CN115378741A - 一种轻量级的加密应用细粒度行为流量早期识别方法 - Google Patents

一种轻量级的加密应用细粒度行为流量早期识别方法 Download PDF

Info

Publication number
CN115378741A
CN115378741A CN202211306174.1A CN202211306174A CN115378741A CN 115378741 A CN115378741 A CN 115378741A CN 202211306174 A CN202211306174 A CN 202211306174A CN 115378741 A CN115378741 A CN 115378741A
Authority
CN
China
Prior art keywords
fine
behavior
grained
traffic
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211306174.1A
Other languages
English (en)
Other versions
CN115378741B (zh
Inventor
吉庆兵
罗杰
胡晓艳
倪绿林
谈程
康璐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202211306174.1A priority Critical patent/CN115378741B/zh
Publication of CN115378741A publication Critical patent/CN115378741A/zh
Application granted granted Critical
Publication of CN115378741B publication Critical patent/CN115378741B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种轻量级的加密应用细粒度行为流量早期识别方法,属于网络安全领域,包括步骤:S1,对采集的加密应用细粒度行为标注流量以时间窗口
Figure DEST_PATH_IMAGE002
顺序划分为行为流量段;S2,对步骤S1中划分的时间窗口
Figure 183524DEST_PATH_IMAGE002
内的行为流量段提取时间特征,并进行特征标准化处理以构建细粒度行为早期指纹,然后输入到深度神经网络中进行训练;所述深度神经网络包括1D‑CNN深度神经网络;S3,保存训练后的模型并用于识别加密应用细粒度行为的具体类别。本发明能够有效针对突发的加密应用细粒度行为流量进行高效识别。

Description

一种轻量级的加密应用细粒度行为流量早期识别方法
技术领域
本发明涉及网络安全领域,更为具体的,涉及一种轻量级的加密应用细粒度行为流量早期识别方法。
背景技术
随着网络空间安全形势的日益严峻,网络空间的安全威胁对任何一个现代国家的潜在破坏性已经不亚于核武器。在我国互联网应用高速发展的同时,也带来了应用程序滥用且难以被有效监管的问题。此外,伴随着网络流量的加密化已成为现今网络发展的必然趋势,加密技术在给网络使用者提供数据安全和隐私保护的同时,也为当前网络监管带来了更大的挑战。
对加密应用内部具体的细粒度行为流量识别是极具困难并且也是有必要的。与一般的加密应用识别方案相比(即检测软件是否加密或者检测加密应用类别),加密应用的细粒度行为更加具有识别混淆性。由于通常不同加密应用软件由不同服务提供厂商制作,因此不同加密软件之间的通信模式、功能等可能有着较大的区别。而加密应用内部的细粒度行为属于同一个加密应用,区分度相对较低。虽然加密协议SSL/TLS可以保护加密通信流量的报文内容本身不泄漏,但通信过程中网络流量行为依然会透露用户行为的敏感信息。加密流量分析是实现网络监管的重要技术支撑,已成为当前国际研究的热点问题。
发明内容
本发明的目的在于克服现有技术的不足,提供一种轻量级的加密应用细粒度行为流量早期识别方法,能够有效针对突发的加密应用细粒度行为流量进行高效识别等。
本发明的目的是通过以下方案实现的:
一种轻量级的加密应用细粒度行为流量早期识别方法,包括步骤:
S1,对采集的加密应用细粒度行为标注流量以时间窗口
Figure 612942DEST_PATH_IMAGE001
顺序划分为行为流量段;
S2,对步骤S1中划分的时间窗口
Figure 998924DEST_PATH_IMAGE001
内的行为流量段提取时间特征,并进行特征标准 化处理以构建细粒度行为早期指纹,然后输入到深度神经网络中进行训练;所述深度神经 网络包括1D-CNN深度神经网络;
S3,保存训练后的模型并用于识别加密应用细粒度行为的具体类别。
进一步地,步骤S1具体包括如下子步骤:
S1.1:从采集节点中收集加密应用细粒度行为流量,并进行标注;
S1.2:获取每个细粒度行为发生时的时间戳作为行为起点,并获取每个细粒度行为结束时的时间戳作为行为结束点,两者差值得到细粒度行为持续时间;
S1.3:为加密应用细粒度行为流量段设置合适的时间窗口
Figure 513082DEST_PATH_IMAGE001
,将步骤S1.1中的完整 行为流量划分为更细粒度的行为流量段;
S1.4:加密应用的所有行为重复执行S1.1~S1.3操作,存储时间窗口
Figure 85507DEST_PATH_IMAGE001
划分的加密 应用细粒度行为流量段作为行为样本。
进一步地,步骤S2具体包括如下子步骤:
S2.1:对每个行为流量段通过工具提取多个流量统计特征,从中选择多个时间相关特征;
S2.2:构建细粒度行为早期指纹并进行特征标准化处理操作,将数值为Inf和Nan的特征值置为0;
S2.3:将步骤S1得到的早期的加密应用行为流量段,经过步骤S2.1-步骤S2.2的时间特征提取和特征选择后,将构建的细粒度行为早期指纹输入到深度神经网络中进行训练。
进一步地,步骤S3具体包括如下子步骤:
S3.1:在深度神经网络的最后一层使用
Figure 368720DEST_PATH_IMAGE002
激活函数输出每种加密应用细 粒度行为流量的识别类别概率
Figure 784658DEST_PATH_IMAGE003
;其中
Figure 786112DEST_PATH_IMAGE002
激活函数的表达式为:
Figure 329220DEST_PATH_IMAGE004
其中
Figure 466941DEST_PATH_IMAGE005
表示加密应用细粒度行为样本
Figure 53780DEST_PATH_IMAGE006
的预测概率;
S3.2:将预测概率值最大的类别作为最终识别的加密应用细粒度行为,识别过程表示为:
Figure 276951DEST_PATH_IMAGE007
其中
Figure 358170DEST_PATH_IMAGE008
表示为样本
Figure 615976DEST_PATH_IMAGE006
预测为加密应用细粒度行为类别
Figure 514662DEST_PATH_IMAGE009
的概率,
Figure 349763DEST_PATH_IMAGE010
表示第
Figure 93728DEST_PATH_IMAGE011
个加密应用细粒度行为,
Figure 346986DEST_PATH_IMAGE012
表示加密应用细粒度行为类别总数,
Figure 150994DEST_PATH_IMAGE013
用于计算预测概 率最大值对应的加密应用行为类别下标。
进一步地,步骤S1.1具体包括如下子步骤:
S1.1.1:对加密应用细粒度行为流量采集,在UI组件触发时开始使用现有工具采集通信产生的加密流量;
S1.1.2:网络流趋近稳定时结束采集,标注该UI组件对应的用户行为。
进一步地,步骤S1.3具体包括如下子步骤:
S1.3.1:计算每个加密应用细粒度行为的持续时间;
S1.3.2:选取当前加密应用细粒度行为的时间窗口
Figure 473391DEST_PATH_IMAGE001
,该窗口选取应远小于行为总 持续时间。
进一步地,步骤S2.3中,早期的加密应用行为流量段表示为:
Figure 21047DEST_PATH_IMAGE014
其中
Figure 253445DEST_PATH_IMAGE015
表示加密应用细粒度行为
Figure 100791DEST_PATH_IMAGE016
执行时的通信数据包,
Figure 785850DEST_PATH_IMAGE009
表示细粒度行为类别;
Figure 261831DEST_PATH_IMAGE017
表示细粒度行为
Figure 348736DEST_PATH_IMAGE016
执行时的完整通信数据包序列,
Figure 635491DEST_PATH_IMAGE018
表示数据包个数;将上述
Figure 542268DEST_PATH_IMAGE017
按照时 间窗口
Figure 556360DEST_PATH_IMAGE001
分割后即获得细粒度时间窗口内的数据包序列:
Figure 497771DEST_PATH_IMAGE019
其中
Figure 345641DEST_PATH_IMAGE020
表示经第
Figure 615080DEST_PATH_IMAGE011
个时间窗口
Figure 308229DEST_PATH_IMAGE001
划分得到的数据包序列;对时 间窗口
Figure 228781DEST_PATH_IMAGE001
内的数据包序列提取流统计特征,即对加密应用细粒度行为早期样本构建的流特 征向量表示为:
Figure 122919DEST_PATH_IMAGE021
其中
Figure 4287DEST_PATH_IMAGE022
为对第
Figure 639143DEST_PATH_IMAGE011
个时间窗口的细粒度行为数据包提取的时间相关特征序列,
Figure 289567DEST_PATH_IMAGE023
表 示第
Figure 72716DEST_PATH_IMAGE024
个经过标准化的特征值,
Figure 441380DEST_PATH_IMAGE024
表示所选择特征的维度,
Figure 100002_DEST_PATH_IMAGE025
表示
Figure 86119DEST_PATH_IMAGE022
的类别,深度神经网 络训练过程如下:
Figure 856629DEST_PATH_IMAGE026
其中
Figure 810679DEST_PATH_IMAGE027
表示第
Figure 666639DEST_PATH_IMAGE028
层神经网络的输入特征向量,
Figure 646228DEST_PATH_IMAGE011
表示为流特征个数,
Figure 5665DEST_PATH_IMAGE029
表 示第
Figure 396195DEST_PATH_IMAGE028
层神经网络的特征
Figure 473872DEST_PATH_IMAGE011
权重值,
Figure 991572DEST_PATH_IMAGE030
为第
Figure DEST_PATH_IMAGE031
层神经网络的偏重值,
Figure 205516DEST_PATH_IMAGE032
表示神经网络的 神经元处理函数。
进一步地,步骤S2.1中,所述工具为 CICflowmeter工具。
进一步地,步骤S2.1中,所述多个流量统计特征为84个流量统计特征,所述多个时间相关特征为23个时间相关特征。
进一步地,步骤S1.1.1中,所述现有工具为Wireshark工具。
本发明的有益效果是:
本发明提出的一种轻量级的加密应用细粒度行为流量早期识别方法,为网络管理员及时采取针对性措施提供了解决方案。
本发明特征工程较为简单,拥有快速部署在网络边缘的能力,有效针对突发的加密应用细粒度行为流量进行高效识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的轻量级的加密应用细粒度行为流量早期识别方法框架;
图2为利用本发明实施例方法,使用1D-CNN识别Bilibili(一种现有视频服务应用)细粒度用户行为流量的混淆矩阵;图中,BroweVideo为浏览视频,OpenAPP为打开APP,PublishVideo为发布视频,SearchVideo为搜索视频,SendDynamic为发布动态,ViewDynamic为查看动态,WatchVideo为观看视频;
图3为利用本发明实施例方法,使用1D-CNN识别Wechat(一种现有社交服务应用)细粒度用户行为流量的混淆矩阵;图中,Login为用户登录,Logout为用户登出,Moment为查看朋友圈,OpenAPP为打开APP,Payment为支付服务,SendMessage为发送短讯,SendVoice为发送语音;
图4为Bilibili和Wechat加密应用细粒度行为流量识别模型的训练时间;
图5为Bilibili和Wechat加密应用细粒度行为流量识别模型的测试时间。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合附图对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。本说明书中所有实施例公开的所有特征,或隐含公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合和/或扩展、替换。
本发明的发明人在寻求解决背景中问题的过程中,发现国内外近年来针对加密应用的细粒度行为流量识别研究主要集中在针对特定应用进行细粒度行为识别或通过构建通用的加密应用细粒度行为流量识别研究方案,对每个细粒度行为的完整流量进行特征提取,输入到机器学习模型或深度学习模型中进行训练。上述方法可以对加密应用细粒度行为获得较为优异的识别效果。但现有的方法存在如下主要技术问题:(1)目前的方法大多考虑提取完整的行为段流量进行特征提取再加以识别,此时应用内的细粒度行为已发生完毕,难以对其进行早期有效监管;(2)现有加密应用细粒度行为识别方案对于特征工程进行了相当繁琐的研究,难以实时部署在网络边缘。
为了实现加密应用细粒度行为流量的早期识别研究,本发明的发明人经过创造性的思考后,提出了一种加密应用细粒度行为流量早期指纹构建方法,简单的进行特征工程后通过深度神经网络对加密应用细粒度行为进行识别。
本发明旨在实现加密应用细粒度行为流量的早期识别研究,同时解决传统加密应 用细粒度行为流量特征工程需要冗余的特征工程的问题,进而对细粒度行为流量实现早期 实时识别。在具体实施方式中,如图1所示,本发明实施例提出了一种轻量级的加密应用细 粒度行为流量早期识别方法,发明构思之一在于对采样流量以时间窗口
Figure 766947DEST_PATH_IMAGE001
顺序划分细粒度 行为流量段;对小窗口内的流量段提取时间特征,并使用1D-CNN深度神经网络进行训练;使 用训练后的分类模型对加密应用细粒度行为流量进行早期识别,最后输出加密应用执行的 细粒度行为类别。
为了达到上述目的,本发明在具体实施过程中,还包括如下发明构思以及相应技术方案,详述如下:
步骤1:对采集的加密应用细粒度行为标注流量以时间窗口
Figure 331921DEST_PATH_IMAGE001
顺序划分行为流量 段;
步骤2:对步骤1中划分的小时间窗口
Figure 384803DEST_PATH_IMAGE001
内的行为流量段提取时间特征,并进行特征 标准化处理以构建细粒度行为早期指纹,输入到1D-CNN深度神经网络中进行训练;
步骤3:保存训练后的模型并识别加密应用细粒度行为的具体类别。
在具体实施过程中,步骤1具体包括如下子步骤:
步骤1.1:从采集节点中收集加密应用细粒度行为流量,并进行标注;
步骤1.2:获取每个细粒度行为发生时的时间戳作为行为起点,并获取每个细粒度行为结束时的时间戳作为行为结束点,两者差值得到细粒度行为持续时间;
步骤1.3:为加密应用细粒度行为流量段设置合适的小时间窗口窗口
Figure 984412DEST_PATH_IMAGE001
,对步骤1.1 中的完整行为流量划分更细粒度的行为流量段;
步骤1.4:加密应用的所有行为重复执行步骤1.1~步骤1.3操作,存储时间窗口划分的加密应用细粒度行为流量段作为行为样本。
在具体实施过程中,步骤1.1具体包括如下子步骤:
步骤1.1.1:对加密应用细粒度行为流量采集,在UI组件触发时开始使用Wireshark工具采集通信产生的加密流量;
步骤1.1.2:网络流趋近稳定时结束采集,标注该UI组件对应的用户行为。
在具体实施过程中,步骤1.3具体包括如下子步骤:
步骤1.3.1:计算每个加密应用细粒度行为的持续时间;
步骤1.3.2:选取当前加密应用细粒度行为的时间窗口
Figure 716744DEST_PATH_IMAGE001
,该窗口选取应远小于行 为总持续时间。
在具体实施过程中,步骤2具体包括如下子步骤:
步骤2.1:对每个行为流量段通过CICflowmeter工具提取84个流量统计特征,从中选择23个时间相关特征;
步骤2.2:构建细粒度行为早期指纹并进行特征标准化处理操作,将数值为Inf和Nan的特征值置为0;
步骤2.3:将步骤1得到的加密应用行为早期流量段,经过步骤2.1-步骤2.2的时间特征提取和特征选择后,将构建的细粒度行为早期指纹输入到1D-CNN深度神经网络中进行训练。
在具体实施过程中,步骤2.3中所述的加密应用细粒度行为流量表示为:
Figure 769014DEST_PATH_IMAGE014
其中
Figure 362937DEST_PATH_IMAGE015
表示加密应用细粒度行为
Figure 817053DEST_PATH_IMAGE016
执行时的通信数据包,
Figure 720286DEST_PATH_IMAGE009
表示细粒度行为类别。
Figure 525431DEST_PATH_IMAGE017
表示细粒度行为
Figure 47680DEST_PATH_IMAGE016
执行时的完整通信数据包序列,
Figure 231667DEST_PATH_IMAGE018
表示数据包个数。将上述
Figure 446748DEST_PATH_IMAGE017
按照小 时间窗口
Figure 332665DEST_PATH_IMAGE001
分割后即获得细粒度时间窗口内的数据包序列:
Figure 658604DEST_PATH_IMAGE019
其中
Figure 697098DEST_PATH_IMAGE020
表示经第
Figure 83080DEST_PATH_IMAGE011
个时间窗口
Figure 597238DEST_PATH_IMAGE001
划分得到的数据包序列。对小 时间窗口
Figure 585922DEST_PATH_IMAGE001
内的数据包序列提取流统计特征,即对加密应用细粒度行为早期样本构建的流 特征向量表示为:
Figure 603557DEST_PATH_IMAGE021
其中
Figure 32877DEST_PATH_IMAGE022
为对第
Figure 34331DEST_PATH_IMAGE011
个时间窗口的细粒度行为数据包提取的时间相关特征序列,
Figure 826706DEST_PATH_IMAGE023
表 示第
Figure 698847DEST_PATH_IMAGE024
个经过标准化的特征值,
Figure 692211DEST_PATH_IMAGE024
表示所选择特征的维度,
Figure 790748DEST_PATH_IMAGE025
表示
Figure 996602DEST_PATH_IMAGE022
的类别,神经网络训 练过程如下:
Figure 113462DEST_PATH_IMAGE026
其中
Figure 12148DEST_PATH_IMAGE027
表示第
Figure 597982DEST_PATH_IMAGE028
层神经网络的输入特征向量,
Figure 607526DEST_PATH_IMAGE011
表示为流特征个数,
Figure 844472DEST_PATH_IMAGE029
表 示第
Figure 648480DEST_PATH_IMAGE028
层神经网络的特征
Figure 111822DEST_PATH_IMAGE011
权重值,
Figure 534845DEST_PATH_IMAGE030
为第
Figure 501664DEST_PATH_IMAGE031
层神经网络的偏重值,
Figure 601207DEST_PATH_IMAGE032
表示神经网络的 神经元处理函数。
在具体实施过程中,步骤3具体包括如下子步骤:
步骤3.1:在1D-CNN深度神经网络的最后一层使用
Figure 551845DEST_PATH_IMAGE002
激活函数输出每种 加密应用细粒度行为流量的识别类别概率
Figure 775629DEST_PATH_IMAGE003
。其中
Figure 596954DEST_PATH_IMAGE002
激活函数的表达式为:
Figure 132978DEST_PATH_IMAGE004
其中
Figure 305333DEST_PATH_IMAGE005
表示加密应用细粒度行为样本
Figure 194792DEST_PATH_IMAGE006
的预测概率;
步骤3.2:将预测概率值最大的类别作为最终识别的加密应用细粒度行为,识别过程表示为:
Figure 277148DEST_PATH_IMAGE007
其中
Figure 593860DEST_PATH_IMAGE008
表示为样本
Figure 112566DEST_PATH_IMAGE006
预测为加密应用细粒度行为类别
Figure 805716DEST_PATH_IMAGE009
的概率,
Figure 476999DEST_PATH_IMAGE010
表示第
Figure 230192DEST_PATH_IMAGE011
个加密应用细粒度行为,
Figure 377139DEST_PATH_IMAGE012
表示加密应用细粒度行为类别总数,
Figure 467455DEST_PATH_IMAGE013
用于计算预测概 率最大值对应的加密应用行为类别下标。
图2为利用本发明实施例方法,使用1D-CNN识别Bilibili(一种现有视频服务应用)细粒度用户行为流量的混淆矩阵;
图3为利用本发明实施例方法,使用1D-CNN识别Wechat(一种现有社交服务应用)细粒度用户行为流量的混淆矩阵;
图4为Bilibili和Wechat加密应用细粒度行为流量识别模型的训练时间
图5为Bilibili和Wechat加密应用细粒度行为流量识别模型的测试时间。
从图2~图5可以看出,本发明实施例方法拥有能够快速部署在网络边缘的能力,可以有效针对突发的加密应用细粒度行为流量进行高效识别。图2针对Bilibili的七种加密应用细粒度行为识别的平均识别召回率超过93.27%,除SendDynamic(推送动态)行为容易与SearchVideo(搜索视频)混淆外,其余行为均能得以精准识别,有三种加密应用细粒度行为(BroweVideo、OpenAPP、WatchVideo)识别召回率超过99%;图3针对Wechat的七种加密应用细粒度行为识别的平均识别召回率为93.57%,除Payment(支付)、SendMessage(发送短讯)外,其余行为均能被精准识别,有三种加密应用细粒度行为(Login、Moment、SendVoice)识别召回率为100%。图4和图5显示1D-CNN神经网络模型对两种加密应用的多种行为部署和测试结果,其单轮训练时间为1.68s和1.40s,单个行为样本测试时间分别为0.083ms和0.074ms,具有较快的模型收敛性能。
本发明功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,在一台计算机设备(可以是个人计算机,服务器,或者网络设备等)以及相应的软件中执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、或者光盘等各种可以存储程序代码的介质,进行测试或者实际的数据在程序实现中存在于只读存储器(Random Access Memory,RAM)、随机存取存储器(Random Access Memory,RAM)等。

Claims (10)

1.一种轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,包括步骤:
S1,对采集的加密应用细粒度行为标注流量以时间窗口
Figure 349255DEST_PATH_IMAGE001
顺序划分为行为流量段;
S2,对步骤S1中划分的时间窗口
Figure 594291DEST_PATH_IMAGE001
内的行为流量段提取时间特征,并进行特征标准化处 理以构建细粒度行为早期指纹,然后输入到深度神经网络中进行训练;所述深度神经网络 包括1D-CNN深度神经网络;
S3,保存训练后的模型并用于识别加密应用细粒度行为的具体类别。
2.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S1具体包括如下子步骤:
S1.1:从采集节点中收集加密应用细粒度行为流量,并进行标注;
S1.2:获取每个细粒度行为发生时的时间戳作为行为起点,并获取每个细粒度行为结束时的时间戳作为行为结束点,两者差值得到细粒度行为持续时间;
S1.3:为加密应用细粒度行为流量段设置合适的时间窗口
Figure 842870DEST_PATH_IMAGE001
,将步骤S1.1中的完整行为 流量划分为更细粒度的行为流量段;
S1.4:加密应用的所有行为重复执行S1.1~S1.3操作,存储时间窗口
Figure 972500DEST_PATH_IMAGE001
划分的加密应用 细粒度行为流量段作为行为样本。
3.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S2具体包括如下子步骤:
S2.1:对每个行为流量段通过工具提取多个流量统计特征,从中选择多个时间相关特征;
S2.2:构建细粒度行为早期指纹并进行特征标准化处理操作,将数值为Inf和Nan的特征值置为0;
S2.3:将步骤S1得到的早期的加密应用行为流量段,经过步骤S2.1-步骤S2.2的时间特征提取和特征选择后,将构建的细粒度行为早期指纹输入到深度神经网络中进行训练。
4.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S3具体包括如下子步骤:
S3.1:在深度神经网络的最后一层使用
Figure 131080DEST_PATH_IMAGE002
激活函数输出每种加密应用细粒度 行为流量的识别类别概率
Figure 422384DEST_PATH_IMAGE003
;其中
Figure 282893DEST_PATH_IMAGE002
激活函数的表达式为:
Figure DEST_PATH_IMAGE004
其中
Figure 560421DEST_PATH_IMAGE005
表示加密应用细粒度行为样本
Figure 698142DEST_PATH_IMAGE006
的预测概率;
S3.2:将预测概率值最大的类别作为最终识别的加密应用细粒度行为,识别过程表示为:
Figure 284981DEST_PATH_IMAGE007
其中
Figure DEST_PATH_IMAGE008
表示为样本
Figure 242573DEST_PATH_IMAGE006
预测为加密应用细粒度行为类别
Figure 55283DEST_PATH_IMAGE009
的概率,
Figure 313089DEST_PATH_IMAGE010
表示第
Figure 336409DEST_PATH_IMAGE011
个加 密应用细粒度行为,
Figure DEST_PATH_IMAGE012
表示加密应用细粒度行为类别总数,
Figure 656663DEST_PATH_IMAGE013
用于计算预测概率最 大值对应的加密应用行为类别下标。
5.根据权利要求2所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S1.1具体包括如下子步骤:
S1.1.1:对加密应用细粒度行为流量采集,在UI组件触发时开始使用现有工具采集通信产生的加密流量;
S1.1.2:网络流趋近稳定时结束采集,标注该UI组件对应的用户行为。
6.根据权利要求2所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S1.3具体包括如下子步骤:
S1.3.1:计算每个加密应用细粒度行为的持续时间;
S1.3.2:选取当前加密应用细粒度行为的时间窗口
Figure 400628DEST_PATH_IMAGE001
,该窗口选取应远小于行为总持续 时间。
7.根据权利要求3所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S2.3中,早期的加密应用行为流量段表示为:
Figure DEST_PATH_IMAGE014
其中
Figure 106416DEST_PATH_IMAGE015
表示加密应用细粒度行为
Figure DEST_PATH_IMAGE016
执行时的通信数据包,
Figure 520211DEST_PATH_IMAGE009
表示细粒度行为类别;
Figure 717974DEST_PATH_IMAGE017
表 示细粒度行为
Figure 655843DEST_PATH_IMAGE016
执行时的完整通信数据包序列,
Figure 357083DEST_PATH_IMAGE018
表示数据包个数;将上述
Figure 738517DEST_PATH_IMAGE017
按照时间窗 口
Figure 157997DEST_PATH_IMAGE001
分割后即获得细粒度时间窗口内的数据包序列:
Figure DEST_PATH_IMAGE019
其中
Figure 102819DEST_PATH_IMAGE020
表示经第
Figure 189724DEST_PATH_IMAGE011
个时间窗口
Figure 473550DEST_PATH_IMAGE001
划分得到的数据包序列;对时间窗 口
Figure 239381DEST_PATH_IMAGE001
内的数据包序列提取流统计特征,即对加密应用细粒度行为早期样本构建的流特征向 量表示为:
Figure DEST_PATH_IMAGE021
其中
Figure 473047DEST_PATH_IMAGE022
为对第
Figure 680037DEST_PATH_IMAGE011
个时间窗口的细粒度行为数据包提取的时间相关特征序列,
Figure 121383DEST_PATH_IMAGE023
表示第
Figure 781035DEST_PATH_IMAGE024
个经过标准化的特征值,
Figure 474184DEST_PATH_IMAGE024
表示所选择特征的维度,
Figure DEST_PATH_IMAGE025
表示
Figure 348730DEST_PATH_IMAGE022
的类别,深度神经网络训 练过程如下:
Figure 226556DEST_PATH_IMAGE026
其中
Figure DEST_PATH_IMAGE027
表示第
Figure 452133DEST_PATH_IMAGE028
层神经网络的输入特征向量,
Figure 214552DEST_PATH_IMAGE011
表示为流特征个数,
Figure 989610DEST_PATH_IMAGE029
表示第
Figure 648125DEST_PATH_IMAGE028
层神经网络的特征
Figure 889226DEST_PATH_IMAGE011
权重值,
Figure DEST_PATH_IMAGE030
为第
Figure 720915DEST_PATH_IMAGE031
层神经网络的偏重值,
Figure 101212DEST_PATH_IMAGE032
表示神经网络的神 经元处理函数。
8.根据权利要求3所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S2.1中,所述工具为 CICflowmeter工具。
9.根据权利要求3所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S2.1中,所述多个流量统计特征为84个流量统计特征,所述多个时间相关特征为23个时间相关特征。
10.根据权利要求5所述的轻量级的加密应用细粒度行为流量早期识别方法,其特征在于,步骤S1.1.1中,所述现有工具为Wireshark工具。
CN202211306174.1A 2022-10-25 2022-10-25 一种轻量级的加密应用细粒度行为流量早期识别方法 Active CN115378741B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211306174.1A CN115378741B (zh) 2022-10-25 2022-10-25 一种轻量级的加密应用细粒度行为流量早期识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211306174.1A CN115378741B (zh) 2022-10-25 2022-10-25 一种轻量级的加密应用细粒度行为流量早期识别方法

Publications (2)

Publication Number Publication Date
CN115378741A true CN115378741A (zh) 2022-11-22
CN115378741B CN115378741B (zh) 2023-03-21

Family

ID=84073383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211306174.1A Active CN115378741B (zh) 2022-10-25 2022-10-25 一种轻量级的加密应用细粒度行为流量早期识别方法

Country Status (1)

Country Link
CN (1) CN115378741B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873320A (zh) * 2013-12-27 2014-06-18 北京天融信科技有限公司 加密流量识别方法及装置
CN109871948A (zh) * 2019-03-26 2019-06-11 中国人民解放军陆军工程大学 一种基于二维卷积神经网络的应用层协议识别方法
CN111131304A (zh) * 2019-12-31 2020-05-08 嘉兴学院 面向云平台大规模虚拟机细粒度异常行为检测方法和系统
CN111310796A (zh) * 2020-01-19 2020-06-19 中山大学 一种面向加密网络流的Web用户点击识别方法
CN113656800A (zh) * 2021-08-18 2021-11-16 东南大学 一种基于加密流量分析的恶意软件行为识别方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873320A (zh) * 2013-12-27 2014-06-18 北京天融信科技有限公司 加密流量识别方法及装置
CN109871948A (zh) * 2019-03-26 2019-06-11 中国人民解放军陆军工程大学 一种基于二维卷积神经网络的应用层协议识别方法
CN111131304A (zh) * 2019-12-31 2020-05-08 嘉兴学院 面向云平台大规模虚拟机细粒度异常行为检测方法和系统
CN111310796A (zh) * 2020-01-19 2020-06-19 中山大学 一种面向加密网络流的Web用户点击识别方法
CN113656800A (zh) * 2021-08-18 2021-11-16 东南大学 一种基于加密流量分析的恶意软件行为识别方法

Also Published As

Publication number Publication date
CN115378741B (zh) 2023-03-21

Similar Documents

Publication Publication Date Title
Shahid et al. IoT devices recognition through network traffic analysis
CN111385297B (zh) 无线设备指纹识别方法、系统、设备及可读存储介质
Wang et al. An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol
Luxemburk et al. Fine-grained TLS services classification with reject option
Wang et al. SnWF: website fingerprinting attack by ensembling the snapshot of deep learning
CN114143037A (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN113821793A (zh) 一种基于图卷积神经网络的多阶段攻击场景构建方法及系统
CN113283498A (zh) 一种面向高速网络的vpn流量快速识别方法
Li et al. Activetracker: Uncovering the trajectory of app activities over encrypted internet traffic streams
Wang et al. Identifying DApps and user behaviors on ethereum via encrypted traffic
CN114301850B (zh) 一种基于生成对抗网络与模型压缩的军用通信加密流量识别方法
Yujie et al. End-to-end android malware classification based on pure traffic images
Qiao et al. Encrypted 5G over-the-top voice traffic identification based on deep learning
Ali et al. A generic machine learning approach for IoT device identification
Hsupeng et al. Explainable malware detection using predefined network flow
Ren et al. App identification based on encrypted multi-smartphone sources traffic fingerprints
Soewu et al. Analysis of Data Mining-Based Approach for Intrusion Detection System
CN112235254B (zh) 一种高速主干网中Tor网桥的快速识别方法
CN114510615A (zh) 一种基于图注意力池化网络的细粒度加密网站指纹分类方法和装置
CN111211948B (zh) 基于载荷特征和统计特征的Shodan流量识别方法
CN113037709A (zh) 一种针对匿名网络的多标签浏览的网页指纹监控方法
CN115378741B (zh) 一种轻量级的加密应用细粒度行为流量早期识别方法
CN115987687A (zh) 网络攻击取证方法、装置、设备及存储介质
CN111310796A (zh) 一种面向加密网络流的Web用户点击识别方法
CN113656800B (zh) 一种基于加密流量分析的恶意软件行为识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant