一种基于GCNN和MoE的加密网络流量分类方法技术

本发明专利技术属于计算机人工智能领域，具体涉及一种基于GCNN和MoE的加密网络流量分类方法，包括：将一段时间内的移动应用程序的流量数据划分为多个长度相同的流量块；将流量块转换为具有节点特征和边缘权重的图数据集；构建基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型，并对该模型进行训练；将待测数据的图数据集输入加密网络流量分类模型，得到分类结果；本发明专利技术实现了更高的分类性能，解决了传统机器学习方法和传统CNN、RNN等神经网络模型分类精确度不高及性能较差等问题。较差等问题。较差等问题。

【技术实现步骤摘要】
一种基于GCNN和MoE的加密网络流量分类方法


[0001]本专利技术属于计算机人工智能领域，具体涉及一种基于GCNN和MoE的加密网络流量分类方法。

技术介绍

[0002]随着近年来互联网通信技术的日益发展，包括5G在内的通信技术的普及使智能和移动设备的增长显著。人们普遍预测，到2023年，包括智能手机在内的物联网(IoT)设备的数量将达到数百亿，网络已经成为人们工作和生活的一部分。在当今的网络管理系统中，网络流量分类是一项关键工作，主要目标是预测网络数据流协议和应用程序类型。
[0003]近年来，随着保护传输数据和用户的隐私安全需求的快速发展，越来越多的应用程序的协议开始使用加密技术发送数据，加密流量在网络中的占比也急剧增长，加密的技术也越来越复杂。加密流量分类是互联网诞生以来，一直被认为是最重要的网络安全方向之一。但是由于加密技术的普及和网络吞吐量的高速增长，实现快速准确的对加密流量进行分类变得越来越困难。加密技术的出现在另一方面也导致出现各种恶意流量和网络异常流量的可能性增大，黑客攻击也利用加密技术进行大量的恶意攻击活动，当网络中出现大量的加密流量，怎么样才能快速对加密流量进行分类，进一步进行精细化的流量分析，就会显得非常重要。
[0004]现有的移动应用程序分类工作大多克服了加密流量的挑战。例如，AppScnner方法使用了一种基于流的检测方法，该方法从分组报头中提取侧信道特征，并计算统计特征，以训练用于在移动应用分类的机器学习模型上。还有，FlowPrint方法通过考虑移动设备与其他目的地(如CDN和第三方服务)之间的通信图以及相关属性(如目的IP、目的端口和TLS证书)来构建应用程序的指纹。在推断阶段，将过去收集的指纹与新指纹进行比较，以确定应用程序。然而，由于在构建应用程序所有可能行为的通信图方面存在挑战，考虑了短的通信时间情况。因此，如果用户改变其使用行为或使用应用程序的不同功能，则可能无法正常运作。
[0005]综合当前基于深度学习的网络流量分类研究情况，发现在利用深度学习方法对网络流量进行分类过程中仍存在一些挑战：
[0006]1.超过80％的移动通信量是加密的或采用传输层安全性(TLS)，因此可能无法使用分析应用层协议某些领域的基于有效载荷的方法对通信量进行分类；
[0007]2.基于端口的分类方法无法对移动流量进行分类，因为应用程序主要使用HTTPS传递数据，并使用XML或JSON等文本格式来回发送数据。一些信息(如文件数量或文件大小)不可用于采用网页分类。
[0008]3.用户行为随时间动态变化，这取决于所使用的功能。在移动应用的短时间(例如，5分钟)内捕获的流量可能不代表其完整的流量行为。

技术实现思路

[0009]为了解决上述问题，本专利技术提出一种基于GCNN和MoE的加密网络流量分类方法，具体包括以下步骤：
[0010]S1、将一段时间内的移动应用程序的流量数据划分为对个长度相同的流量块；
[0011]S2、将流量块转换为具有节点特征和边缘权重的图数据集；
[0012]S3、构建基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型，并对该模型进行训练；
[0013]S4、将待测数据的图数据集输入加密网络流量分类模型，得到分类结果。
[0014]进一步的，将一段时间内的移动应用程序的流量数据划分为对个长度相同的流量块时，设置持续时间和重叠时间，通过持续时间和重叠时间划分流量块，具体包括：每个流量块的长度设置为持续时间的长度，除了第一个流量块与最后一个流量块以外，每个流量块与其前一个流量块有长度为重叠时间的重叠、与其后一个流量块也有长度为重叠时间的重叠。
[0015]进一步的，将流量块转换为具有节点特征和边缘权重的图数据集的过程包括以下步骤：
[0016]移除流量块中的dns协议；
[0017]获取移动应用程序中的IP地址和端口号并将IP地址合并到端口号；
[0018]构建移动应用程序的图数据时，
[0019]获取一个MApp图形所需的最大节点数N，并根据两个节点之间权重生成每一个MApp的所有图形数据；
[0020]每一个MApp的全部图形数据保存在2个csv格式的文件中，将节点特征存放在features.csv文件中，将节点之间权重存放在weights.csv文件中。
[0021]进一步的，基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型包括多个级联的GCN层、sortpooling层、Expert网络、softmax层，四个级联的GCN层的输出的图潜在表示输入sortpooling层选出图潜在表示值最大K个值，Expert网络包括多个Expert单元，将选出的图潜在表示分别输入多个Expert单元，将累加每个Expert单元的输出与该Expert单元对应权值的乘积后输入softmax层，softmax层得出分类结果。
[0022]进一步的，若存在L个GCN层级联，则第l+1个的GCN层的输出表示为：
[0023][0024]其中，为第l+1个图卷积层的输出，c
l
为在第l层提取的每个图节点的特征数量，n为节点数量，l＝0...L
‑
1,Z0＝X，表示节点特征矩阵，c表示节点特征矩阵中节点的特征数量；为图的对角矩阵；为添加自环的邻接矩阵；为第l层的可训练参数。
[0025]进一步的，用G表示一个图数据，表示为为图数据中的节点集合，ε为图数据中的边集合，若A为图数据的邻接矩阵，则添加自环的邻接矩阵表示为：
[0026][0027]其中，I为单位矩阵。
[0028]进一步的，通过节点之间的互相关性建立节点之间的边关系，即若两个节点的互相关性不为0，则两个节点之间存在边关系，边权重为两个节点之间的互相关性，两个节点的互相关性的计算过程包括以下步骤：
[0029]根据在一个给定的时间窗口中捕获的流量产生图节点，将给定的时间窗口划分为T个不同持续时间的切片；
[0030]统计每个切片内移动应用程序向部署在目的IP地址和端口上的服务发送一个流量包，或者接收到部署在目的IP地址和端口上的服务的流量包的数量作为两个节点之间的互相关性，表示为：
[0031][0032]其中，C
i,j
为节点i和节点j之间的互相关性，r
i
(t)表示节点i在时间切片t中的是否活动的二进制变量，当节点i活动时r
i
(t)＝1，否则r
i
(t)＝0。
[0033]进一步的，采用Adam算法对基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型进行优化，优化过程包括：
[0034]获取历史数据作为训练数据集，并对训练数据集进行分片，即将训练数据集划分为多个相互独立、正交的子数据集，每个子数据集为一个分片；
[0035]对网络进行训练时，利本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，具体包括以下步骤：S1、将一段时间内的移动应用程序的流量数据划分为多个长度相同的流量块；S2、将流量块转换为具有节点特征和边缘权重的图数据集；S3、构建基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型，并对该模型进行训练；S4、将待测数据的图数据集输入加密网络流量分类模型，得到分类结果。2.根据权利要求1所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，将一段时间内的移动应用程序的流量数据划分为对个长度相同的流量块时，设置持续时间和重叠时间，通过持续时间和重叠时间划分流量块，具体包括：每个流量块的长度设置为持续时间的长度，除了第一个流量块与最后一个流量块以外，每个流量块与其前一个流量块有长度为重叠时间的重叠、与其后一个流量块也有长度为重叠时间的重叠。3.根据权利要求1所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，将流量块转换为具有节点特征和边缘权重的图数据集的过程包括以下步骤：移除流量块中的dns协议；获取移动应用程序中的IP地址和端口号并将IP地址合并到端口号；构建移动应用程序的图数据时，获取一个MApp图形所需的最大节点数N，并根据两个节点之间权重生成每一个MApp的所有图形数据；每一个MApp的全部图形数据保存在2个csv格式的文件中，将节点特征存放在features.csv文件中，将节点之间权重存放在weights.csv文件中。4.根据权利要求1所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，基于图卷积神经网络GCNN和混合专家系统的移动应用程序的加密网络流量分类模型包括多个级联的GCN层、sortpooling层、Expert网络、softmax层，四个级联的GCN层的输出的图潜在表示输入sortpooling层选出图潜在表示值最大K个值，Expert网络包括多个Expert单元，将选出的图潜在表示分别输入多个Expert单元，将累加每个Expert单元的输出与该Expert单元对应权值的乘积后输入softmax层，softmax层得出分类结果。5.根据权利要求4所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，若存在L个GCN层级联，则第l+1个的GCN层的输出表示为：其中，为第l+1个图卷积层的输出，c
l
为在第l层提取的每个图节点的特征数量，n为节点数量，l＝0...L
‑
1,Z0＝X，表示节点特征矩阵，c表示节点特征矩阵中节点的特征数量；为图的对角矩阵；为添加自环的邻接矩阵；为第l层的可训练参数。6.根据权利要求5所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，用G表示一个图数据，表示为用G表示一个图数据，表示为为图数据中的节点集合，ε为图数据中的边集合，若A为图数据的邻接矩阵，则添加自环的邻接矩阵表示为：
其中，I为单位矩阵。7.根据权利要求3所述的一种基于GCNN和MoE的加密网络流量分类方法，其特征在于，通过节点之间的互相关性建立节点之间的...

【专利技术属性】
技术研发人员：段思睿，张弦，余翔，庞育才，肖云鹏，王蓉，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：