(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211306174.1 (22)申请日 2022.10.25 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 吉庆兵　罗杰　胡晓艳　倪绿林　 谈程　康璐　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 周浩杰 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种轻量级的加密应用细粒度行为流量早 期识别方法 (57)摘要 本发明公开了一种轻量级的加密应用细粒 度行为流量早期识别方法， 属于网络安全领域， 包括步骤： S1， 对采集的加密应用细粒度行为标 注流量以时间窗口 顺序划分为行为流量 段； S2， 对步骤S1中划分的时间窗口 内的行为流量段提 取时间特征， 并进行特征标准化处理以构建细粒 度行为早期指纹， 然后输入到深度神经网络中进 行训练； 所述深度神经网络包括1D ‑CNN深度神经 网络； S3， 保存训练后的模型并用于识别加密应 用细粒度行为的具体类别。 本发 明能够有效针对 突发的加密应用细粒度行为 流量进行高效识别。 权利要求书3页 说明书7页 附图4页 CN 115378741 A 2022.11.22 CN 115378741 A 1.一种轻量级的加密应用细粒度行为 流量早期识别方法， 其特 征在于， 包括 步骤： S1， 对采集的加密应用细粒度行为标注流 量以时间窗口 顺序划分为行为 流量段； S2， 对步骤S1中划分的时间窗 口 内的行为流量段提取时间特征， 并进行特征标准化 处 理以构建细粒度行为早期指纹， 然后输入到深度神经网络中进行训练； 所述深度神经网络 包括1D‑CNN深度神经网络； S3， 保存训练后的模型并用于识别加密应用细粒度行为的具体 类别。 2.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S1具体包括如下子步骤： S1.1： 从采集节点中收集加密应用细粒度行为 流量， 并进行 标注； S1.2： 获取每个细粒度行为发生时的时间戳作为行为起点， 并获取每个细粒度行为结 束时的时间戳作为行为结束点， 两者差值得到细粒度行为持续时间； S1.3： 为加密应用细粒度行为流量段设置合适的时间窗 口 ， 将步骤S1.1中的完整行为 流量划分为更细粒度的行为 流量段； S1.4： 加密应用的所有行为重复执行S1.1~S1.3操作， 存储时间窗口 划分的加密应用 细粒度行为 流量段作为行为样本 。 3.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S2具体包括如下子步骤： S2.1： 对每个行为流量段通过工具提取多个流量统计特征， 从中选择多个时间相 关特 征； S2.2： 构建细粒度行为早期指纹并进行特征标准化处理操作， 将数值为Inf和Nan的特 征值置为0； S2.3： 将步骤S1得到的早期的加密应用行为流量段， 经过步骤S2.1 ‑步骤S2.2的时间特 征提取和特 征选择后， 将构建的细粒度行为 早期指纹输入到深度神经网络中进行训练。 4.根据权利要求1所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S3具体包括如下子步骤： S3.1： 在深度神经网络的最后一层使用 激活函数输出每种加密应用细粒度 行为流量的识别类别概 率 ； 其中 激活函数的表达式为： 其中 表示加密应用细粒度行为样本 的预测概 率； S3.2： 将预测概率值最大的类别作为最终识别的加密应用细粒度行为， 识别过程表示 为： 权　利　要　求　书 1/3 页 2 CN 115378741 A 2其中 表示为样本 预测为加密应用细粒度行为类别 的概率， 表示第 个加 密应用细粒度行为， 表示加密应用细粒度行为类别总数， 用于计算预测概率最 大值对应的加密应用行为类别下 标。 5.根据权利要求2所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S1.1具体包括如下子步骤： S1.1.1： 对加密应用细粒度行为流量采集， 在UI组件触发时开始使用现有工具采集通 信产生的加密流 量； S1.1.2： 网络流趋 近稳定时结束采集， 标注该UI组件 对应的用户行为。 6.根据权利要求2所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S1.3具体包括如下子步骤： S1.3.1： 计算每 个加密应用细粒度行为的持续时间； S1.3.2： 选取当前加密应用细粒度行为的时间窗 口 ， 该窗口选取应远小于行为总持续 时间。 7.根据权利要求3所述的轻量级的加密应用细粒度行为流量早期识别方法， 其特征在 于， 步骤S2.3中， 早期的加密应用行为 流量段表示 为： 其中 表示加密应用细 粒度行为 执行时的通信数据包， 表示细粒度行为类别； 表 示细粒度行为 执行时的完整通信数据包序列， 表示数据包个数； 将上述 按照时间窗 口 分割后即获得细粒度时间窗口内的数据包序列： 其中 表示经第 个时间窗口 划分得到的数据包序列； 对时间窗 口 内的数据包序列提取流统计特征， 即对加密应用细粒度行为早期样本构建的流特征向 量表示为： 其中 为对第 个时间窗口的细粒度行为数据 包提取的时间相关特征序列， 表示第权　利　要　求　书 2/3 页 3 CN 115378741 A 3