(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109831422A(43)申请公布日2019.05.31(21)申请号201910043507.8(22)申请日2019.01.17(71)申请人中国科学院信息工程研究所地址100093北京市海淀区闵庄路甲89号(72)发明人杨青娅李镇郭莉刘畅管洋洋李真真熊刚(74)专利代理机构北京君尚知识产权代理事务所(普通合伙)11200代理人余长江(51)Int.Cl.H04L29/06(2006.01)H04L12/851(2013.01)权利要求书1页说明书5页附图1页(54)发明名称一种基于端到端序列网络的加密流量分类方法(57)摘要本发明提供了一种基于端到端序列网络的加密流量分类方法，主要思想是从加密流量的序列特性出发，借助循环神经网络可以保留一段时间内信息的特性，以从加密流量序列中深入挖掘有效上下文信息，并且结合有监督的分类和无监督的重构机制，增强产生特征的区分性。本发明还提供了一种计算机装置，该计算机可执行计算机程序，所述计算机程序执行本发明方法所述的各项步骤。本发明还提供一种计算机程序存储装置，该计算机程序执行本发明方法所述的各项步骤。本发明提供的上述方法及装置具有自动学习、一体化学习、关键信息留存及泛化性等优点。CN109831422ACN109831422A权利要求书1/1页1.一种基于端到端序列网络的加密流量分类方法，其步骤包括：1)、采集带标签的加密流量，得到每个加密流的序列信息以及对应的标签数据；2)、将得到的序列信息中的每个元素进行多维嵌入，生成该序列信息的嵌入矩阵；3)、将嵌入矩阵输入通过GRU构建的双向编码结构中，并进行多层堆叠编码；4)、串联多层堆叠编码结果形成该序列信息的编码特征表示向量；5)、将编码特征表示向量输入GRU构建的多层堆叠的双向解码结构中，解码得到解码特征表示向量，分类后与序列信息进行拟合，得到重构损失函数L1；6)、将编码特征表示向量和解码特征表示向量合并作为最终特征向量，分类后与标签数据拟合，得到分类损失函数L2；7)、对L＝L1+L2进行最小化处理，迭代形成稳定L后得到流序列网络分类模型F；8)、提取待分类的加密流量的序列信息，通过上述流序列网络分类模型F进行分类。2.如权利要求1所述的基于端到端序列网络的加密流量分类方法，其特征在于，所述序列信息转换为可计算的数值形式。3.如权利要求1或者2所述的基于端到端序列网络的加密流量分类方法，其特征在于，所述序列信息包括长度序列信息，状态序列信息和时间序列信息的一种或多种。4.如权利要求1所述的基于端到端序列网络的加密流量分类方法，其特征在于，所述拟合方法采用设定Dropout概率以避免过拟合。5.如权利要求4所述的基于端到端序列网络的加密流量分类方法，其特征在于，所述Dropout概率设定为0.3。6.如权利要求1所述的基于端到端序列网络的加密流量分类方法，其特征在于，步骤5)和步骤6)均采用softmax分类器进行分类。7.如权利要求1所述的基于端到端序列网络的加密流量分类方法，其特征在于，采用优化器对L＝L1+L2进行最小化处理。8.如权利要求6所述的基于端到端序列网络的加密流量分类方法，其特征在于，采用Adam优化器对L＝L1+L2进行最小化处理。9.一种计算机装置，所述装置可执行计算机程序，所述计算机程序执行权利要求1中的各项步骤。10.一种计算机程序存储装置，所述计算机程序执行权利要求1中所述的各项步骤。2CN109831422A说明书1/5页一种基于端到端序列网络的加密流量分类方法技术领域：[0001]本发明属于网络安全技术领域，涉及一种网络流量分类方法，尤其涉及一种基于端到端序列网络的加密流量分类方法。背景技术：[0002]网络流量分类一直是网络管理和网络空间安全面临的重要任务。网络管理方面，为保证网络的服务质量和用户的上网体验，大量复杂的流量需要按需分类，进而采用不同的优先级策略进行处理。在网络空间安全方面，入侵检测是保证用户上网安全的关键步骤，在被动流经的网络流量中，恶意网络流量需要从用户合法网络流量中识别并过滤。近几年，为保护用户的通讯隐私，加密技术逐渐用于网络通信中，这使得大量应用采用加密通讯，致使加密流量迅猛增加。面对海量并且不断增长的加密流量，传统的基于规则的方法不能对其有效识别和分类。其主要原因在于，经过加密算法和加密因子的随机化处理后，通讯内容被加密成为随机化的密文，并且根据密码学原理，密文难以在短时间内被破解，因此无法利用基于载荷的方法进行匹配识别。而加密流量在给用户带来安全通讯的同时，也给许多不法分子带来可乘之机，这使得网络监管部门难以有效识别和处理。因此，如何分类加密流量成为研究热点，也引起了学术界和工业界的广泛关注。[00