰度图，传入CNN模型中进行学习并转化为向量形式，再用LSTM模型对网络流进行序列学习，最终传入全连接网络，得到分类结果等。

网络流量分类器就是将网络中获取的加密流量按照不同的要求和功能进行区分，进而对网络进行检测与管理，从而更好维护网络空间安全，优化网络配置，降低网络安全隐患，根据用户的行为提供更好的服务质量。然而，目前存在的对基于神经网络的网络加密流量分类方法大多数都有自己的限制，如在将网络流转换成神经网络可识别的数据时，模型抛弃了一些显而易见的特征，或人们经过几十年努力而取得的密码分析知识难以与神经网络模型相融合。这将导致分类任务的准确率下降，或需要更大规模数据集、更复杂神经网络、更多计算资源和更长时间代价来训练模型，而这种成本的增加，可能是难以承受的。

发明内容

本发明的目的是提供一种网络加密流量分类方法，以解决目前流量分类方法中存在的准确性差、训练过程复杂的问题。

本发明为解决上述技术问题而提供一种网络加密流量分类方法，该分类方法包括以下步骤：

1)获取待分类的加密流量数据包，截取前2^N字节作为原始序列，所述的N为大于等于6的正整数；

2)将原始序列的256字节分别按照2^N-1字节、2^N-2字节、…、2⁰字节中至少两种方式进行分组，得到相应的重组序列，并将重组序列与原始序列转换为十进制，得到特征向量；

3)统计相邻数据包到达时间间隔，根据时间间隔判断相邻数据包之间是否插入空白包；

4)根据空白包的个数和特征向量的维数将一个空白包对应一个全1矩阵；

5)将得到的特征向量和全1矩阵输入到已训练的网络加密流量分类器中，所述的网络加密流量分类器采用深度神经网络模型。

本发明通过对加密流量数据包的有效载荷进行切割和重组，使其更高效地提取数据的统计特征，将原始序列与重组序列中的十进制数值(0-255)对应特征向量的一维数据，从而帮助深度学习加快统计特征的学习，保证对网络加密流量进行有效地分类；并通过统计不同类别的相邻两个网络流数据包到达时间的间隔，将时间间隔的信息在改变表现形式后加入到已有的特征数据中进行辅助分类，确保分类器在训练过程中能够感知到这种间隔信息，从而更有效地对网络加密流量进行分类。

进一步地，所述的深度神经网络模型包括卷积神经网络、长短期记忆网络和全连接层网络，所述的卷积神经网络和长短时记忆网络用于将原始数据映射到隐层特征空间，所述的全连接层网络用于将学到的分布式特征表示映射到样本标记空间。

进一步地，所述的卷积神经网络包含10个四层1D-CNN。

进一步地，所述的长短期记忆网络用于将卷积神经网络中最后一层连续的10个CNN输出拼接到一起，包括有输入门、遗忘门和输出门，所述的输入门包含有包含sigmod函数I(t)和tanh函数R(t)。

进一步地，所述的全连接层网络包括三个全连接层，第一个全连接层输入为长短期记忆网络的输出，第一个全连接层的输出为输入的一半；第二个全连接层的输入为第一个全连接层的输出，第二个全连接层的输出接入到Dropout层，用于按照一定的概率将训练单元从网络中移除，以防止过拟合；第三个全连接层输入为Dropout层的输出，第三个全连接层的输出连接一个softmax分类器。

进一步地，当N等于8时，截取获取的加密流量数据包前256字节，不足256字节的补0，得到原始序列p₂₅₆＝(b₁，b₂，...，b_8×256)，其中b₁，b₂，...，b_8×256表示流数据的比特值；将原始序列的256字节分别按64字节、32字节、16字节、8字节分组，得到四个相应的重组序列。

进一步地，得到的重组序列为：

其中p_α表示长度为256字节分组为α的包序列，

表示包序列p_α的第i个分组，

表示包序列分组

中的j个比特位，重组时的分组长度α∈{8，16，32，64，256}，分组

包序列中比特j∈{1，2，...，8α}，则p_α用

表示为：

按1字节的长度分隔256字节，依次提取每组第j比特作为重组后的部分，得到256字节的重组序列：

将重组后得到的4条序列以及原始序列转换为十进制，按照每个字节取值0-255，则得到5×256维的矩阵

进一步地，所述卷积神经网络的通道数等于重组序列的个数加1。

进一步地，所述步骤3)中若相邻数据包到达时间间隔大于1s，则插入一个空白包，若不到1s，则不插入空白包。

附图说明

图1是本发明网络加密流量分类方法的流程图；

图2是本发明网络加密流量分类方法采用的分类模型的网络架构图；

图3-a是采用本发明分类方法得到的混淆矩阵示意图；

图3-b是采用现有分类方法得到的混淆矩阵示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作进一步地说明。

本发明根据网络协议在传输数据时，普遍采用分组密码进行加密，加密得到的数据本身属于一种伪随机数据，它与真正的随机数据会存在细微差别，且密码分析理论的研究发现，电子密码本(ECB)模式的分组密码在多轮置换中存在非均匀的伪随机缺陷，不同分组会按照相同的加密方式加密，对网络流数据包的有效载荷进行切割和重组，使其更高效地提取数据的统计特征；将原始序列与重组序列中的十进制数值(0-255)对应特征向量的一维数据，以帮助深度学习加快统计特征的学习，保证对网络加密流量进行有效地分类。

本发明的流量分类方法首先定义网络流量的有效载荷，并基于定义的网络流量有效载荷对流数据进行特征提取；然后通过预处理算法得出提取的网络流量有效载荷的重组序列，每一个重组序列中的十进制数值对应特征向量的一维数据，并根据提取的网络流量有效载荷的重组序列对相邻数据包到达时间的间隔进行统计；再根据统计结果将时间间隔的表现形式改为在包间插入个数不同的空白包，根据空白包的个数和特征向量的维数将一个空白包对应一个5×256维的全1矩阵；在最后根据特征向量和全1矩阵，通过深度神经网络模型对待分类网络中的加密流量进行分类；该方法的具体实现流程如图1所示，具体实施步骤如下。

1.根据网络流量的有效载荷对数据进行特征提取。

网络流量的有效载荷指的是数据包除去包头等无关信息，传输的实际内容，英文为payload。，特征提取指的是从数据包有效载荷中截取前2^N字节作为原始序列，N为大于等于6的正整数。为方便描述，后续的数据包指的就是数据包的有效载荷。

对本实施例而言，N取8，对于提取的任意一个流数据包p，截取前256字节，不足256字节的补0，得到原始序列p₂₅₆＝(b₁，b₂，...，b_8×256)，其中b₁，b₂，...，b_8×256表示流数据的比特值。

2.原始序列的256字节分别按照2^N-1字节、2^N-2字节、…、2⁰字节分组，得到相应的重组序列，并将重组序列与原始序列转换为十进制，得到特征向量。

对本实施例而言，将原始序列的256字节分别按64字节、32字节、16字节、8字节分组，得到序列：

其中p_α表示长度为256字节分组为α的包序列，

表示包序列p_α的第i个分组，

表示包序列分组

包序列中比特j∈{1，2，...，8α}，则p_α用

表示为：

将P输入到5通道的卷积神经网络中，每个通道的输入一条1×256维的序列。

3.根据提取的网络流量有效载荷的重组序列对相邻数据包到达时间的间隔进行统计。

4.根据统计结果将时间间隔的表现形式改为在包间插入个数不同的空白包。

通过统计不同类别的相邻两个网络流数据包到达时间的间隔，将时间间隔的信息在改变表现形式后加入到已有的特征数据中进行辅助分类。本发明根据不同类别的数据包的时间间隔的统计结果，在将网络报文的时间间隔信息融入模型时，对数据包间隔在1秒以上的，插入一个空白的数据包，来表示这个流中出现1秒以上时间间隔的规律，对数据包间隔在1秒以内的，不插入空白的数据包，来表示这个流中出现1秒以内时间间隔可忽略。其中空白数据包并不是用全0的序列来表示，而是全1，这是为了避免神经网络内部各神经元的参数在遇到空白数据包时，不至于乘以0而失效。

5.根据空白包的个数和特征向量的维数将一个空白包对应一个5×256维的全1矩阵。

6.通过深度神经网络模型构建网络加密流量分类器，通过所述网络流量分类器对待分类网络中的加密流量进行分类。

本实施例构建的深度神经网络模型如图2所示，包括卷积神经网络(CNN)、长短期记忆(LSTM)网络、全连接层(Fully-Connected Layers)三个部分；在CNN中，矩阵P经过Relu和池化层后，由5×256维变为5×244维。CNN包含10个四层1D-CNN，对于每一个CNN，输入是5×256维的矩阵，其中5表示通道数。假设每一通道的输入为x＝(x₁，x₂，…，x₂₅₆)，i是特征的索引，j是特征映射的索引。第一层卷积层输出为：

其中W是权重，B是偏差，3表示内核大小。输出的通道数为10，则第一层输出为10×254维矩阵。第二层卷积层输出为：

其中1表示步长，3表示池化大小，

输出的通道数为20，则第二层输出为20×250维矩阵。三四层与第二层方法一致，输出的通道数依次为10和1，则最终CNN的输出为10个1×242维的向量。

CNN输出后进入concat层，用于将连续的10个CNN输出拼接到一起，LSTM的窗口为10，即连续10个同一流的包依次输入LSTM中。LSTM中主要包含输入门、遗忘门、输出门。假设LSTM在t时刻输入为X_t，已知前一时刻细胞状态为C_t-1和前一时刻隐状态为S_t-1，得到t时刻的输入门、遗忘门F(t)、细胞状态C_t和输出门O(t)，其中输入门包含sigmod函数I(t)和tanh函数R(t)：

C_t＝C_t-1*F(t)+I(t)*R(t)，

W和U分别表示隐状态和输入的权重矩阵，B表示偏差矩阵。最终输出为：S_t＝tanh(C_t)*O(t)

整个LSTM将10个242维的向量缩小至170维，约为原来的0.7。

输出后进入Fully-Connected Layers进行特征降维，在整个模型中起到“分类器”的作用。CNN和LSTM将原始数据映射到隐层特征空间，全连接层将学到的“分布式特征表示”映射到样本标记空间。设置第一个全连接层的输出为输入的一半，即85维向量，第二个全连接层后加一个Dropout层，按照一定的概率将训练单元从网络中移除，以防止过拟合，从而提升模型泛化能力，输出为8维向量，用于最终的分类。第三个全连接层后加一个softmax分类器

给定输入x_i和参数w，得到分配给正确分类标签的归一化概率，根据结果将数据分为8类完成模型的分类任务。

需要说明的是，如果增加了分组方式，得到的数据包相应行列式也会改变，因此在输入卷积神经网络时，对应的通道数也要改变。本实施例中卷积神经网络中的5通道是根据矩阵的行数为5确定的，卷积神经网络的通道数等于重组序列个数(分组方式个数)加1(特征向量)。

为验证本发明的有效性，本实施例中从公开的网络中收集了约9千个样本，其中VPN加密后数据5464个，非VPN数据3532个。基于收集的样本，一共进行三组实验：第一组实验中，区分VPN与非VPN流量数据，以及具体8种不同应用的流量时构造的网络加密流量分类器性能；第二组实验中，采用了不同的基础机器学习模型，即支持向量机和随机森林，构造网络加密流量分类器进行比较；第三组实验中，比较了数据预处理特征以及不同神经网络模型参数的性能，即数据包截短长度、空白数据包的插入、模型通道数的改变。三组实验中均采用十则交叉检验的方式进行实验，实验结果如表1所示。

表1

由表1可知，采用本发明的分类方法，当选择数据包截短长度为256字节、插入空白数据包、通道数为5时，构建的基于神经网络的网络加密流量分类器，二分类网络加密流量的准确率、精确度、召回率、F1值均超过97％，八分类的准确率可达到92.89％(八分类问题只比较准确率)，同表1中的其他方法构造的网络加密流量分类器相比，网络加密流量的分类准确率最高。同时，采用本发明方法得到的混淆矩阵如图3-a所示，现有方法得到的混淆矩阵图3-b。

Claims

1.一种网络加密流量分类方法，其特征在于，该分类方法包括以下步骤：

2.根据权利要求1所述的网络加密流量分类方法，其特征在于，所述的深度神经网络模型包括卷积神经网络、长短期记忆网络和全连接层网络，所述的卷积神经网络和长短时记忆网络用于将原始数据映射到隐层特征空间，所述的全连接层网络用于将学到的分布式特征表示映射到样本标记空间。

3.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述的卷积神经网络包含10个四层1D-CNN。

4.根据权利要求3所述的网络加密流量分类方法，其特征在于，所述的长短期记忆网络用于将卷积神经网络中最后一层连续的10个CNN输出拼接到一起，包括有输入门、遗忘门和输出门，所述的输入门包含有包含sigmod函数I(t)和tanh函数R(t)。

5.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述的全连接层网络包括三个全连接层，第一个全连接层输入为长短期记忆网络的输出，第一个全连接层的输出为输入的一半；第二个全连接层的输入为第一个全连接层的输出，第二个全连接层的输出接入到Dropout层，用于按照一定的概率将训练单元从网络中移除，以防止过拟合；第三个全连接层输入为Dropout层的输出，第三个全连接层的输出连接一个softmax分类器。

6.根据权利要求1所述的网络加密流量分类方法，其特征在于，当N等于8时，截取获取的加密流量数据包前256字节，不足256字节的补0，得到原始序列p₂₅₆＝(b₁，b₂，...，b_8×256)，其中b₁，b₂，...，b_8×256表示流数据的比特值；将原始序列的256字节分别按64字节、32字节、16字节、8字节分组，得到四个相应的重组序列。

7.根据权利要求6所述的网络加密流量分类方法，其特征在于，得到的重组序列为：

其中p_α表示长度为256字节分组为α的包序列，

表示包序列p_α的第i个分组，

表示包序列分组

包序列中比特j∈{1，2，...，8α}，则p_α用

表示为：

8.根据权利要求2所述的网络加密流量分类方法，其特征在于，所述卷积神经网络的通道数等于重组序列的个数加1。

9.根据权利要求1所述的网络加密流量分类方法，其特征在于，所述步骤3)中若相邻数据包到达时间间隔大于1s，则插入一个空白包，若不到1s，则不插入空白包。