CN113783795A - 加密流量分类方法及相关设备 - Google Patents
加密流量分类方法及相关设备 Download PDFInfo
- Publication number
- CN113783795A CN113783795A CN202110821994.3A CN202110821994A CN113783795A CN 113783795 A CN113783795 A CN 113783795A CN 202110821994 A CN202110821994 A CN 202110821994A CN 113783795 A CN113783795 A CN 113783795A
- Authority
- CN
- China
- Prior art keywords
- quic
- classification
- data packet
- data
- stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本公开一个或多个实施例提供一种加密流量分类方法及相关设备,首先对网络流量数据进行实时监控并抓取以获得QUIC数据包,对QUIC数据包进行分类得到不同的QUIC流,对QUIC流进行特征提取得到时序特征、字节流特征和统计学特征;将提取的特征按照预设要求输入第一分类模型和第二分类模型进行初步处理,将两个分类模型的处理结果输入朴素贝叶斯模型处理得到最终分类结果,这种分类方法及相关设备能够有效的进行QUIC加密流量的分类,具备准确率高、误报率低、机器性能消耗低等优点。
Description
技术领域
本公开涉及机器学习技术领域,尤其涉及一种加密流量分类方法及相关设备。
背景技术
快速用户数据报协议(Quick UDP Internet Connection,QUIC)是谷歌制定的一种基于UDP的低时延的互联网传输层协议。在2016年11月国际互联网工程任务组(IETF)召开了第一次QUIC工作组会议,到目前未知已开始进行大范围的应用。其中,QUIC加密协议是QUIC的一部分,它为连接提供了传输安全性。
为了维护国家的网络安全,同时也协助运营商实现更为灵活的网络管理、网络运维,加密流量分类任务就显得尤为重要。而网络安全和隐私保护正日益成为企业和网络用户关注的热点,原有的加密协议正逐渐淘汰,QUIC加密协议逐渐占据更多的应用场景,并可能在未来成为最流行的加密协议。然而,与之相对应的是,传统的加密流量分类方法并不能有效的对QUIC加密流量进行分类。
原有的加密协议,在传输层是基于TCP协议,而QUIC协议基于UDP协议,且在传输层之上,具有单独的数据包头部字段,需要进行单独处理,因此原有的加密协议分类方法,无法针对QUIC协议进行特征提取,也无法完成后续的加密流量分类。
QUIC协议近年逐渐完善、流行,而以往的加密流量分类方法,在进行QUIC流量分类时,准确率低,误报率高、占用更高的CPU时间,更多的内存空间,QUIC协议相比现有的SSL加密方法,无需一个往返就可建立连接,并且每个QUIC数据报的完整载荷(在UDP层之上)都是被认证和加密的,相比现有的加密协议,更难提取特征,更难分类。
发明内容
有鉴于此,本公开一个或多个实施例的目的在于提出一种加密流量分类方法及相关设备。
基于上述目的,本公开一个或多个实施例提供了一种加密流量分类方法,包括:
实时监控网络流量数据;
从所述网络流量数据中提取快速用户数据报协议QUIC数据包;
按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流;
从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征;
将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果;
将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果;
将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
基于同一发明目的,本公开一个或多个实施例还提供了一种QUIC加密流量分类装置,包括:
流量监控模块,实时监控网络流量数据;
数据提取模块,从所述网络流量数据中提取快速用户数据报协议QUIC数据包;
QUIC流划分模块,按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流;
特征提取模块,从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征;
第一分类模块,将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果;
第二分类模块,将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果;
最终分类模块,将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
基于同一发明目的,本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时能够实现加密流量分类方法。
基于同一发明目的,本公开一个或多个实施例还提供了一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令在被计算机执行时,使所述计算机实现加密流量分类方法。
从上面所述可以看出,本公开一个或多个实施例提供的加密流量分类方法及相关设备,可以有针对性地提取出QUIC数据包的时序特征、字节流特征和统计学特征,并结合集成学习的Stacking方法,建立多个机器学习模型,进行QUIC加密流量分类。相比之前的方法,本方法具备准确率高、误报率低、机器性能消耗低等优点,可以更高效的完成QUIC加密流量分类任务。
附图说明
为了更清楚地说明本公开一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个或多个实施例提供的加密流量分类方法的流程示意图;
图2为本公开一个或多个实施例提供的提取QUIC流的时序特征的步骤示意图;
图3为本公开一个或多个实施例提供的的加密流量分类装置示意图;
图4为本公开一个或多个实施例提供的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
如背景技术所述,由于QUIC协议在近年的逐渐完善,传统的加密流量分类方法,在进行QUIC流量分类时,准确率低,误报率高、占用更高的CPU时间,更多的内存空间;QUIC协议相比现有的SSL加密方法,无需一个往返就可建立连接,并且每个QUIC数据报的完整载荷(在UDP层之上)都是被认证和加密的,相比现有的加密协议,更难提取特征,更难分类。
为解决上述问题,本公开一个或多个实施例提供了一种加密流量分类方法即相关设备;首先对网络流量数据进行采集,并提取加密流量中的数据特征;然后,运用集成学习方法训练模型,进行流量分类:结合卷积神经网络、朴素贝叶斯算法,根据流量的多维特征进行模型构建并对模型进行训练及调优;最后将提取得到的数据特征输入调优好的模型进行加密流量分类。所述方法可以很好的提取出QUIC加密协议下的流量特征;与现有的加密流量识别方法相比而言,对QUIC加密流量进行应用级别分类,具有更高的准确率、更低的误报率、更低的机器性能消耗等优点,可以更好地完成QUIC流量的网络分类任务。
参考图1,本公开一个或多个实施例提供的加密流量分类方法步骤如下。
步骤S101,实时监控网络流量数据。
步骤S102,从所述网络流量数据中提取快速用户数据报协议QUIC数据包。
本步骤中,根据网络流量数据中的传输层端口号,以及上层指定字节,进行组合分析,来提取出QUIC数据包。
步骤S103,按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流。
本步骤中,得到QUIC数据包后,建立至少一个QUIC流;其中,预设规则包括,每个QUIC流与所述变长CID字段的一种字段内容对应;根据所述QUIC数据包中的所述变长CID字段,将提取到的所述QUIC数据包划入对应的所述QUIC流中;以及根据所述数据包序号对在所述QUIC流内的所述QUIC数据包排序,得到QUIC流后将其中的QUIC数据包从字节流转换为十进制数据。
步骤S104,从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征。
步骤S105,将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果。
步骤S106,将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果。
在步骤S105和步骤S106中,第一分类模型为时序学习模型,第二分类模型为表征学习模型,上述两种模型均采用了卷积神经网络模型,统计学特征在输入时模型时需进行一维化处理。
步骤S107,将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
本步骤中,朴素贝叶斯模型采用了sklearn库中的多项式贝叶斯算法。
作为一个可选的实施例,提取QUIC流的时序特征方法为:首先筛选出QUIC流的前N个数据包(N值可根据具体应用场景设置,默认为60),并将各个数据包相对该流首个数据包的到达时间、该数据包大小,作为该数据包的时序特征;参照图2,将N值设为默认值时,提取时序特征的步骤如下。
步骤S201,分析抓取到的QUIC流的QUIC数据包数量,排除数据包数量小于第一阈值的QUIC流,不对其进行分类。
本步骤中,在本公开的一个或多个实施例中,当N设置为60时,上述第一阈值可以设置为20。
步骤S202,若数据包数量为介于第一阈值和N之间,采用空数据包将数据包数量填充至N,然后进行特征提取。
步骤S203,若数据包数量大于N,筛选出该QUIC流的前N个数据包并进行特征提取。
在步骤S202和S203中,提取时序特征时,对于QUIC流接收的QUIC数据包,将其相对大小设为正值;对于QUIC流发送的数据包,将其相对大小设为负值,将筛选出的QUIC数据包的到达时间和相对大小组合为二维向量,作为该QUIC流的时序特征。
作为一个可选的实施例,在提取QUIC流的字节流特征时,首先去除每个数据包的传输层及以下字段,然后去除QUIC协议头部字段,将剩余数据,作为该数据包的有效数据。从每个QUIC流中提取出前M(M值可根据具体应用场景设置,默认900)个字节的有效数据,构建为一个一维向量,作为该QUIC流的字节流特征;其中,有效数据的字节数没有达到M时,进行空值填充。
作为一个可选的实施例,提取QUIC流的统计学特征时,设置一个QUIC流内不同数据包间的最大时间间隔为t(t值可根据具体应用场景设置,默认为45)。并默认等待t秒未接收到新的数据包,即为抓取了一个完整的QUIC数据流。然后设置该QUIC流中大小小于最低阈值的数据包为小数据包,大小位于最低阈值和最高阈值间的数据包为中数据包,大小大于最高阈值的数据包为大数据包。然后统计接收和发送两个方向的大、中、小数据包数量所占的比例,以及平均到达时间,构建一个二维向量,作为该QUIC流的统计学特征。在本公开的一个或多个实施例中,最低阈值可以设置为400字节,与其对应的最高阈值设置为800字节。
作为一个可选的实施例,进行一次QUIC流量分类的流程如下。
在主干网络中进行网络流量抓取,当一个QUIC流持续一分钟未抓取到新的QUIC数据包或抓取的QUIC数据包达到预设的数据包阈值时,认为该QUIC流抓取完全,并通过QUIC数据包的变长CID字段标记该QUIC流。本公开的一个或多个实施例中,数据包阈值可以设置为200个。
对QUIC流进行时序特征、字节流特征和统计学特征的提取,提取时序特征时,其N值可以设为默认值60;提取字节流特征时,其M值可以设为默认值900。
构建三个机器学习模型:时序学习模型,表征学习模型和朴素贝叶斯模型;其中,时序学习模型处理时序特征和统计学特征,其输入为长度为N的一维二频道向量,输出为六分类结果,该模型包括三个一维卷积层、二个一维最大池化层和二个全连接层,其损失函数采用最大似然函数;表征学习模型处理字节流特征和统计学特征,其输入为长度为M的一维一频道向量,输出为六分类结果,包括三个一维卷积层、二个一维最大池化层和二个全连接层,损失函数采用最大似然函数;朴素贝叶斯模型采用sklearn库中的多项式贝叶斯算法构建,输入为长度为12的一维向量,输出为六分类结果。
其中,时序学习模型和表征学习模型的训练均采用预设的QUIC加密流量数据集中的QUIC加密流量进行,从数据集中提取出一定数量的QUIC流,对其进行数据提取分别获取这些QUIC流的时序特征、字节流特征和统计学特征;将获取的QUIC流中的70%作为训练集,剩余30%作为测试集,使用训练集的时序特征、统计学特征进行时序学习模型的训练,并使用测试集验证时序学习模型的分类准确度是否达到预设要求,达到则时序学习模型训练完成,否则继续使用训练集训练时序学习模型,直到其分类准确度达到预设要求;同样,使用训练集的字节流特征和统计学特征对表征学习模型进行训练,使用测试集验证表征学习模型的分类准确度是否达到预设要求,没有达到的话继续使用训练集进行表征学习模型的训练。
将从实际网络流量中获取的QUIC流的对应特征分别整理后输入时序学习模型和表征学习模型,将第一分类结果和第二分类结果构建为长度为12的一维向量,输入朴素贝叶斯模型,输出包括文档、云储存、音乐、l聊天记录、视频、其他QUIC流量在内的六分类结果作为最终分类结果。
本公开一个或多个实施例提供的加密流量分类方法及相关设备,可以有针对性地提取出QUIC数据包的时序特征、字节流特征和统计学特征,并结合集成学习的Stacking方法,建立多个机器学习模型,进行QUIC加密流量分类。相比之前的方法,本方法具备准确率高、误报率低、机器性能消耗低等优点,可以更高效的完成QUIC加密流量分类任务。
需要说明的是,本公开一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种加密流量分类装置。
参考图3,所述加密流量分类装置,包括:
流量监控模块301,实时监控网络流量数据;
数据提取模块302,从所述网络流量数据中提取快速用户数据报协议QUIC数据包;
QUIC流划分模块303,按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流;
特征提取模块304,从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征;
第一分类模块305,将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果;
第二分类模块306,将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果;
最终分类模块307,将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本公开一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的加密流量分类方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的加密流量分类方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本公开实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本公开实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本公开实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的QUIC加密流量分类方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的加密流量分类方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的加密流量分类方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种加密流量分类方法,包括:
实时监控网络流量数据;
从所述网络流量数据中提取快速用户数据报协议QUIC数据包;
按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流;
从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征;
将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果;
将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果;
将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
2.根据权利要求1所述的分类方法,其中,所述从所述网络数据中提取QUIC数据以及按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流包括:
根据所述网络数据中的传输层端口号和上层指定字节,提取所述QUIC数据包,其中,所述数据包中包括变长CID字段和数据包序号;
建立至少一个QUIC流;其中,每个QUIC流与所述变长CID字段的一种字段内容对应;
按照所述QUIC数据包中的所述变长CID字段的字段内容,将提取到的所述QUIC数据包分类至与所述字段内容对应的所述QUIC流中;以及
根据所述数据包序号对在所述QUIC流内的所述QUIC数据包排序。
3.根据权利要求1所述的分类方法,其中,所述从所述至少一个QUIC流中分别提取特征,包括:
针对一个QUIC数据流,筛选出所述QUIC流的前N个所述QUIC数据包,将每个所述QUIC数据包相对于该QUIC流首个所述QUIC数据包的到达时间和数据包大小作为时序特征;其中,N为预先设定的整数。
4.根据权利要求3所述的分类方法,其中,所述从所述至少一个QUIC流中分别提取特征,还包括:
去除每个所述QUIC数据包的传输层及以下字段;
去除QUIC协议头部字段,将剩余数据作为该QUIC数据包的有效数据;
从每个所述QUIC流中提取前M个字节的所述有效数据构建为一维向量,作为每个所述QUIC流的所述字节流特征;其中,M为预先设定的整数。
5.根据权利要求3或4所述的分类方法,其中,所述从所述至少一个QUIC流中分别提取特征,还包括:
设置在一个所述QUIC流内,相邻的两个所述QUIC数据包的最大时间间隔为t,默认等待t秒没有接收到新的所述QUIC数据包即抓取了一个完整的所述QUIC流;根据预先设置的小数据包、中数据包以及大数据包的大小,统计所述小数据包、所述中数据包和所述大数据包在所述完整的所述QUIC流中的比例和平均到达时间,作为所述统计学特征。
6.根据权利要求1所述的分类方法,其中,所述第一分类模型为时序学习模型,所述第二分类模型为表征学习模型;
所述时序学习模型和所述表征学习模型均为卷积神经网络模型,包括三个一维卷积层、二个一维最大池化层和二个全连接层,所述卷积神经网络模型的损失函数采用最大似然函数;以及
所述方法进一步包括:
将所述统计学特征输入所述表征学习模型前,将所述统计学特征进行一维化处理。
7.根据权利要求1所述的分类方法,其特征在于,所述朴素贝叶斯模型采用sklearn库中的多项式贝叶斯算法。
8.一种加密流量分类装置,包括:
流量监控模块,实时监控网络流量数据;
数据提取模块,从所述网络流量数据中提取快速用户数据报协议QUIC数据包;
QUIC流划分模块,按照预设规则对所述QUIC数据包进行分类获得至少一个QUIC流;
特征提取模块,从所述至少一个QUIC流中分别提取时序特征、字节流特征和统计学特征;
第一分类模块,将所述时序特征和所述统计学特征输入第一分类模型处理得到第一分类结果;
第二分类模块,将所述字节流特征和所述统计学特征输入第二分类模型处理得到第二分类结果;
最终分类模块,将所述第一分类结果和所述第二分类结果输入朴素贝叶斯模型进行分类,输出最终分类结果。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现根据权利要求1至7中任意一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令在被计算机执行时,使所述计算机实现根据权利要求1至7中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110821994.3A CN113783795B (zh) | 2021-07-19 | 2021-07-19 | 加密流量分类方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110821994.3A CN113783795B (zh) | 2021-07-19 | 2021-07-19 | 加密流量分类方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113783795A true CN113783795A (zh) | 2021-12-10 |
| CN113783795B CN113783795B (zh) | 2023-07-25 |
Family
ID=78836129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110821994.3A Active CN113783795B (zh) | 2021-07-19 | 2021-07-19 | 加密流量分类方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113783795B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338437A (zh) * | 2022-01-13 | 2022-04-12 | 北京邮电大学 | 网络流量分类方法、装置、电子设备及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130100849A1 (en) * | 2011-10-20 | 2013-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| CN109639481A (zh) * | 2018-12-11 | 2019-04-16 | 深圳先进技术研究院 | 一种基于深度学习的网络流量分类方法、系统及电子设备 |
| CN110011931A (zh) * | 2019-01-25 | 2019-07-12 | 中国科学院信息工程研究所 | 一种加密流量类别检测方法及系统 |
| CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、系统及设备 |
| US20200219005A1 (en) * | 2019-01-09 | 2020-07-09 | International Business Machines Corporation | Device discovery and classification from encrypted network traffic |
| US20200322243A1 (en) * | 2017-12-28 | 2020-10-08 | Huawei Technologies Co., Ltd. | Network Quality Measurement Method and Apparatus |
| CN112104570A (zh) * | 2020-09-11 | 2020-12-18 | 南方电网科学研究院有限责任公司 | 流量分类方法、装置、计算机设备和存储介质 |
| CN112163594A (zh) * | 2020-08-28 | 2021-01-01 | 南京邮电大学 | 一种网络加密流量识别方法及装置 |
| US20210044572A1 (en) * | 2019-08-06 | 2021-02-11 | At&T Intellectual Property I, L.P. | Classification of encrypted internet traffic |
| CN112583738A (zh) * | 2020-12-29 | 2021-03-30 | 北京浩瀚深度信息技术股份有限公司 | 一种分析归类网络流量的方法、设备及存储介质 |
| US20210168083A1 (en) * | 2019-11-28 | 2021-06-03 | Hewlett Packard Enterprise Development Lp | Real-time network application visibility classifier of encrypted traffic based on feature engineering |
| CN113037730A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于多特征学习的网络加密流量分类方法及系统 |
-
2021
- 2021-07-19 CN CN202110821994.3A patent/CN113783795B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130100849A1 (en) * | 2011-10-20 | 2013-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating and using multiple packet traffic profiling models to profile packet flows |
| CN108173704A (zh) * | 2017-11-24 | 2018-06-15 | 中国科学院声学研究所 | 一种基于表征学习的网络流量分类的方法及装置 |
| US20200322243A1 (en) * | 2017-12-28 | 2020-10-08 | Huawei Technologies Co., Ltd. | Network Quality Measurement Method and Apparatus |
| CN109639481A (zh) * | 2018-12-11 | 2019-04-16 | 深圳先进技术研究院 | 一种基于深度学习的网络流量分类方法、系统及电子设备 |
| WO2020119481A1 (zh) * | 2018-12-11 | 2020-06-18 | 深圳先进技术研究院 | 一种基于深度学习的网络流量分类方法、系统及电子设备 |
| US20200219005A1 (en) * | 2019-01-09 | 2020-07-09 | International Business Machines Corporation | Device discovery and classification from encrypted network traffic |
| CN110011931A (zh) * | 2019-01-25 | 2019-07-12 | 中国科学院信息工程研究所 | 一种加密流量类别检测方法及系统 |
| CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、系统及设备 |
| US20210044572A1 (en) * | 2019-08-06 | 2021-02-11 | At&T Intellectual Property I, L.P. | Classification of encrypted internet traffic |
| US20210168083A1 (en) * | 2019-11-28 | 2021-06-03 | Hewlett Packard Enterprise Development Lp | Real-time network application visibility classifier of encrypted traffic based on feature engineering |
| CN112163594A (zh) * | 2020-08-28 | 2021-01-01 | 南京邮电大学 | 一种网络加密流量识别方法及装置 |
| CN112104570A (zh) * | 2020-09-11 | 2020-12-18 | 南方电网科学研究院有限责任公司 | 流量分类方法、装置、计算机设备和存储介质 |
| CN112583738A (zh) * | 2020-12-29 | 2021-03-30 | 北京浩瀚深度信息技术股份有限公司 | 一种分析归类网络流量的方法、设备及存储介质 |
| CN113037730A (zh) * | 2021-02-27 | 2021-06-25 | 中国人民解放军战略支援部队信息工程大学 | 基于多特征学习的网络加密流量分类方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| 刘翼;嵩天;廖乐健;: "基于时序流的移动流量实时分类方法", 北京理工大学学报, no. 05 * |
| 周丁丁;崔永锋;董仕;: "基于贝叶斯更新机制的流量分类算法", 系统仿真学报, no. 11 * |
| 孔镇; 董育宁: "一种基于深度学习的网络流量细粒度分类方法", 信息科技, no. 03 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114338437A (zh) * | 2022-01-13 | 2022-04-12 | 北京邮电大学 | 网络流量分类方法、装置、电子设备及存储介质 |
| CN114338437B (zh) * | 2022-01-13 | 2023-12-29 | 北京邮电大学 | 网络流量分类方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113783795B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639481B (zh) | 一种基于深度学习的网络流量分类方法、系统及电子设备 | |
| WO2017166586A1 (zh) | 基于卷积神经网络的图片鉴别方法、系统和电子设备 | |
| CN112769633B (zh) | 一种代理流量检测方法、装置、电子设备及可读存储介质 | |
| CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
| CN109376743A (zh) | 图像处理方法、装置、图像识别设备及储存介质 | |
| CN111177469A (zh) | 人脸检索方法及人脸检索装置 | |
| CN113177209A (zh) | 基于深度学习的加密流量分类方法及相关设备 | |
| CN111355671B (zh) | 基于自注意机制的网络流量分类方法、介质及终端设备 | |
| CN113783795B (zh) | 加密流量分类方法及相关设备 | |
| WO2018037665A1 (ja) | 情報処理装置、情報処理システム、制御方法、及びプログラム | |
| CN116112287A (zh) | 基于时空关联的网络攻击组织追踪方法与装置 | |
| CN114760087B (zh) | 软件定义工业互联网中的DDoS攻击检测方法及系统 | |
| CN114448661A (zh) | 慢速拒绝服务攻击检测方法及相关设备 | |
| CN116129316A (zh) | 图像处理方法、装置、计算机设备和存储介质 | |
| US20190129767A1 (en) | Adaptive event aggregation | |
| CN111898529B (zh) | 脸部检测方法、装置、电子设备和计算机可读介质 | |
| CN115314239A (zh) | 基于多模型融合的隐匿恶意行为的分析方法和相关设备 | |
| CN113705386A (zh) | 视频分类方法、装置、可读介质和电子设备 | |
| CN109101646B (zh) | 数据处理方法、装置、系统及计算机可读介质 | |
| CN113673449A (zh) | 一种数据存储方法、装置、设备和存储介质 | |
| CN112613383A (zh) | 关节点检测方法、姿态识别方法及装置 | |
| CN109840535B (zh) | 实现地形分类的方法和装置 | |
| CN110287943A (zh) | 图像的对象识别方法、装置、电子设备及存储介质 | |
| CN114070581B (zh) | 域名系统隐藏信道的检测方法及装置 | |
| CN114978585B (zh) | 基于流量特征的深度学习对称加密协议识别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |