CN113949653B - 一种基于深度学习的加密协议识别方法及系统 - Google Patents

Abstract

本发明公开了一种基于深度学习的加密协议识别方法及系统，包括：获取网络环境中的会话数据，将所述会话数据转换为图像数据；将所述图像数据输入至预先构建的加密流量协议分类模型，利用所述预先构建的加密流量协议分类模型自动识别当前会话对应的流量协议类别；其中，所述流量协议包括：SKYPE协议、SFTP协议、SSH协议、SSL协议及其他协议。本发明通过将网络流量会话转成图片数据再利用预先构建的加密流量协议分类模型进行协议识别，能够保留流量会话中更完整的信息，相较于人为选取特征进行提取，更能减少信息的丢失。

Description

一种基于深度学习的加密协议识别方法及系统

技术领域

本发明涉及网络协议识别技术领域，尤其涉及一种基于深度学习的加密协议识别方法及系统。

背景技术

信息爆炸年代，其传播媒介也必定会随之快速发展，作为承载信息的网络便是其中之一。由于网络的快速发展，各种协议便层出不穷，尤其是大量私有协议如雨后春笋般涌现在人们眼前，因此能够准确识别出各种协议对于网络安全、网络规划与管理、网络流量优化等来说都意义重大。

随着互联网用户的网络安全意识不断加强，网络流量加密技术包括虚拟专用网络、安全套接字协议、安全外壳协议被广泛使用，这使得加密流量成为当今网络数据传输的主要形式。加密协议可以保护网络用户数据免遭侵袭，但同时也给网络攻击和恶意操作带来了可乘之机，因此如何对加密流量协议进行有效识别对网络安全维护有着重大的意义。其中，加密流量协议主要包括SKYPE协议、SFTP协议、SSH协议、SSL协议等。SKYPE是创建Kazaa的组织在2003年开发的一个基于P2P的VoIP客户端。它可以几乎无缝的穿越NAT和防火墙，并且语音质量比其他的VoIP客户端软件要好很多。它加密了端到端的通话，分散式存储用户信息，支持即时消息通信和网络语音会议。SFTP协议能够进行“远程文件获取，文件内容传输，文件管理”等操作，它的控制信号和数据信号的传输通过安全数据通道进行。SSH协议是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。SSL协议是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。

传统的网络协议识别方式主要包括：1、通过从流量包中提取有效载荷进行匹配；2、根据各协议不同的行为特征进行判断。对于第一种基于数据包的有效负载进行流量识别的方法而言，载荷不加密时，这个策略很精确，但是涉及到用户数据的安全和隐私问题，当荷载加密时，将无法进行协议识别，并且基于数据包的有效负载进行流量识别的方法，必须要保证捕获的流量会话的顺序性和完整性，同时当协议版本发生变化时会产生大量漏报和误报，这种方法有明显的局限性。

而第二种基于各协议的行为特征进行加密协议识别，依赖于对各协议的深度理解及所选取特征的有效性和完整性，与此同时，所选取的特征可能会随着协议的升级而需要不断地调整。申请号为2018101900049的中国专利公开了一种基于深度循环神经网络的应用层通信协议识别的方法，包括：选取不同协议的帧长度作为特征，利用深度学习模型进行应用层协议的特征提取与识别，其选取协议的帧长度为特征进行应用层协议的识别，其也存在所选取的特征可能会随着协议的升级而需要不断地调整的问题。

发明内容

本发明的目的在于克服现有网络协议识别技术存在一定局限性的问题，提供一种基于深度学习的加密协议识别方法及系统，能够保留流量会话中更完整的信息，相较于人为提取特征，更能减少信息的丢失，提高识别精度。

为了实现上述发明目的，本发明提供了以下技术方案：

一种基于深度学习的加密协议识别方法，包括：

获取网络环境中的会话的数据，将所述会话的数据转换为图像数据；

将所述图像数据输入至预先构建的加密流量协议分类模型，利用所述预先构建的加密流量协议分类模型自动识别当前会话对应的流量协议。

其中，所述流量协议包括：SKYPE协议、SFTP协议、SSH协议、SSL协议及其他协议(非加密协议或其它加密协议)。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，所述获取网络环境中的会话的数据，包括：

捕获网络环境中的pcap流量包，并将pcap流量包按五元组拆成初始会话数据；

读取所述初始会话数据中的N个数据包，按预设字节对N个数据包进行截取，得到处理好的会话数据。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，所述按预设字节对N个数据包进行截取，包括：

针对每个数据包，去掉其中物理层和数据链路层的字节数据，按100字节对剩余字节数据进行截取，并利用随机字节代替剩余字节数据中的IP和端口对应的字节，得到截取后的数据包，N个所述数据包构成N*100的会话数据矩阵。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，以所述会话数据中的每个字节的数值为该字节的像素值，以此将所述会话数据转换为灰度图像数据。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，基于LSTM长短期记忆网络预先训练并构建加密流量协议分类模型。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，所述加密流量协议分类模型以PReLU为激活函数，以Softmax作为输出函数，包括：LSTM层、Dense层，BatchNormalization层。

根据一种具体的实施方式，上述基于深度学习的加密协议识别方法中，所述加密流量协议分类模型的损失函数为均方差损失函数。

在本发明进一步的实施例中，还提供一种基于深度学习的加密协议识别系统，包括：

数据处理模块，所述数据处理模块用于获取网络环境中的会话的数据，将所述会话的数据转换为图像数据，并将所述图像数据输出至加密协议识别模块；

加密协议识别模块，所述加密协议识别模块用于配置预先构建的加密流量协议分类模型，以及，接收所述图像数据，自动识别当前会话对应的流量协议。

与现有技术相比，本发明的有益效果：

1、本发明通过将网络流量会话的数据转成图片数据再利用预先构建的加密流量协议分类模型进行协议识别，能够保留流量会话中更完整的信息，相较于人为选取特征进行提取，更能减少信息的丢失。

2、本发明基于LSTM来预先构建所述加密流量协议分类模型，相较于传统RNN，LSTM能够提取到流量会话中的序列特征，得到识别效果更好。

附图说明

图1为本发明示例性实施例的基于深度学习的加密协议识别方法流程图1；

图2为本发明示例性实施例的基于深度学习的加密协议识别系统流程框图；

图3为本发明示例性实施例的各类别协议对应的图像数据；

图4为本发明示例性实施例的LSTM原理图。

具体实施方式

下面结合试验例及具体实施方式对本发明作进一步的详细描述。但不应将此理解为本发明上述主题的范围仅限于以下的实施例，凡基于本发明内容所实现的技术均属于本发明的范围。

实施例1

图1、图2示出了本发明示例性实施例的基于深度学习的加密协议识别方法，包括：

获取网络环境中的会话数据，将所述会话数据转换为图像数据；将所述图像数据输入至预先构建的加密流量协议分类模型，利用所述预先构建的加密流量协议分类模型自动识别当前会话对应的流量协议类别。其中，本发明所构建的加密流量协议分类模型用于对加密协议与非加密协议进行识别，其中，加密协议包括：SKYPE协议、SFTP协议、SSH协议、SSL协议以及其他加密流量协议，其中，其他加密流量协议与非加密流量协议作为同一个类别。

具体的，如图2所示，本发明利用数据处理模块在真实网络环境中捕获pcap流量包，并将pcap包按五元组拆成会话(会话是指一个终端用户与交互系统进行通讯的过程通信双方的通话)，由此可以得到网络环境中不同通讯方之间的会话的数据。在本实施例中，捕获数据包的频率可根据需要进行设定，以一分钟为例，截取一分钟的pcap流量包，从中可以提取到多个通讯双方之间的完整会话的数据。其次，读取会话中的每个packet(数据包)，为防止具体的物理硬件等信息的影响，将packet的物理层和数据链路层的字节数据去掉，只保留网络层及更高层的字节数据。按照预设字节数，对剩余字节进行截取，其中，预设字节可根据实际会话大小进行设定，以截取100字节的数据为例，将截取到的100字节数据中的IP和端口对应的字节用随机字节代替，以消除IP和端口的影响。并将每个字节转为0到255的十进制数字，不够100字节的在后边补0。接着，每个会话取5个数据包进行上述处理与截取，不够5个的补0，最终得到形状为5*100的会话数据矩阵。接着，将矩阵中每个位置的数值作为该位置的像素值，转为灰度图并保存为图像数据。其中，图3示出了各类别协议数据所对应的图片数据。

最后将所得图像数据输入至加密加密协议识别模块中预先构建的加密流量协议分类模型，即可利用该加密流量协议分类模型进行协议类别的识别。

进一步的，上述加密流量协议分类模型可基于现有成熟的图像识别深度学习模型进行预先构建，包括：RNN、LSTM、GRU等。在本实施例中，基于长短期记忆网络(LSTM，LongShort-Term Memory)构建本发明所提供的图像识别深度学习模型，长短期记忆网络(LSTM，Long Short-Term Memory)是一种时间循环神经网络，是为了解决RNN(循环神经网络)存在的长期依赖问题，图4示出了LSTM的原理框图，其中：

z_t＝σ(W_z·[h_t-1，x_t])

r_t＝σ(W_r·[h_t-1，x_t])

进一步的，本发明所提供的图像识别深度学习模型网络结构，包括：LSTM层、Dense(全连接)层，批标准化层(BatchNormalization)，并使用PReLU作为激活函数，Softmax作为输出函数。表3示出了本发明所提供的图像识别深度学习模型网络结构参数。

表3

type	Input Shape	Output Shape	Param#
				LSTM	(None，5，100)	(None，5，32)	17024
BatchNormalization	(None，5，32)	(None，5，32)	128
				LSTM	(None，5，32)	(None，16)	3136
BatchNormalization	(None，16)	(None，16)	64
				PReLU	(None，16)	(None，16)	16
Dense	(None，16)	(None，128)	2176
				BatchNormalization	(None，128)	(None，128)	512
PReLU	(None，128)	(None，128)	128
				Dense	(None，128)	(None，64)	8256
BatchNormalization	(None，64)	(None，64)	256
				PReLU	(None，64)	(None，64)	64
Dense	(None，64)	(None，5)	325
				Softmax	(None，5)	(None，5)	0

进一步的，采集SKYPE协议加密流量、SFTP协议加密流量、SSH协议加密流量、SSL协议加密流量以及其他流量共5个类别的pcap数据。其中，其他流量由非加密流量和其他协议的加密流量共同组成。对pcap数据进行预处理，最终转成图片数据，其中各类别协议数据所对应的图片数据如图2所示。

对数据集进行类别标记，并分为训练集和测试集，并从训练集中分出一部分作为验证集。对数据进行均值方差归一化处理，使数据的转化为均值为0，方差为1的归一化灰度图像数据，减少计算量，加快模型收敛速度。设置损失函数为均方差损失函数(CrossEntropy Loss)，优化器为Adam，BatchSize为256。将训练集数据输入至图像识别深度学习模型网络，直到模型收敛，并测试，得到所述预先构建的加密流量协议分类模型。

实施例2

在本发明进一步的实施例中，还提供一种基于深度学习的加密协议识别系统，包括：数据处理模块，所述数据处理模块用于获取网络环境中的会话数据，将所述会话数据转换为图像数据，并将所述图像数据输出至加密协议识别模块；加密协议识别模块，所述加密协议识别模块用于配置预先构建的加密流量协议分类模型，以及，接收所述图像数据，自动识别当前会话对应的流量协议类别。

本领域技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

当本发明上述集成的单元以软件功能单元的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于深度学习的加密协议识别方法，其特征在于，包括：

获取网络环境中的会话的数据，将获取到的会话的数据转换为图像数据；

将所述图像数据输入至预先构建的加密流量协议分类模型，利用所述预先构建的加密流量协议分类模型自动识别会话对应的流量协议；基于LSTM长短期记忆网络预先训练并构建加密流量协议分类模型，所述加密流量协议分类模型以PReLU为激活函数，以Softmax作为输出函数，包括：LSTM层、Dense层，BatchNormalization层；所述基于LSTM长短期记忆网络预先训练并构建加密流量协议分类模型，包括：对训练集数据和测试集数据进行均值方差归一化处理，使数据的转化为均值为0，方差为1的归一化灰度图像数据；其中，加密流量协议分类模型网络结构参数如下：

type Input Shape Output Shape Param# LSTM (None，5，100) (None，5，32) 17024 BatchNormalization (None，5，32) (None，5，32) 128 LSTM (None，5，32) (None，16) 3136 BatchNormalization (None，16) (None，16) 64 PReLU (None，16) (None，16) 16 Dense (None，16) (None，128) 2176 BatchNormalization (None，128) (None，128) 512 PReLU (None，128) (None，128) 128 Dense (None，128) (None，64) 8256 BatchNoimalization (None，64) (None，64) 256 PReLU (None，64) (None，64) 64 Dense (None，64) (None，5) 325 Softmax (None，5) (None，5) 0

。

2.根据权利要求1所述的基于深度学习的加密协议识别方法，其特征在于，所述获取网络环境中的会话的数据，包括：

捕获网络环境中的pcap流量包，并将pcap流量包按五元组拆成初始会话数据；

读取所述初始会话数据中的N个数据包，按预设字节对N个数据包进行截取，得到处理好的会话数据。

3.根据权利要求2所述的基于深度学习的加密协议识别方法，其特征在于，所述按预设字节对N个数据包进行截取，包括：

针对每个数据包，去掉其中物理层和数据链路层的字节数据，按100字节对剩余字节数据进行截取，并利用随机字节代替剩余字节数据中的IP和端口对应的字节，得到截取后的数据包，N个所述数据包构成N*100的会话数据矩阵。

4.根据权利要求1所述的基于深度学习的加密协议识别方法，其特征在于，其特征在于，所述加密流量协议分类模型的损失函数为均方差损失函数。

5.一种基于深度学习的加密协议识别系统，其特征在于，包括：

数据处理模块，所述数据处理模块用于获取网络环境中的会话的数据，将所述会话的数据转换为图像数据，并将所述图像数据输出至加密协议识别模块；

加密协议识别模块，所述加密协议识别模块用于配置预先构建的加密流量协议分类模型，以及，接收所述图像数据，自动识别会话对应的流量协议；基于LSTM长短期记忆网络预先训练并构建加密流量协议分类模型，所述加密流量协议分类模型以PReLU为激活函数，以Softmax作为输出函数，包括：LSTM层、Dense层，BatchNormalization层；所述基于LSTM长短期记忆网络预先训练并构建加密流量协议分类模型，包括：对训练集数据和测试集数据进行均值方差归一化处理，使数据的转化为均值为0，方差为1的归一化灰度图像数据；其中，加密流量协议分类模型网络结构参数如下：

type Input Shape Output Shape Param# LSTM (None，5，100) (None，5，32) 17024 BatchNormalization (None，5，32) (None，5，32) 128 LSTM (None，5，32) (None，16) 3136 BatchNormalization (None，16) (None，16) 64 PReLU (None，16) (None，16) 16 Dense (None，16) (None，128) 2176 BatchNormalization (None，128) (None，128) 512 PReLU (None，128) (None，128) 128 Dense (None，128) (None，64) 8256 BatchNormalization (None，64) (None，64) 256 PReLU (None，64) (None，64) 64 Dense (None，64) (None，5) 325 Softmax (None，5) (None，5) 0

。

Images