CN114513685A

CN114513685A - 一种基于流特征识别https加密视频流的方法和装置

Info

Publication number: CN114513685A
Application number: CN202210108305.9A
Authority: CN
Inventors: 杨琨
Original assignee: Wuhan Greenet Information Service Co Ltd
Current assignee: Wuhan Greenet Information Service Co Ltd
Priority date: 2022-01-28
Filing date: 2022-01-28
Publication date: 2022-05-17
Anticipated expiration: 2042-01-28
Also published as: CN114513685B

Abstract

本发明涉及HTTPS加密数据包检测技术领域，本发明提供了一种基于流特征识别HTTPS加密视频流的方法和装置，其中，方法包括：获取批量的HTTPS加密数据包；统计对应各自同一服务主题下的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值；将对应每一服务主题下的所述参数值，与样本模型进行匹配，确认相应服务主题是视频业务或者非视频业务。本发明通过研究分析不同流媒体对象视频业务和非视频业务流特征项的差异得到可量化的参数值，实现在无需解密HTTPS加密数据包的情况下，能够准确有效的识别当前服务主题下的业务是视频业务还是非视频业务。

Description

一种基于流特征识别HTTPS加密视频流的方法和装置

技术领域

本发明涉及HTTPS加密数据包检测技术领域，特别是涉及一种基于流特征识别HTTPS加密视频流的方法和装置。

背景技术

HTTPS，全称：Hyper Text Transfer Protocol over Secure Socket Layer，是一种通过计算机网络进行安全通信的传输协议，经由HTTP进行通信，利用SSL/TLS建立全信道，加密数据包，HTTPS使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

传统的HTTP数据包的识别技术，主要是根据HTTP数据包内明文字符串的特征来识别该HTTP数据包的业务类型是视频业务还是非视频业务，在识别过程中，需要将待识别的HTTP数据包完整发送或镜像给DPI(Deep Packet Inspection)识别程序，DPI识别程序通过对数据包内容及格式的解析匹配，来确定HTTP数据包是视频业务还是非视频业务。随着HTTPS的普及，传统的HTTP协议将逐渐转向HTTPS协议，现网HTTPS加密流逐年攀升，对传统DPI业务识别造成了不小的困难，传统通过DPI识别程序已无法直接获取数据包内容及格式，进而导致HTTPS加密流业务类型识别难度大，效率低，速度慢，过程耗时耗力，传统的根据包内明文字符串特征及数据格式特征识别方案逐渐走不通。

鉴于此，克服该现有技术所存在的缺陷是本技术领域亟待解决的问题。

发明内容

针对现有技术中的不足，本发明要解决的技术问题是，区别于传统DPI业务识别方案，针对当前日益剧增的HTTPS加密流的识别，本发明提供了一种全新的识别方案，即如何在无需解密HTTPS加密数据包的情况下，能够准确有效的识别当前服务主题下的业务是视频业务还是非视频业务。

本发明进一步要解决的技术问题是，如何在网络不稳定的情况下，实现对视频业务或者非视频业务的补偿，从而实现将HTTPS加密数据包的顺序进行还原，将网络不稳定情况下的流传输速率波形图还原成正常网络下的流传输速率波形图，以做为机器学习的和比对的依据。

本发明进一步要解决的技术问题是，如何运用识别到的视频业务或者非视频业务的流特征项及其流特征项参数值来构建机器学习模型，并将构建的机器学习模型用于预测HTTPS业务流是否为视频流。

为了解决上述技术问题，第一方面，本发明提供了一种基于流特征识别HTTPS加密视频流的方法，方法包括：

获取批量的HTTPS加密数据包；

统计对应各自同一服务主题下的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值；

将对应每一服务主题下的所述参数值，与样本模型进行匹配，确认相应服务主题是视频业务或者非视频业务。

优选的，所述样本模型的生成方法包括：

获取明确服务主题的一批HTTPS加密数据包；

将服务主题和相应流特征项参数值配套输入到模型学习服务器中，由所述模型学习服务器根据归属于视频流业务的流特征项参数值和归属于非视频流业务的流特征项参数值之间的差异，生成一个或者多个样本模型；

其中，所述样本模型中包含有各个流特征项的归属区间值。

优选的，若出现流特征项中的部分参数值匹配满足服务主题是视频业务或者非视频业务，但是满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，方法还包括：

对于无法直接确认相应服务主题是视频业务或者非视频业务的一批次HTTPS加密数据包，逐个解析对应HTTPS加密数据包的TCP协议包头部分，按照TCP协议中的包编号SEQ重新还原数据包的顺序；

确定当前批次HTTPS加密数据包中最小接收间隔且所述最小接收间隔重复次数超过第一预设阈值的接收间隔为最优接收间隔，以所述最优接收间隔补偿当前批次重新还原数据包的顺序后的HTTPS加密数据包；

再次统计重新排序后的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值。

优选的，所述再次统计重新排序后的HTTPS加密数据包，得到各自对应流特征项下一组参数值，若仍然无法确认相应服务主题是视频业务或者非视频业务，则将相应批次的HTTPS加密数据包发送给模型学习服务器进行学习，一边更新由模型学习服务器提供的样本模型数据。

优选的，所述流特征项包括：

流传输的数据字节大小、流传输的持续时长、流传输的脉冲数量、流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数、流传输的脉冲负载的平均值、流传输的脉冲负载的方差、流传输的脉冲负载的离散系数、流传输的非脉冲数量、流传输的非脉冲时长的平均值、流传输的非脉冲时长的方差、流传输的非脉冲时长的离散系数、流传输的速率为0的时间占比、流传输的平均速率和流传输的脉冲频率中的一项或者多项。

优选的，所述满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，具体为所述流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数和流传输的脉冲频率无法全部满足。

优选的，根据所述流传输的数据字节大小、流传输的持续时长和流传输的脉冲数量来区分视频流中的不同视频对象；和/或，

根据流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数来区分视频流来源的不同主体对象。

优选的，所述视频流来源的不同主体对象具体为：

提供用于承载视频流的HTTPS加密数据包的不同流媒体对象。

优选的，在所述确认相应服务主题是否为视频业务时，具体为：

通过分析所述视频业务的SNI，确认所述加密视频流是否为视频业务。

第二方面，本发明提供了一种基于流特征识别HTTPS加密视频流的装置，装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，用于执行第一方面所述的基于流特征识别HTTPS加密视频流的方法。

第三方面，本发明还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，用于完成第一方面所述的基于流特征识别HTTPS加密视频流的方法。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有如下有益效果：

本发明通过分析当前主流媒体的视频业务或者非视频业务的流特征项及其流特征项参数值之间的差异，能在无需解密HTTPS加密数据包的情况下，能够有效的识别当前服务主题下的业务是视频业务还是非视频业务。

进一步的，本发明能在网络不稳定的情况下，通过最优接收间隔补偿当前批次重新还原数据包的顺序后的HTTPS加密数据包，实现对视频业务或者非视频业务的补偿，保证HTTPS加密数据包顺序的正确性，确保机器学习的有效性。

进一步的，本发明还能通过运用识别到的视频业务或者非视频业务的流特征项及其流特征项参数值来构建机器学习模型，实现自动预测HTTPS业务流是否为视频流。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例1提供的一种基于流特征识别HTTPS加密视频流的方法流程图；

图2是本发明实施例1提供的一种基于流特征识别HTTPS加密视频流的方法流程图；

图3是本发明实施例2提供的一种基于流特征识别HTTPS加密视频流的方法流程图；

图4是本发明实施例2提供的一种基于流特征识别HTTPS加密视频流的方法流程图；

图5是本发明实施例1提供的某一流媒体对象视频业务流传输速率波形图；

图6是本发明实施例1提供的另一流媒体对象视频业务流传输速率波形图；

图7是本发明实施例1提供的另一流媒体对象视频业务流传输速率波形图；

图8是本发明实施例1提供的某一流媒体对象非视频业务流传输速率波形图；

图9是本发明实施例1提供的另一流媒体对象非视频业务流传输速率波形图；

图10是本发明实施例1提供的另一流媒体对象非视频业务流传输速率波形图；

图11是本发明实施例3提供的一种基于流特征识别HTTPS加密视频流的装置示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明的描述中，术语“内”、“外”、“纵向”、“横向”、“上”、“下”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明而不是要求本发明必须以特定的方位构造和操作，因此不应当理解为对本发明的限制。

此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1:

本实施例一提供了一种基于流特征识别HTTPS加密视频流的方法，如图1所示，方法包括：

步骤S101，获取批量的HTTPS加密数据包。

在本实施例中，所述HTTPS加密数据包的格式，包括但不限于pcap格式，所述获取批量的HTTPS加密数据包，其获取方式包括但不限于通过抓包工具或者人工抓包的方式，例如，可以使用Wireshark抓包工具进行抓包，抓包过程中，人工或者自动模拟使用几种主流的包含视频业务、图片业务、音频业务、网页浏览业务、下载业务及其他业务的网站或者APP，从而产生业务流量，本方案中所述HTTPS加密数据包，是指从上述业务流量中过滤出的HTTPS业务，包括视频业务和非视频业务两类，其中，视频业务数据流做为视频业务样本，图片业务、音频业务、网页浏览业务、下载业务等数据流做为非视频业务样本。

步骤S102，统计对应各自同一服务主题下的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值。

在本实施例中，所述服务主题，广泛指代视频业务服务主题和非视频业务服务主题，所述视频业务服务主题和非视频业务服务主题视为不同的服务主题；所述同一服务主题，是指该服务主题下，所有业务的内容同为视频业务或者所有业务内容同为非视频业务；做为一种优选的实现方式，如下表所示，在所述确认相应服务主题是否为视频业务时，具体为：通过分析所述视频业务的SNI，确认所述加密视频流是否为视频业务；所述SNI(ServerName Indication：服务器名称指示)是TLS的一个扩展协议，在该协议下，在握手过程开始时目标客户端会告知正在连接的服务器要连接的主机名称，目前，市面上的一些主流视频网站的视频业务会有特殊的SNI，通过分析这些视频业务的SNI，可确认该流是否为视频业务，在本实施例中，具体的分析了以下几种视频网站的视频业务作为样本来源，其视频流SNI如下表所示：

通过分析不同业务类型的流传输数据大小与时间的关系，可以得出业务类似脉冲波的业务流波形图，本方案中定义流传输速率的一次起伏为一次脉冲。

在本实施例中，以腾讯、爱奇艺和优酷视频业务为例，如图5-图7所示，分别为视频业务流传输速率波形图，其中，图5是用腾讯视频点播一套电视节目，分辨率为480p，协议为https，格式为pcap格式，图6是用爱奇艺点播的一部电影，分辨率为720p，协议为https，格式为pcap格式，图7是用优酷点播的一套电视节目，分辨率为540p，协议为https，格式为pcap格式；如图8-图10所示，分别为非视频业务流传输速率波形图，其中，图8为某APP的下载业务，通过分析上述视频业务流传输速率波形图和非视频业务流传输速率波形图，可以看出视频业务流传输速率波形图和非视频业务流传输速率波形图有明显的差异性，具体的，所述视频业务流传输速率波形图，一次脉冲持续时间较长、脉冲的出现具有周期性、脉冲的峰值较为平均等，所述视频业务流传输速率波形图在时间和传输速率的数值上具有离散性，类似一个‘数字信号’的波形图；而所述非视频业务流传输速率波形图在时间和传输速率的数值上具有连续性，类似一个‘模拟信号’的波形图。

基于上述视频业务流传输速率波形图和非视频业务流传输速率波形图对比分析，可以定义出以下流特征项，所述流特征项包括：流传输的数据字节大小、流传输的持续时长、流传输的脉冲数量、流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数、流传输的脉冲负载的平均值、流传输的脉冲负载的方差、流传输的脉冲负载的离散系数、流传输的非脉冲数量、流传输的非脉冲时长的平均值、流传输的非脉冲时长的方差、流传输的非脉冲时长的离散系数、流传输的速率为0的时间占比、流传输的平均速率和流传输的脉冲频率中的一项或者多项，具体的，在本实施例中，所述流特征项的计算方法分别如下：

流传输的数据字节大小＝∑单条流内包传输数据字节大小；

流传输的持续时长＝单条流结束时间-单条流开始时间；

以图5所示为例，在0秒-50秒内，约有45秒流传输的持续，即流传输不等同于0持续传输时长为5秒，此时，所述流传输的持续时长等于45秒。

流传输脉冲数量＝连续传输速率起伏的次数；

以图6所示为例，在0秒-250秒内，流传输存在15次起伏，此时，所述流传输脉冲数量为15个。

以图6所示为例，在50秒-55秒内、65秒-71秒内和85秒-92秒内，分别有一个流传输脉冲，一共3个流传输脉冲，脉冲持续时长为18秒，此时，所述流传输脉冲平均时长为6秒。

以图6所示为例，因脉冲数量为3个，所述流传输脉冲平均时长为6秒，此时，所述流传输脉冲时长的方差为1秒。

以图6所示为例，因所述流传输脉冲时长的方差为1秒，所述流传输脉冲平均时长为6秒，此时，所述流传输脉冲时长的方差为1/6秒。

基于流特征项“流传输脉冲平均时长、流传输脉冲时长的方差和流传输脉冲时长的离散系数”同一计算原理，可以得出流特征项流传输脉冲负载的平均值、流传输脉冲负载的方差和流传输脉冲负载的离散系数的参数值。

流传输的非脉冲数量＝连续传输速率2次及以上保持为0不变的次数；

以图6所示为例，在0秒-50秒内，连续传输速率保持为0不变的次数有3次，此时，所述流传输的非脉冲数量为3个。

基于流特征项“流传输脉冲平均时长、流传输脉冲时长的方差和流传输脉冲时长的离散系数”，以及，流特征项“流传输脉冲负载的平均值、流传输脉冲负载的方差和流传输脉冲负载的离散系数”同一计算原理，可以得出流特征项流传输的非脉冲时长的平均值、流传输的非脉冲时长的方差和流传输的非脉冲时长的离散系数的参数值。

以图6所示为例，在0秒-50秒内，流传输的速率为0的时间为40秒，此时，所述流传输的速率为0的时间占比为80％。

以图6所示为例，在0秒-10秒内，流传输的数据字节大小为400kb，此时，所述流传输的平均速率为40kb/s。

以图6所示为例，在0秒-50秒内，脉冲次数为3次，非脉冲次数为3次，此时，所述流传输的脉冲次数占比为50％。

在上述的流特征项中，结合视频业务流传输速率波形图和非视频业务流传输速率波形图，为了实现流特征项的快速计算，进而加快视频业务进和非视频业务的识别，优选的，根据所述流传输的数据字节大小、流传输的持续时长和流传输的脉冲数量来区分视频流中的不同视频对象；和/或，根据流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数来区分视频流来源的不同主体对象，其中，所述视频流来源的不同主体对象具体为：提供用于承载视频流的HTTPS加密数据包的不同流媒体对象；在本实施例中，所述不同视频对象，可以是指代不同是视频内容，例如，直播的或点播的内容，也可以指代不同的视频分辨率，例如，480p、540p和720p等；所述流媒体，流媒体是多媒体的一种表现方式，是指采用流式传输的方式在Internet播放的媒体格式，它是指商家(流媒体对象)用一个传送服务器把服务主题业务当成数据包发出，传送到网络上，用户通过点播或者直播的方式，节目就会像发送前那样显示出来，数据包内容可以不经过转换就采用流式传输技术传输，不用等到所有内容都下载到本地硬盘才能观看或收听，具有较强的实时性，交互性，能有效减少和缩短用户的等待时间，对系统缓存容量的要求大大降低；所述流媒体对象，目前，市面上主流的流媒体对象包括优酷视频、腾讯视频、爱奇艺视频、哔哩哔哩视频、咪咕视频、今日头条视频、知乎视频、西瓜视频等等，包括但不限于以PC端和APP端的方式呈现。

步骤S103，将对应每一服务主题下的所述参数值，与样本模型进行匹配，确认相应服务主题是视频业务或者非视频业务。

在本实施例中，通过所述步骤S102的统计和计算，可以得到不同服务主题下视频业务或者非视频业务具体的流特征项的参数值，通过与样本模型进行匹配，即可实现相应服务主题是视频业务或者非视频业务的确认。

在步骤S103中，所述样本模型的生成方法包括：

步骤S1031，获取明确服务主题的一批HTTPS加密数据包。

所述明确服务主题，是指当前所获取的一批HTTPS加密数据包的服务主题是视频业务还是非视频业务是明确的，获取的服务主题是视频业务则为视频样本模型，获取的服务主题是非视频业务则为非视频样本模型。

步骤S1032，统计对应各自同一服务主题下的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值。

同步骤S102，此处不再重复赘述。

步骤S1033，将服务主题和相应流特征项参数值配套输入到模型学习服务器中，由所述模型学习服务器根据归属于视频流业务的流特征项参数值和归属于非视频流业务的流特征项参数值之间的差异，生成一个或者多个样本模型；其中，所述样本模型中包含有各个流特征项的归属区间值。

基于步骤S102中所述流特征项的计算方法，将上述流特征项量化后的参数值存储到模型学习服务器中，通过机器的训练和监督学习，日积月累，会得到足以识别视频流业务和非视频流业务的样本模型，且识别的准确性会越来越高，其中，机器的训练和监督学习方式包括但不限于采用逻辑回归、SVM、神经网络等机器学习分类算法。

本实施例提供了一种基于流特征识别HTTPS加密视频流的方法，通过研究分析不同流媒体对象视频业务和非视频业务流特征项的差异得到可量化的参数值，实现在无需解密HTTPS加密数据包的情况下，能够准确有效的识别当前服务主题下的业务是视频业务还是非视频业务。

需要指出的是，在本实施例中，是以视频业务和非视频业务流特征项的差异性，实现视频业务还是非视频业务的识别，基本同样的原理方式，更进一步的，在本实施例的技术启示下，应用本实施例提供的方案，还可以得到图片业务和非图片业务、音频业务和非音频业务、网页浏览业务和非网页浏览业务、下载业务和非下载业务的等业务类型对应的流特征项的差异，进而实现图片业务和非图片业务、音频业务和非音频业务、网页浏览业务和非网页浏览业务、下载业务和非下载业务的等业务类型的识别。

实施例2:

加密数据包的传输，依赖于网络的状况，还取决于带宽的限制，带宽决定了一次脉冲所用的时长中数据包的传输速率的的上限，在带宽未做限速的情况下，数据包的传输通常也是按最大的带宽进行的，此时，所述加密数据包的接收间隔是最小的且是呈均匀分布的；网络的状况越稳定，加密数据包之间的传输间隔越均匀，且加密数据包的顺序越能得到保证，相反的，网络的状况越差，加密数据包之间的传输间隔会以不均匀的方式呈现，且加密数据包的顺序也会相应的被打乱，因此，在网络的状况不稳定的情况下，所述加密数据包的接收间隔出现波动性的可能性会比较大，且视频业务和非视频业务的流传输速率波形图会与正常网络下的流传输速率波形图出现不一致，从而影响机器学期的准确性，进而有可能会影响到视频业务和非视频业务识别的准确性。

在实施例一的基础上，为了确保视频业务和非视频业务识别的准确性，防止或者减少误判的可能性，本实施例二给出了一种基于流特征识别HTTPS加密视频流的方法，通过预设多个维度的若干流特征项来综合识别当前业务是视频业务还是非视频业务，若出现流特征项中的部分参数值匹配满足服务主题是视频业务或者非视频业务，但是满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，方法还包括：

步骤S201，对于无法直接确认相应服务主题是视频业务或者非视频业务的一批次HTTPS加密数据包，逐个解析对应HTTPS加密数据包的TCP协议包头部分，按照TCP协议中的包编号SEQ重新还原数据包的顺序。

Internet是以包传输为基础进行的异步传输，数据通常是被分解成许多包进行传输的，由于每个包可能选择不同的路由，所以到达目标用户端的时间延迟就会不同，为了使得数据包最终都能传输到目标用户端，数据包穿梭于同的路由时，均会按照TCP协议给数据包添加包头信息，其中，所述包头信息含有包编号SEQ，所述SEQ,是指数据包的序列号，也是数据包的第一个字节的数据编号；在本实施例中，在存在网络的状况影响的前提，通过对无法直接确认相应服务主题是视频业务或者非视频业务的一批次HTTPS加密数据包进行解析和还原，仍然能够实现数据包到达目标用户端时的顺序是正确的。

步骤S202，确定当前批次HTTPS加密数据包中最小接收间隔且所述最小接收间隔重复次数超过第一预设阈值的接收间隔为最优接收间隔，以所述最优接收间隔补偿当前批次重新还原数据包的顺序后的HTTPS加密数据包。

在本实施例中，所述接收间隔，是指数据包的传输速率的一次起伏所用的时长，也称数据包的传输速率的一次脉冲所用的时长，通常用“秒”表示；所述最小接收间隔，是指网络的状况最优时，数据包的传输速率的一次脉冲所用的最短时长；所述最小接收间隔重复次数，是指在一定的单位时间内，存在多次脉冲的情况下，所述最小接收间隔重复出现的次数；所述最小接收间隔重复次数超过第一预设阈值，则是考虑了网络的状况可能存在一些偶然性因素的影响，通过预设第一预设阈值，剔除偶然出现的所述最小接收间隔，即偶然出现的所述最小接收间隔不能做为所述最优接收间隔；在本实施例中，所述最优接收间隔，是通过所述最小接收间隔以及所述最小接收间隔重复次数超过第一预设阈值两个维度来进行确定，即确定当前批次HTTPS加密数据包中最小接收间隔且所述最小接收间隔重复次数超过第一预设阈值的接收间隔时，才认为该接收间隔是最优接收间隔；所述以所述以所述最优接收间隔隔补偿当前批次重新还原数据包的顺序后的HTTPS加密数据包，是指以所述最优接收间隔将当前批次HTTPS加密数据包中出现的不同接收间隔全部统一调整为最优接收间隔，以所述最优接收间隔的方式呈现给目标客户端。

为了便于理解，现举例说明如下，以单位时间为100秒为例，假设网络稳定下的加密数据包的接收间隔为1秒，因为当前网络的状态不稳定，当前批次HTTPS加密数据包中，加密数据包的接收间隔以及对应的接收间隔的重复次数分布情况如下：

A1、所述加密数据包的接收间隔为1秒，对应的接收间隔重复次数为20次；

B1、所述加密数据包的接收间隔为2秒，对应的接收间隔重复次数为20次；

C1、所述加密数据包的接收间隔为3秒，对应的接收间隔重复次数为10次；

D1、所述加密数据包的接收间隔为5秒，对应的接收间隔重复次数为2次；

假设第一预设值为15次，通过对应的接收间隔重复次数可以看出，接收间隔重复次数超过第一预设值有A1和B1，而A1和B1中，A1的接收间隔为1秒，B1的接收间隔为2秒，则最小接收间隔为1秒，此时，最优接收间隔为1秒，然后，以所述最优接收间隔为1秒，将上述接收间隔为2秒、3秒和5秒的接收间隔全部补偿优化成1秒，经补偿后的加密数据包的接收间隔以及对应的接收间隔的重复次数分布情况如下：

A2、所述加密数据包的接收间隔1秒，对应的接收间隔重复次数为20次；

B2、所述加密数据包的接收间隔1秒，对应的接收间隔重复次数为20次；

C2、所述加密数据包的接收间隔1秒，对应的接收间隔重复次数为10次；

D2、所述加密数据包的接收间隔1秒，对应的接收间隔重复次数为2次；

通过上述举例说明，可以看出，在网络存在不稳定的情况下，所述加密数据包的接收间隔存在不同时长，如果不经过补偿，所述加密数据包直接以1秒、2秒、3秒和5秒的接收间隔呈现给目标客户端，所述加密数据包到达目标客户端时也会出现不稳定，流传输速率波形图会出现失真，经补偿后，所述加密数据包的接收间隔是最小的且是呈均匀分布，即实现将网络不稳定情况下的流传输速率波形图还原成正常网络下的流传输速率波形图，使得业务识别的准确性得到提升，业务误判的可能性将降低。

步骤S203，再次统计重新排序后的HTTPS加密数据包的流特征项，得到各自对应流特征项下一组参数值。

步骤S203过程同步骤S102补偿和步骤S1032，此处不再赘述。

在步骤S203中，为了持续完善模型服务器的学习能力，通常需要进一步补充特殊情况下的样本模型数据，做为一种典型的扩展方式，所述再次统计重新排序后的HTTPS加密数据包，得到各自对应流特征项下一组参数值，若仍然无法确认相应服务主题是视频业务或者非视频业务，还包括步骤S204，则将相应批次的HTTPS加密数据包发送给模型学习服务器进行学习，一边更新由模型学习服务器提供的样本模型数据，通过上述样本模型的不断完善，还可以为后续实现半自动或全自动化的机器学习监督训练打下基础。

在本实施例中，结合实际的抓包和统计方式，根据视频业务和非视频业务识别需要满足的准确程度，做为一种更为直观和便于计算的方式，优选的，所述满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，具体为所述流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数和流传输的脉冲频率无法全部满足，即上述四个流特征项全部满足时，才能识别得出当前业务是视频业务和非视频业务，若上述四个流特征项至少其中之一未满足，则进入上述步骤S204中。

本实施例二给出了一种基于流特征识别HTTPS加密视频流的方法，在网络存在不稳定的情况下，通过以所述最优接收间隔补偿当前批次重新还原数据包的顺序后的HTTPS加密数据包，使得HTTPS加密数据包始终以最优接收间隔呈现到目标客户端，且能有效提升目标客户端的观看或收听效率，不会因为网络的状况不稳定影响到目标客户端的实际体验。

实施例3：

本实施例3提供一种基于流特征识别HTTPS加密视频流的装置，装置包括：

如图11所示，是本实施例三提供的一种基于流特征识别HTTPS加密视频流的装置示意图，所述一种基于流特征识别HTTPS加密视频流的装置包括一个或多个处理器21以及存储器22。其中，图11中以一个处理器21为例。

处理器21和存储器22可以通过总线或者其他方式连接，图11中以通过总线连接为例。

存储器22作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序和非易失性计算机可执行程序，如实施例一中的基于流特征识别HTTPS加密视频流的方法。处理器21通过运行存储在存储器22中的非易失性软件程序和指令，从而执行基于流特征识别HTTPS加密视频流的方法。

存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器22可选包括相对于处理器21远程设置的存储器，这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述程序指令/模块存储在所述存储器22中，当被所述一个或者多个处理器21执行时，执行上述实施例一中的基于流特征识别HTTPS加密视频流的方法，例如，执行以上描述的图1-图4所示的各个步骤。

值得说明的是，上述装置和系统内的模块、单元之间的信息交互、执行过程等内容，由于与本发明的处理方法实施例基于同一构思，具体内容可参见本发明方法实施例中的叙述，此处不再赘述。

本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(ROM，Read Only Memory)、随机存取存储器(RAM，Random AccessMemory)、磁盘或光盘等。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于流特征识别HTTPS加密视频流的方法，其特征在于，包括：

获取批量的HTTPS加密数据包；

2.根据权利要求1所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，所述样本模型的生成方法包括：

获取明确服务主题的一批HTTPS加密数据包；

其中，所述样本模型中包含有各个流特征项的归属区间值。

3.根据权利要求1所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，若出现流特征项中的部分参数值匹配满足服务主题是视频业务或者非视频业务，但是满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，方法还包括：

4.根据权利要求3所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，所述再次统计重新排序后的HTTPS加密数据包，得到各自对应流特征项下一组参数值，若仍然无法确认相应服务主题是视频业务或者非视频业务，则将相应批次的HTTPS加密数据包发送给模型学习服务器进行学习，一边更新由模型学习服务器提供的样本模型数据。

5.根据权利要求3所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，所述流特征项包括：

6.根据权利要求5所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，所述满足的项数未达到确认相应服务主题是视频业务或者非视频业务条件时，具体为所述流传输的脉冲平均时长、流传输的脉冲时长的方差、流传输的脉冲时长的离散系数和流传输的脉冲频率无法全部满足。

7.根据权利要求5所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，根据所述流传输的数据字节大小、流传输的持续时长和流传输的脉冲数量来区分视频流中的不同视频对象；和/或，

8.根据权利要求7所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，所述视频流来源的不同主体对象具体为：

提供用于承载视频流的HTTPS加密数据包的不同流媒体对象。

9.根据权利要求1所述的基于流特征识别HTTPS加密视频流的方法，其特征在于，在所述确认相应服务主题是否为视频业务时，具体为：

10.一种基于流特征识别HTTPS加密视频流的装置，其特征在于，装置包括：

至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器设置为执行权利要求1-9任一所述的基于流特征识别HTTPS加密视频流的方法。