本发明专利技术实施例公开了一种加密流量应用识别方法和系统,所述方法包括:获取待识别加密流量,提取所述待识别加密流量的包特征数据和载荷数据,并将所述载荷数据转换为图片;将所述包特征数据和所述图片输入预先训练的应用识别模型中,以得到所述待识别加密流量对应的应用类型;其中,所述应用识别模型是利用包特征数据样本和图片样本进行训练得到的,所述包特征数据样本和所述图片样本是通过加密流量样本进行特征转换得到的。解决了现有技术中对于不规整、没有规律的加密流量,识别结果较差,识别程序的利用率较低和使用范围受限的技术问题。问题。问题。
【技术实现步骤摘要】
加密流量应用识别方法和系统
[0001]本专利技术网络安全
,具体涉及一种加密流量应用识别方法和系统。
技术介绍
[0002]随着网路技术的快速发展,互联网已经在军事,经济、教育、生活等各个领域都有着广泛应用,然而,在互联网给我们的生活带来各种便利的同时,也带来了各种安全问题,如数据窃取、恶意软件横行等,为互联网用户的安全带来了巨大挑战。为了保护传输数据,加密传输已成为现有广泛应用的方式。采用加密传输有益于保护普通用户的隐私,然而这也给了恶意应用开发者可乘之机,开始大量使用加密流量来逃避检测,为此提出基于多模态加密流量的应用识别的方案,用于识别加密流量的应用行为,通过识别加密流量的应用,识别其具体的行为如邮件、音频、视频、电商等,发现其行为恶意数据传输还是具体某种价值的应用,就显得尤为重要。
[0003]传统的方法是利用手工编写规则进行加密流量应用识别,或者通过服务端域名信息识别,还有通过机器学习进行识别,但是手工编写规则的方式适用于结构较为规整、规律性强的加密流量,针对一种应用编写的规则通常难以应用到其他情况中去,无法免去为每个领域单独制定规则的步骤。对于不规整、没有规律的加密流量,识别结果十分不理想,使得识别程序的利用率和使用范围非常低。同时识别效率也不高,另一方面,手工编写规则的方式还存在着依赖于有一定经验知识的开发人员的手工劳动的弊端,在一定程度上增加了开发人员的工作量,而且识别结果容易受开发人员技术和经验的影响。
技术实现思路
[0004]为此,本专利技术实施例提供一种加密流量应用识别方法和系统,以至少部分解决现有技术中对于不规整、没有规律的加密流量,识别结果较差,识别程序的利用率较低和使用范围受限的技术问题。
[0005]为了实现上述目的,本专利技术实施例提供如下技术方案:
[0006]一种加密流量应用识别方法,所述方法包括:
[0007]获取待识别加密流量,提取所述待识别加密流量的包特征数据和载荷数据,并将所述载荷数据转换为图片;
[0008]将所述包特征数据和所述图片输入预先训练的应用识别模型中,以得到所述待识别加密流量对应的应用类型;
[0009]其中,所述应用识别模型是利用包特征数据样本和图片样本进行训练得到的,所述包特征数据样本和所述图片样本是通过加密流量样本进行特征转换得到的。
[0010]在一些实施例中,利用包特征数据样本和图片样本进行训练得到所述应用识别模型,具体包括:
[0011]获取加密流量样本,并对所述加密流量样本的数据包进行标记;
[0012]基于标记后的所述加密流量样本的数据包得到包特征数据样本和图片样本;
[0013]将所述包特征数据样本和所述图片样本进行模态对齐,以得到特征向量;
[0014]将所述特征向量输入到预先构建的深度学习模型中进行训练,以得到应用识别模型。
[0015]在一些实施例中,基于标记后的所述加密流量样本的数据包得到包特征数据样本和图片样本,具体包括:
[0016]对标记后的所述加密流量样本的数据包进行解析,以得到五元组信息样本和载荷信息样本;
[0017]对所述五元组信息样本进行特征处理,以得到包特征数据样本,将所述载荷信息样本转换为图片样本。
[0018]在一些实施例中,对所述五元组信息样本进行特征处理,以得到包特征数据样本,具体包括:
[0019]对解析后的所述五元组信息样本进行特征工程;
[0020]确定所述五元组信息样本中的异常数据,并对异常数据进行清洗;
[0021]根据通信时长及会话的五元组信息进程对清洗后得到的目标数据进行特征衍生,以得到包特征数据样本。
[0022]在一些实施例中,对解析后的所述五元组信息样本进行特征工程,具体包括:
[0023]确定数据缺失值,把缺失值大于总数60%的数据进行去除,然后对其他缺失值按照数据分布特征进行填充。
[0024]在一些实施例中,根据通信时长及会话的五元组信息进程对清洗后得到的目标数据进行特征衍生时,衍生特征包括以下至少一者:
[0025]上行数据包总数、下行数据包总数、上行有效载荷数据包总数、下行有效载荷数据包总数、上行载荷总量、下行载荷总量、流持续时间、上行载荷平均值,下行载荷均值、上行最小载荷量、下行最小载荷量、上行最大载荷量、下行最大载荷量、上行载荷方差、下行载荷方差、上行数据包时间间隔平均值、下行数据包时间间隔平均值、上行最小时间间隔、下行最小时间间隔、上行最大时间间隔、下行最大时间间隔、上行时间间隔方差、下行时间间隔方差、包总数、上行包占比、下行包占比、数据包总长度方差、上行数据包总长度方差、下行数据包总长度方差。
[0026]在一些实施例中,所述图片为128*128的灰度图。
[0027]本专利技术还提供了一种加密流量应用识别系统,所述系统包括:
[0028]特征处理单元,用于获取待识别加密流量,提取所述待识别加密流量的包特征数据和载荷数据,并将所述载荷数据转换为图片;
[0029]结果生成单元,用于将所述包特征数据和所述图片输入预先训练的应用识别模型中,以得到所述待识别加密流量对应的应用类型;
[0030]其中,所述应用识别模型是利用包特征数据样本和图片样本进行训练得到的,所述包特征数据样本和所述图片样本是通过加密流量样本进行特征转换得到的。
[0031]本专利技术还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述方法的步骤。
[0032]本专利技术还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述
计算机程序被处理器执行时实现如上所述方法的步骤。
[0033]本专利技术所提供的加密流量应用识别方法,通过获取待识别加密流量,提取所述待识别加密流量的包特征数据和载荷数据,并将所述载荷数据转换为图片;将所述包特征数据和所述图片输入预先训练的应用识别模型中,以得到所述待识别加密流量对应的应用类型。本方法提出了基于多模态技术的加密流量应用识别方案,该方案在对加密流量数据包按照一定规则进行解析,并且把每条会话的载荷数据,转化为图片,使用流量的包特征和图片数据同时进行训练,在使用少量数据进行训练集训练之后,可以对加密流量数据包应用识别达到较高的准确率。该方法完全脱离了传统的基于进行加密流量应用识别的方法,对于不规整、没有规律的加密流量也可以进行精准识别,可以有效减轻开发人员规则编写的工作,具有低成本、效率高、准确率高、方便灵活等特点。解决了现有技术中对于不规整、没有规律的加密流量,识别结果较差,识别程序的利用率较低和使用范围受限的技术问题。
附图说明
[0034]为了更清楚地说明本专利技术的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种加密流量应用识别方法,其特征在于,所述方法包括:获取待识别加密流量,提取所述待识别加密流量的包特征数据和载荷数据,并将所述载荷数据转换为图片;将所述包特征数据和所述图片输入预先训练的应用识别模型中,以得到所述待识别加密流量对应的应用类型;其中,所述应用识别模型是利用包特征数据样本和图片样本进行训练得到的,所述包特征数据样本和所述图片样本是通过加密流量样本进行特征转换得到的。2.根据权利要求1所述的加密流量应用识别方法,其特征在于,利用包特征数据样本和图片样本进行训练得到所述应用识别模型,具体包括:获取加密流量样本,并对所述加密流量样本的数据包进行标记;基于标记后的所述加密流量样本的数据包得到包特征数据样本和图片样本;将所述包特征数据样本和所述图片样本进行模态对齐,以得到特征向量;将所述特征向量输入到预先构建的深度学习模型中进行训练,以得到应用识别模型。3.根据权利要求2所述的加密流量应用识别方法,其特征在于,基于标记后的所述加密流量样本的数据包得到包特征数据样本和图片样本,具体包括:对标记后的所述加密流量样本的数据包进行解析,以得到五元组信息样本和载荷信息样本;对所述五元组信息样本进行特征处理,以得到包特征数据样本,将所述载荷信息样本转换为图片样本。4.根据权利要求3所述的加密流量应用识别方法,其特征在于,对所述五元组信息样本进行特征处理,以得到包特征数据样本,具体包括:对解析后的所述五元组信息样本进行特征工程;确定所述五元组信息样本中的异常数据,并对异常数据进行清洗;根据通信时长及会话的五元组信息进程对清洗后得到的目标数据进行特征衍生,以得到包特征数据样本。5.根据权利要求4所述的加密流量应用识别方法,其特征在于,对解析后的所述五元组信息样本进行特征工程,具体包括:确定数据缺失值,把缺失值大于总数60%的数据进行...
【专利技术属性】
技术研发人员:任玉坤,孙亭,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。