(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111210580.3 (22)申请日 2021.10.18 (71)申请人 中铁二院工程 集团有限责任公司 地址 610031 四川省成 都市金牛区通锦路 三号 (72)发明人 余超　雷雳　陈昳　王学林　郭成　 陈恒波　郭牧　虞凯　杨岗　 吴沛东　杨翊　张爽　 (74)专利代理 机构 四川力久律师事务所 512 21 代理人 韩洋 (51)Int.Cl. H04L 43/18(2022.01) G06N 20/00(2019.01) H04L 9/40(2022.01) (54)发明名称 一种基于深度学习的加密协议识别方法及 系统 (57)摘要 本发明公开了一种基于深度学习的加密协 议识别方法及系统， 包括： 获取网络环境中的会 话数据， 将所述会话数据转换为图像数据； 将所 述图像数据输入至预先构建的加密流量协议分 类模型， 利用所述预先构建的加密流量协议分类 模型自动识别当前会话对应的流量协议类别； 其 中， 所述流量协议包括： SKYPE协议、 SFTP协议、 SSH协议、 SSL协议及其他协议。 本发明通过将网 络流量会话转成图片数据再利用预先构建的加 密流量协议 分类模型进行协议识别， 能够保留流 量会话中更完整的信息， 相较于人为选取特征进 行提取， 更能减少信息的丢失。 权利要求书1页 说明书5页 附图2页 CN 113949653 A 2022.01.18 CN 113949653 A 1.一种基于深度学习的加密协议识别方法， 其特 征在于， 包括： 获取网络环境中的会话的数据， 将获取到的会话的数据转换为图像数据； 将所述图像数据输入至预先构建的加密流量协议分类模型， 利用所述预先构建的加密 流量协议分类模型自动识别会话对应的流 量协议。 2.根据权利要求1所述的基于深度学习的加密协议识别方法， 其特征在于， 所述获取网 络环境中的会话的数据， 包括： 捕获网络环境中的pcap流 量包， 并将pcap流 量包按五元组拆成初始会话数据； 读取所述初始会话数据中的N个数据包， 按预设字节对N个数据包进行截取， 得到处理 好的会话数据。 3.根据权利要求2所述的基于深度学习的加密协议识别方法， 其特征在于， 所述按预设 字节对N个数据包进行截取， 包括： 针对每个数据包， 去掉其中物理层和数据链路层的字节数据， 按100字节对剩余字节数 据进行截取， 并利用随机字节代替剩余字节数据中的IP和端口对应的字节， 得到截取后的 数据包， N个所述数据包构成N*10 0的会话数据矩阵。 4.根据权利要求1 ‑3任一所述的基于深度 学习的加密协议识别方法， 其特征在于， 以所 述会话数据中的每个字节的数值为该字节的像素值， 以此将所述会话数据转换为灰度图像 数据。 5.根据权利要求4所述的基于深度 学习的加密协议识别方法， 其特征在于， 基于LSTM长 短期记忆网络预 先训练并构建加密流 量协议分类模型。 6.根据权利要求5所述的基于深度学习的加密协议识别方法， 其特征在于， 所述加密流 量协议分类模型以PReLU为激活函数， 以Softmax作为输出函数， 包括： LSTM层、 Dense层， BatchNormalization层。 7.根据权利要求1所述的基于深度学习的加密协议识别方法， 其特征在于， 其特征在 于， 所述加密流 量协议分类模型的损失函数为均方差损失函数。 8.一种基于深度学习的加密协议识别系统， 其特 征在于， 包括： 数据处理模块， 所述数据处理模块用于获取网络环境中的会话的数据， 将所述会话的 数据转换为图像数据， 并将所述图像数据输出至加密协议识别模块； 加密协议识别模块， 所述加密协议识别模块用于配置预先构建的加密流量协议分类模 型， 以及， 接收所述图像数据， 自动识别会话对应的流 量协议。权　利　要　求　书 1/1 页 2 CN 113949653 A 2一种基于深度学习的加密协议 识别方法及系统 技术领域 [0001]本发明涉及网络协议识别技术领域， 尤其涉及一种基于深度学习的加 密协议识别 方法及系统。 背景技术 [0002]信息爆炸年代， 其传播媒介也必定会随之快速发展， 作为承载信息 的网络便是其 中之一。 由于网络的快速发展， 各种协 议便层出不穷， 尤其是大量私有协议如雨后春笋般涌 现在人们眼前， 因此能够准确识别出各种协议对于网络安全、 网络规划与管理、 网络流量优 化等来说都意 义重大。 [0003]随着互联网用户的网络安全意识不断加强， 网络流量加密技术包括虚拟专用网 络、 安全套接字协 议、 安全外壳协 议被广泛使用， 这使得加密流量成为当今网络数据传输的 主要形式。 加密协议可以保护网络用户数据免遭侵袭， 但同时也给网络攻击和恶意操作带 来了可乘之机， 因此如何对加密流量协议进行有效识别对网络安全维护有着重大 的意义。 其中， 加密流量协议主要包括SKYPE协议、 SFTP协议、 SSH协议、 SSL协议等。 SKYPE是创建 Kazaa的组织在2003年开发的一个基于P2P的VoIP客户端。 它可以几乎无缝的穿越NAT和防 火墙， 并且语音质量比其他的V oIP客户端软件要好很多。 它加密了端到端的通话， 分散式存 储用户信息， 支持即时消息通信和网络语音会议。 SFTP协议能够进行 “远程文件获取， 文件 内容传输， 文件 管理”等操作， 它的控制信号和数据信号的传输通过安全数据通道进 行。 SSH 协议是一种在不安全网络上提供安全远程登录及其它安全网络服务的协 议。 SSL协 议是Web 浏览器与Web服 务器之间安全交换信息的协议， 提供两个 基本的安全服 务： 鉴别与保密。 [0004]传统的网络协议识别方式主要包括： 1、 通过从流量包中提取有效载荷进行匹配； 2、 根据各协议不同的行为特征进行判断。 对于第一种基于数据包的有效负载进 行流量识别 的方法而言， 载荷不加密时， 这个策略很精确， 但是涉及到用户数据的安全和隐私问题， 当 荷载加密时， 将无法进 行协议识别， 并且基于数据包的有效负载进 行流量识别的方法， 必须 要保证捕获的流量会话的顺序性和完整性， 同时当协议版本发生变化时会产生大量漏报和 误报， 这种方法有明显的局限性。 [0005]而第二种基于各协议的行为特征进行加密协议识别， 依赖于对各协议的深度理解 及所选取特征 的有效性和完整性， 与此同时， 所选取 的特征可能会随着协议的升级而需要 不断地调整。 申请号为2018101900049的中国专利公开了一种基于深度循环神经网络的应 用层通信协 议识别的方法， 包括： 选取不同协 议的帧长度作为特征， 利用深度学习模型进 行 应用层协议的特征提取与识别， 其选取协议的帧长度为特征进行应用层协议的识别， 其也 存在所选取的特 征可能会随着协议的升级 而需要不断地调整的问题。 发明内容 [0006]本发明的目的在于克服现有网络协议识别技术存在一定局限性的问题， 提供一种 基于深度学习的加密协议识别方法及系统， 能够保留流量会话中更完整的信息， 相较于人说　明　书 1/5 页 3 CN 113949653 A 3