CN113822331A

CN113822331A - 加密流量的分类方法与装置以及电子设备

Info

Publication number: CN113822331A
Application number: CN202110922659.2A
Authority: CN
Inventors: 徐国爱; 王晨宇; 徐国胜; 毛江汉
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2021-08-11
Filing date: 2021-08-11
Publication date: 2021-12-21

Abstract

本公开提供一种加密流量的分类方法与装置以及电子设备。所述分类方法包括：通过从所述加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征；通过使用空洞卷积的残差网络对所述第一空间特征进行处理，得到第二空间特征；通过循环神经网络对所述第一时间特征进行处理，得到第二时间特征；通过第三神经网络，将所述第二空间特征与所述第二时间特征融合以得到融合特征，并基于所述融合特征对所述加密流量进行分类。根据本公开的实施例，可以提升加密流量分类的准确性以及在不同场景下的泛化性。

Description

加密流量的分类方法与装置以及电子设备

技术领域

本公开涉及网络安全技术领域，尤其涉及一种加密流量的分类方法与装置以及电子设备。

背景技术

加密流量分类是根据用户使用服务产生的加密流量，并对其进行分析，识别用户使用的服务类型。针对加密流量分析分类的研究包含网站加密流量分析，应用加密流量分析等。在这种分析工作中，访问网站主页的流量常常是研究的重要依据。针对应用的加密流量分析主要目的是根据加密流量分析用户使用的应用。

通过对加密流量进行分析和分类，可以更好的测试加密流量的安全性，以及对网络的安全监督。而现有的分类方法中，一些方法还需要人工去选择输入特征，这不仅需要很长的时间，而且还可能导致遗漏一些关键特征。而使用神经网络的分类方法，通常只考虑了加密流量的空间特征或时间特征，没有实现多种特征的结合，在不同场景的泛化性较差。

发明内容

有鉴于此，本公开的目的在于提出一种加密流量的分类方法与装置以及电子设备，以克服现有技术的不足。

基于上述目的，本公开提供了一种加密流量的分类方法，包括：

通过从所述加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征；

通过使用空洞卷积的残差网络对所述第一空间特征进行处理，得到第二空间特征；

通过循环神经网络对所述第一时间特征进行处理，得到第二时间特征；

通过第三神经网络，将所述第二空间特征与所述第二时间特征融合以得到融合特征，并基于所述融合特征对所述加密流量进行分类。

可选的，通过所述循环神经网络对所述第一时间特征进行处理包括：

通过双向门控循环单元(BiGRU)对所述第一时间特征进行处理。

通过长短期记忆(LSTM)神经网络对所述第一时间特征进行处理。

可选的，通过使用空洞卷积的残差网络对所述第一空间特征进行处理包括：

通过使用空洞卷积的ResNet-18网络对所述第一空间特征进行处理。

可选的，在所述ResNet-18网络的第四卷积层和第五卷积层中都使用所述空洞卷积。

可选的，所述第一空间特征包括所述加密流量中每个所述数据包的大小和方向，所述第一时间特征包括所述加密流量中所述数据包之间的时间间隔。

可选的，其中，所述第三神经网络包括卷积神经网络；

将所述第二空间特征与所述第二时间特征融合以得到所述融合特征包括：

通过所述卷积神经网络的全连接层，将所述第二空间特征与所述第二时间特征融合以得到所述融合特征。

基于同一发明构思，本公开还提供了一种加密流量的分类装置，包括：

提取模块，被配置为通过从所述加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征；

第一处理模块，被配置为通过使用空洞卷积的残差网络对所述第一空间特征进行处理，得到第二空间特征；

第二处理模块，被配置为通过循环神经网络对所述第一时间特征进行处理，得到第二时间特征；

分类模块，被配置为通过第三神经网络，将所述第二空间特征与所述第二时间特征融合以得到融合特征，并基于所述融合特征对所述加密流量进行分类。

可选的，所述循环神经网络包括双向门控循环单元(BiGRU)。

基于同一发明构思，本公开还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现如上所述的方法。

从上面所述可以看出，本公开提供的加密流量的分类方法，通过从原始加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征，再分别通过使用空洞卷积的残差网络和循环神经网络对第一空间特征和第一时间特征进行处理以得到第二空间特征和第二时间特征，最后通过第三神经网络将第二空间特征与第二时间特征进行融合，得到融合特征，根据融合特征实现对加密流量的分类，从而将加密流量的空间特征与时间特征有效地结合，可以增大对于空间特征的感受野，提升加密流量分类的准确性以及在不同场景下的泛化性。

附图说明

为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例的加密流量分类方法的流程示意图；

图2为本公开实施例的系统架构示意图；

图3a为普通卷积神经网络示意图；

图3b为本公开实施例的空洞卷积神经网络示意图；

图4为本公开实施例的双向门控循环单元架构示意图；

图5为本公开实施例的加密流量分类装置的结构示意图；

图6为本公开实施例的电子设备的结构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的模块或者元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他模块或者元件或者物件。

如背景技术部分所述，加密流量分析和分类能够测试加密流量的安全性。对用户使用服务产生的流量进行分析，识别用户使用的服务类型，称为加密流量分类。其中，加密流量分为网站加密流量分析和应用加密流量分析，其中，网站加密流量分析的研究目的为根据用户生成的加密流量识别用户访问的具体网站，在网站加密流量分析中，访问网站主页的流量常常是研究的重要依据；应用加密流量分析主要目的为了通过对加密流量进行分析，得到用户使用的服务类型。而现有的加密流量分类方法包括传统的机器学习方法和深度学习方法。其中，传统的机器学习方法需要通过人工选择输入特征，不仅会需要很长的时间，而且可能会导致遗漏关键特征。而深度学习方法则存在在不同的场景中泛化性较差的问题。

针对上述现有技术中存在的情况，本公开的实施例采用了先对得到的加密流量进行解析，得到多个数据包，根据数据包的大小、方向以及数据包之间的时间间隔，得到第一时间特征和第一空间特征；通过使用空洞卷积的残差网络中的扩张卷积对所述第一空间特征进行处理，从而提升模型对于空间特征的感受野，以实现对数据包之间的关联性的计算以及深层次的特征提取，得到第二空间特征；通过双向门控循环单元对第一时间特征进行处理，以解决数据在反向传播中的长期记忆和梯度消失的问题，得到第二时间特征；最后通过卷积神经网络的全连接层将第二空间特征与所述第二时间特征进行融合得到所述融合特征，以提升分类的准确性。

以下，结合附图详细说明本公开的一个或多个实施例。

参考图1，根据本公开实施例的加密流量分类方法包括：

S101、通过从所述加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征。

在一些实施例中，由于神经网络不能直接接受pcap数据，因此，先将抓取到的加密流量进行数字化，将数据格式转换为数学表达式的形式，得到加密流量对应的数学表示方式，得到加密流量所对应的多个数据包，从而克服神经网络不能接受pcap数据的问题。其中，加密流量对应的数学表示方式包括：

T_C＝<(t₁,s₁,d₁),(t₂,s₂,d₃),...,(t_n,s_n,d_n)>

其中，t_i表示第i个数据包和该流量前一个数据包之间的时间间隔，s_i表示第i个数据包的大小，d_i表示第i个数据包的方向，取值为+1或-1，+1表示传出流量，-1表示传入流量。

在一些实施例中，加密流量分为传出流量和传入流量，其中，从客户端发送到服务器的加密流量称为传出流量表示为+1，从服务器发送到客户端的加密流量称为传入流量，也就是与传出流量相反方向的加密流量，表示为-1。

在一些实施例中，数据包具有：大小、方向以及时间属性，其中，时间属性指数据包之间的时间间隔。当对加密流量进行第一次特征提取时，根据数据包的大小和方向，得到第一空间特征；根据数据包之间的时间间隔，得到第一时间特征。

在一些实施例中，为了实现快速、标准的将加密流量转换为数学形式的表示，从而设定特定长度，当加密流量不符合预先设定的特定长度时，通过对加密流量进行填充或删除，使得加密流量满足转换所需的特定长度。

S102、通过使用空洞卷积的残差网络对所述第一空间特征进行处理，得到第二空间特征。

使用空洞卷积的残差网络中引入了跳跃连接，使得在训练过程中，可以自适应结构，从而避免网络的退化，提高模型的准确率，也就是模型可以选择在具体部分是做更多的卷积和非线性变换，或者是不进行任何处理。

在一些实施例中，卷积神经网络，由多个卷积层、池化层和一个全连接层组成，在进行特征提取时，将需要进行分类的数据输入卷积层，不同的卷积层从数据中提取不同的局部特征。

参考图2，在一些实施例中，通过使用空洞卷积的ResNet-18网络，对所述第一空间特征进行处理。深度残差网络中每个卷积层的内核大小为3，这意味着每个卷积层只能处理一维序列上的3个相邻输入，而数据传输过程中，一个数据包可能会与数百个数据包之前的某个数据包相关，因此，现有的深度残差网络中“只能处理一维序列上的3个相邻输入”并不能满足对于加密流量分类的需要。

在一些实施例中，深度残差网络中较低的卷积层更接近原始数据，而较高的卷积层更了解网络流量数据中的有用信息，因此，如空洞卷积概念，并在更高级别的卷积层中使用空洞卷积，以获得更多的有用信息。

在一些实施例中，空洞卷积的ResNet-18网络的第四卷积层和第五卷积层中都使用所述空洞卷积。ResNet-18网络在神经网络的高层次上建立了长期空间特征理解。当输入的数据的长度相同时，使用扩张卷积的神经网络模型可以在保持内部数据的同时产生更大的感受野。并且，引入了扩张卷积的神经网络模型并不会增加要训练的参数数量，从而避免了额外的训练负担。例如，传统的卷积神经网络参考图3a，的内核值为3，也就是只能对三个相邻的输入进行特征提取，而空洞卷积的残差网络参考图3b，内核值为3，每一层的扩张率分别为(1,2,2,2)，也就是改变了扩张卷积的大小。虽然空洞卷积的残差网络内核值没有发生改变，但扩张率的改变，足以使模型获得更大的感受野。并且引入扩张卷积并不会增加要训练的参数数量，因此，空洞卷积的残差网络不仅扩大了感受野，而且可以避免额外的训练负担。

S103、通过循环神经网络(RNN)对所述第一时间特征进行处理，得到第二时间特征。

在一些实施例中，通过长短期记忆(LSTM)神经网络对第一时间特征进行处理。原始的RNN在训练中，随着训练时间的加长以及网络层数的增多，很容易出现梯度爆炸或者梯度消失的问题，导致无法处理较长序列数据，从而无法获取长距离数据的信息。与RNN相比，LSTM循环结构之间保持一个持久的单元状态不断传递下去，用于决定哪些信息要遗忘或者继续传递下去。

在一些实施例中，加密流量的长度一般都比较长，而长度的影响会导致RNN在处理时间序列结构化的输出时，反向传播过程中离输出越来越远，就导致会出现梯度消失的问题。因此，通过门控循环单元(GRU)对第一时间特征进行处理，则可以很好的解决反向传播中长期记忆和梯度消失的问题。与LSTM相比，GRU没有输出门，需要的参数少，需要的训练时间也较少。

在一些实施例中，GRU包括两个门函数，并通过两个门函数控制序列状态，其中，门函数包括：更新门z_t和重置门r_t，当时刻t时，更新门z_t函数决定丢弃哪些信息以及添加哪些新信息，也就是控制做什么操作，而重置门r_t函数决定忘记多少过去的信息，也就是控制数量；当处于t时刻时，GRU单元的状态如下所示：

z_t＝σ(W_z·[h_t-1，x_t]+b_z)

r_t＝σ(W_r·[h_t-1，x_t]+b_r)

其中，σ是sigmoid函数，.是点积，W_z、W_r、W_h为权重矩阵，b_z、b_r、b_h为偏置参数；h_t-1是一个隐藏状态，包含来自前t-1时刻的信息；x_t是t时刻的输入向量；候选隐藏状态

是通过重置门r_t与常规潜在状态更新机制相结合而获得的。因此，基于先前状态h_t-1和候选状态

可以通过GRU计算新状态h_t。

在一些实施例中，加密流量中的时间特征不仅受到历史数据包的影响，而且与未来的数据包也密切相关，因此，使用如图4所示的双向门控循环单元(BiGRU)对第一时间特征进行处理，将两个方向相反的隐藏层连接到相同的输出，使得输出层可以从过去(向后)和未来(向前)状态中获取信息。

S104、通过第三神经网络，将所述第二空间特征与所述第二时间特征融合以得到融合特征，并基于所述融合特征对所述加密流量进行分类。

参考图2，在一些实施例中，第三神经网络包括卷积神经网络，该卷积神经网络包括多个卷积层和池化层以及一个全连接层。通过卷积神经网络的全连接层将第二空间特征与第二时间特征进行融合以得到融合特征。特征融合可以将空间特征与时间特征有效结合，增加了网络的参数变化范围，有助于提高模型的表达能力，增加网络的多样性，从而有利于获取更加全面的数据，提升分类的准确性，并且使得流量分类具有高准确性和高泛化性。

可见，本公开实施例中提供的加密流量分类，首先，从获取到的加密流量中得到多个数据包，根据每个数据包对应的大小、方向以及数据包之间的时间间隔，从而得到第一空间特征和第一时间特征；通过空洞卷积的深度残差网络和双向门控循环单元对已经得到的空间特征和时间特征进行再次处理，其中，空洞卷积的深度残差网络中的空洞卷积有效提高了模型对于空间特征的感受野；双向门控循环单元，则使得输出层可以从过去(向后)和未来(向前)状态中获取信息，可以同时考虑到历史数据包和未来数据包与当前数据包的影响；通过卷积神经网络，将第二空间特征与第二时间特征融合以得到融合特征，特征的融合增加了网络的参数变化范围，有助于提高模型的表达能力，增加了网络的多样性，使得模型具有更好的泛化能力；最后，并基于所述融合特征对加密流量进行分类。

需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种一种加密流量的分类装置。

参考图5，所述加密流量的分类装置，包括：

501提取模块，被配置为通过从所述加密流量中解析多个数据包，得到所述加密流量的第一空间特征和第一时间特征；

502第一处理模块，被配置为通过使用空洞卷积的残差网络对所述第一空间特征进行处理，得到第二空间特征；

503第二处理模块，被配置为通过循环神经网络对所述第一时间特征进行处理，得到第二时间特征；

504分类模块，被配置为通过第三神经网络，将所述第二空间特征与所述第二时间特征融合以得到融合特征，并基于所述融合特征对所述加密流量进行分类。

作为一个可选的实施方式，所述循环神经网络包括双向门控循环单元(BiGRU)；双向门控循环单元将两个方向相反的隐藏层连接到相同的输出，使得输出层可以从过去(向后)和未来(向前)状态中获取信息。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本公开时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述任一实施例中相应的加密流量分类方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的加密流量分类方法。

图6示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(Random AccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的加密流量分类方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本公开实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本公开实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本公开实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本公开实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims

1.一种加密流量的分类方法，包括：

2.根据权利要求1所述的方法，其中，通过所述循环神经网络对所述第一时间特征进行处理包括：

通过双向门控循环单元BiGRU对所述第一时间特征进行处理。

3.根据权利要求1所述的方法，其中，通过所述循环神经网络对所述第一时间特征进行处理包括：

通过长短期记忆LSTM神经网络对所述第一时间特征进行处理。

4.根据权利要求1至3中任一项所述的方法，其中，通过使用空洞卷积的残差网络对所述第一空间特征进行处理包括：

5.根据权利要求4所述的方法，其中，在所述ResNet-18网络的第四卷积层和第五卷积层中都使用所述空洞卷积。

6.根据权利要求1至3中任一项所述的方法，其中，所述第一空间特征包括所述加密流量中每个所述数据包的大小和方向，所述第一时间特征包括所述加密流量中所述数据包之间的时间间隔。

7.根据权利要求1至3中任一项所述的方法，其中，

所述第三神经网络包括卷积神经网络；

8.一种加密流量的分类装置，包括：

9.根据权利要求8所述的装置，其中，所述循环神经网络包括双向门控循环单元BiGRU。

10.一种电子设备，包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序，所述处理器在执行所述计算机程序时实现根据权利要求1至7中任意一项所述的方法。