基于混合卷积神经网络的移动加密流量分类方法及系统

本发明涉及网络空间态势感知的入侵检测，尤其涉及一种基于混合卷积神经网络的移动加密流量分类方法及系统。

背景技术：

1、随着网络技术的快速发展和普及，互联网已成为人们日常生活和工作中不可或缺的一部分。近年来，随着人们对隐私保护的重视和网络攻击的不断增多，互联网中的加密技术被广泛应用。越来越多的网络应用和服务也开始采用加密通信，如https、ssh、vpn等。以https协议为例，netmarketshare的数据显示，早在2019年全球使用https加密的web流量的比例已经超过了九成。然而，网络安全问题也随之而来，加密流量虽然保证了数据的机密性和完整性，但同时也为不法分子提供了隐藏其恶意行为的手段。zscaler公司的threatlabz安全研究团队在2023年12月发布的报告表明，目前85.9％的网络威胁是通过加密通道发起的。这些加密技术的应用使得传统的基于明文内容的流量识别方法失效，给网络安全带来了新的挑战。

2、针对当前网络空间现状，为维护网络空间安全，网络流量分类技术在网络安全事件检测和网络态势感知中的重要性愈发凸显，是检测正常网络行为和防止恶意流量泛滥的重要方法。因此，对加密流量进行有效分类，对于网络安全的研究和实践具有重要意义。

3、近年来，由于图能够直观地展示网络中节点间的错综复杂关系，因此常常被用于对复杂网络类型的数据(如交通运输、社交关系等)进行建模分析。由于网络流量本质上是非欧几里得距离空间的数据，自带拓扑结构，并且具有丰富的时间关系，因此近年研究人员提出了使用基于图的方法对网络流量进行识别。然而目前的研究方法，要么需要手工选择和微调特征，要么精度较低并且省略了同一会话中的交互关系。以准确有效的方式进行加密流量分类仍然是一项具有挑战性的任务。

4、针对以上问题，如何设计一种兼顾提高分类准确率和保留流量拓扑信息的移动加密流量分类方法，是本领域亟待解决的问题。

技术实现思路

1、本发明的目的在于解决现有技术存在的问题，提出一种基于混合卷积神经网络的移动加密流量分类方法及系统，使用两条路线进行移动加密流量的分类，不但考虑了流量的数值特征，还充分考虑了流量的拓扑属性，通过保留同一会话中的时序关联提高分类的准确率。

2、为了实现上述目的，本发明采用以下的技术方案：

3、一种基于混合卷积神经网络的移动加密流量分类方法，包含以下步骤：

4、步骤1、从移动设备捕获pcap格式的流量数据，即数据包序列数据；

5、步骤2、将捕获的流量数据根据其所包含的ip五元组信息，按照会话进行分组排序；

6、步骤3、将分组后的流量数据根据时空关系转化为流量拓扑图；

7、步骤4、使用基于图卷积神经网络的分类模型对流量拓扑图进行分类，得到分类结果1；

8、步骤5、将分组后的流量数据转化为灰度图；

9、步骤6、使用基于卷积神经网络的分类模型对灰度图进行分类，得到分类结果2；

10、步骤7、结合分类结果1和分类结果2，得到最终的分类结果。

11、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤1从移动设备捕获pcap格式的流量数据包含：

12、首先在移动设备安装和配置fiddler，并在移动设备上安装fiddler的根证书，然后配置移动设备使其与电脑连接在同一局域网内，同时修改移动设备的网络代理设置，使移动设备的流量通过fiddler转发；最后在fiddler中打开抓取功能捕获移动设备进行网络活动时的流量数据，选择以pcap格式导出。

13、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤2中ip五元组信息包括源ip地址、源端口、目的ip地址、目的端口和传输层协议。

14、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤3中流量拓扑图使用三元组g＝(v,e,w)表示，其中v为节点的集合，每个节点包含节点所表示数据包的大小和方向；e为边的集合，包含突发内边和突发外边两种类型，其中突发内边连接同一突发内的节点，突发外边连接相邻突发的初始节点和结束节点；w为权重的集合，包含节点权重和边权重。

15、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤3将分组后的流量数据根据时空关系转化为流量拓扑图包含：

16、步骤3.1、初始化流量拓扑图的节点集合v、边集合e和权重集合w；

17、步骤3.2、输入包含数据包大小、发送时间戳间隔、发送方向和标签的数据包列表；

18、步骤3.3、将输入的数据包作为节点添加至节点集合v；

19、步骤3.4、在节点间添加突发内边和突发外边；

20、步骤3.5、分别将节点和边的权重添加至权重集合w；

21、步骤3.6、输出所构建的流量拓扑图。

22、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤4中基于图卷积神经网络的分类模型包含依次链接的3个基于wl算法改进的图卷积层、1个读出层和1个分类层；

23、使用基于图卷积神经网络的分类模型对流量拓扑图进行分类，得到分类结果1，包含：

24、步骤4.1、初始化模型参数；

25、步骤4.2、使用改进的图卷积层，通过聚合周围节点的特征，更新自身节点特征值；

26、步骤4.3、执行前向传播操作，将图中节点和边的特征通过改进的图卷积层进行传递和处理，生成节点嵌入向量；

27、步骤4.4、使用读出层将图中的节点嵌入向量融合成整个图的表示，从而生成一个全局的图表示，即图嵌入向量；

28、步骤4.5、图嵌入向量输入分类层中进行分类，判断流量是否恶意；

29、步骤4.6、使用损失函数计算模型预测结果与真实标签之间的差距，训练该分类模型；

30、步骤4.7、利用训练完的基于图卷积神经网络的分类模型输出最终分类结果1。

31、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤4.2中利用改进的图卷积层得到节点属性矩阵表达式如下：

32、

33、其中，f(v)表示节点属性矩阵，l表示某时刻，v,w表示任意节点，σ表示激活函数，wl表示可学习参数矩阵，n(v)表示v节点的邻域。

34、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，步骤6中基于卷积神经网络的分类模型包含5个卷积层、2个池化层、2个全连接层和1个输出层；

35、使用基于卷积神经网络的分类模型对灰度图进行分类，得到分类结果2，包含：

36、步骤6.1、初始化模型参数；

37、步骤6.2、对灰度图进行数据预处理，调整图像大小；

38、步骤6.3、对于每张流量灰度图进行2次数据增强；

39、步骤6.4、每次训练时，以1张原灰度图和2张增强得到的灰度图作为3个通道的输入，使用构建的基于卷积神经网络的分类模型输出分类结果2。

40、根据本发明基于混合卷积神经网络的移动加密流量分类方法，进一步地，利用基于卷积神经网络的分类模型得到输出特征矩阵表达式如下：

41、

42、其中，为经过归一化后的输出特征矩阵，i和j分别表示特征图的行和列索引，c表示通道索引，n表示特征图的通道数，n表示局部归一化的范围，α,k和β分别表示可调节的超参数。

43、一种基于混合卷积神经网络的移动加密流量分类系统，用于实现如上述的基于混合卷积神经网络的移动加密流量分类方法，该系统包括：

44、数据采集模块，部署于移动设备，用于捕获加密流量数据；

45、数据预处理模块，用于将捕获的流量数据按会话分组、按时空关系转化为流量拓扑图、转化为灰度图；

46、拓扑图处理模块，使用基于图卷积神经网络的分类模型对流量拓扑图进行分类，得到分类结果1；

47、灰度图处理模块，使用基于卷积神经网络的分类模型对灰度图进行分类，得到分类结果2；

48、分类模块，用于结合分类结果1和分类结果2，得到最终的分类结果。

49、与现有技术相比，本发明具有以下优点：

50、本发明对捕获的移动加密流量进行预处理包括按时空关系将网络流量转化为流量拓扑图，使用图形学领域方法进行流量分类，有效保留了移动流量数据的拓扑学和统计学特征。本发明选用两条路线进行流量分类，使得分类准确性和鲁棒性显著提升。总之，本发明系统分类准确率较高、反应速度较快，经微调后可应用于不同领域，泛化能力较强。