(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115834495A(43)申请公布日2023.03.21(21)申请号202211247906.4(22)申请日2022.10.12(71)申请人中国科学院计算技术研究所地址100080北京市海淀区中关村科学院南路6号(72)发明人杨万里张广兴刁祖龙(74)专利代理机构北京律诚同业知识产权代理有限公司11006专利代理师祁建国陈思远(51)Int.Cl.H04L47/2483(2022.01)H04L69/163(2022.01)权利要求书2页说明书6页附图7页(54)发明名称一种用于加密流量的识别方法和系统(57)摘要本发明提出了一种用于加密流量的识别方法和系统，包括：对已标记应用类别的加密流记录提取多个特征，并将该多个特征融合为灰度图；将该灰度图输入具有多层神经网络的卷积识别模型，得到该灰度图的预测类别，基于该预测类别和该标记应用类别构建损失函数，训练该卷积识别模型，得到加密流量识别模型；将待识别加密流记录的多个特征融合为灰度图后输入至该加密流量识别模型，得到待识别加密流记录的识别结果。本发明具有识别准确率高，资源占用小，推理时延低等优点，可以应用于网络管理和网络空间安全领域，在AP和网关等设备上都可以实现灵活部署，通过轻量化的模型来实现低功耗和高服务质量。CN115834495ACN115834495A权利要求书1/2页1.一种用于加密流量的识别方法,其特征在于，包括：步骤1、对已标记应用类别的加密流记录提取多个特征，并将该多个特征融合为灰度图；将该灰度图输入具有多层神经网络的卷积识别模型，得到该灰度图的预测类别，基于该预测类别和该标记应用类别构建损失函数，训练该卷积识别模型，得到加密流量识别模型；步骤2、将待识别加密流记录的多个特征融合为灰度图后输入至该加密流量识别模型，得到待识别加密流记录的识别结果。2.根据权利要求1所述的加密流量识别方法，其特征在于，该步骤1包括：分别提取该原始流记录中多个数据包长度和多个TCP窗口的大小，得到数据包长度序列和TCP窗口序列；根据该原始流记录中数据包长度的幂律分布和TCP窗口的幂律分布和预设覆盖率，得到典型长度值和典型TCP窗口值；根据该典型长度值将该数据包长度序列处理为长度值转移概率矩阵，并根据该典型TCP窗口值将该TCP窗口序列处理为TCP窗口值转移概率矩阵；融合该长度值转移概率矩阵和该TCP窗口值转移概率矩阵，得到该灰度图。3.根据权利要求1所述的加密流量识别方法，其特征在于，该卷积识别模型为多组基于channel‑wise的动态推理模型。4.根据权利要求1所述的加密流量识别方法，其特征在于，该步骤2包括：通过实时监测得到该待识别加密流，将监测得到的该待识别加密流中n个数据包输入该加密流量识别模型，得到输出向量，得到该识别结果，通过比较该输出向量和预设分类阈值，动态调整n的数值，在下一个监测周期根据调整后的n值，将监测得到的该待识别加密流中n个数据包输入该加密流量识别模型。5.一种用于加密流量的识别系统,其特征在于，包括：训练模块，用于对已标记应用类别的加密流记录提取多个特征，并将该多个特征融合为灰度图；将该灰度图输入具有多层神经网络的卷积识别模型，得到该灰度图的预测类别，基于该预测类别和该标记应用类别构建损失函数，训练该卷积识别模型，得到加密流量识别模型；识别模块，用于将待识别加密流记录的多个特征融合为灰度图后输入至该加密流量识别模型，得到待识别加密流记录的识别结果。6.根据权利要求5所述的加密流量识别系统，其特征在于，该训练模块用于：分别提取该原始流记录中多个数据包长度和多个TCP窗口的大小，得到数据包长度序列和TCP窗口序列；根据该原始流记录中数据包长度的幂律分布和TCP窗口的幂律分布和预设覆盖率，得到典型长度值和典型TCP窗口值；根据该典型长度值将该数据包长度序列处理为长度值转移概率矩阵，并根据该典型TCP窗口值将该TCP窗口序列处理为TCP窗口值转移概率矩阵；融合该长度值转移概率矩阵和该TCP窗口值转移概率矩阵，得到该灰度图。7.根据权利要求5所述的加密流量识别系统，其特征在于，该卷积识别模型为多组基于channel‑wise的动态推理模型。8.根据权利要求5所述的加密流量识别系统，其特征在于，该识别模块包括：通过实时监测得到该待识别加密流，将监测得到的该待识别加密流中n个数据包输入该加密流量识别模型，得到输出向量，得到该识别结果，通过比较该输出向量和预设分类阈值，动态调整n的数值，在下一个监测周期根据调整后的n值，将监测得到的该待识别加密流中n个数据包输入该加密流量识别模型。2CN115834495A权利要求书2/2页9.一种存储介质，用于存储执行如权利要求1到4所述任意一种加密流量识别方法的程序。