【技術實現步驟摘要】
本專利技術屬于數據分析,特別涉及一種基于用戶行為模型的vpn流量識別方法、設備及計算機存儲介質。
技術介紹
1、現有技術中,隨著人們網絡安全、隱私保護意識的不斷提高,目前互聯網流量中加密流量正在呈現爆炸性增長。由于加密技術的發展日漸成熟,并且具有隱匿性強、動態變化、可擴展性好的特點,加密技術已成為網絡攻擊、個人隱私信息泄露和網絡詐騙的主要依賴技術,給網絡監管帶來極大的挑戰。因此,對加密流量進行正確識別和分類對網絡安全管理和安全威脅檢測至關重要。
2、虛擬專用網絡(virtual?private?network,vpn)作為加密流量的主要加密技術之一,被廣泛應用于各大公司或個人的互聯網通信方式,其利用隧道技術可以保證用戶在公網上數據傳輸的私有性與完整性。因此,在vpn隧道下實現加密流量識別對網絡安全監管具有重要的研究意義。
3、現有的vpn加密流量識別技術主要分為以下三種:
4、(1)基于指紋識別
5、wazen?m.shbair等人提出的improving?sni-based?https?securitymonitoring中,提出使用可信的dns服務來驗證sni中服務器名稱和實際訪問目標ip地址的對應關系,以檢測偽造的sni值,并且基于https流量的sni字段構建指紋庫進行匹配,實現加密流量的識別。
6、(2)基于機器學習方法
7、楊超王歲興蘇銳丹等人提出基于分布特征隨機森林的vpn下應用程序流量識別方法,通過構建流量的均勻分布特征向量和對數分布特征向量
8、(3)基于深度學習方法
9、鄭昱黨張軒楊超等人提出基于多視角一維卷積神經網絡的vpn和non-vpn網絡流量分類方法,使用流量數據包頭部信息和數據包載荷信息作為特征進行學習,通過卷積神經網絡對vpn流量進行表示學習與分類。
10、現有技術或者是基于加密流量的明文特征進行指紋匹配,這種方案僅能實現對已提取的規則進行識別匹配,而且容易被人工拼接或者惡意偽造字段信息的流量繞過,導致高誤報率;或者采用機器學習算法對單條流的統計特征進行建模,這類方法的主要缺點是高度依賴人工設計的特征,難以適應多場景和高性能的遷移,泛化能力不足。
11、基于多視角一維卷積神經網絡直接從原始流量數據中學習流量特征,自動提取加密流量復雜的模式表示。但是這種方法依賴大規模的標注流量數據,人工成本極高,模型容易受到不平衡數據的影響,少樣本環境下無法達到預期分類效果。而且傳統的基于深度學習方法信息涵蓋量比較單一,難以適用多場景的任務。
技術實現思路
1、本專利技術的目的在于為了解決現有技術中的問題,提出了一種基于用戶行為模型的vpn流量識別方法,能夠實現對通用vpn加密流量的精準識別,充分利用網絡流量中的用戶行為信息,大大提高了模型的泛化性和魯棒性,可以有效降低模型誤報率。
2、為了實現上述目的,本專利技術采取如下技術方案。
3、所述一種基于用戶行為模型的vpn流量識別方法,包括基于構建的流量特征庫對采集的流量進行解析,獲取用戶行為相關的話單數據;
4、對所述話單數據進行數據清洗和數據預處理,提取用戶行為事件特征向量、用戶行為路徑特征向量和用戶行為留存特征向量;
5、將提取的所述用戶行為事件特征向量、所述用戶行為路徑特征向量和所述用戶行為留存特征向量進行特征融合后構建流量數據集,將所述流量數據集輸入bert預訓練模型中計算用戶行為特征向量的上下文詞嵌入向量,將所述上下文詞嵌入向量輸入bilstm模型中得到兩個方向的lstm特征向量,將所述lstm特征向量作為用戶行為模型的輸入,構建用戶行為模型并保存;
6、采集實時流量數據并解析,獲取用戶行為相關的實時話單數據,提取實時用戶話單數據中的用戶行為事件特征向量、所述用戶行為路徑特征向量和所述用戶行為留存特征向量進行特征融合后輸入所述用戶行為模型,得到識別的流量數據分類結果,根據所述實時話單數據中的用戶數據對所述流量數據分類結果進行置信度分析,將置信度分析結果與所述流量數據分類結果融合得到實時流量數據中的vpn流量。
7、采用上述技術方案的情況下,基于預設的流量特征庫解析網絡流量中的用戶行為,獲取用戶行為監測日志,根據用戶id對用戶行為監測日志進行分組,分析不同用戶特定時間窗口內的行為,提取并計算用戶vpn流量使用行為有關的特征數據,通過計算用戶行為特征向量,使用bert預訓練模型和雙向lstm模型檢測網絡流量中的vpn流量,并結合統計分析模塊對用戶的整體流量進行session分析,有助于提高流量識別的客觀性和準確性。
8、進一步地,所述基于構建的流量特征庫對采集的流量進行解析,獲取用戶行為相關的話單數據包括:
9、搭建訪問特定vpn節點的產生環境,抓取訪問節點后產生的流量數據包構建流量特征庫;所述流量特征庫包括抓取使用特定vpn節點訪問應用內容時產生的流量數據包,作為vpn流量的原始流量數據包;實時網絡抓取應用使用時產生的流量數據包,作為正常流量的原始流量數據包;
10、基于構建的流量特征庫和網絡設備解析vpn流量和正常流量兩個類別的原始流量數據包,將原始流量數據包轉化為用戶話單數據,所述用戶話單數據包含單條流的用戶行為數據id、上下行每秒字節數、流起始時間戳、流結束時間戳、流持續時長和包數特征;
11、解析單個原始流量數據包并與輸出的用戶行為話單數據文件進行對應,將vpn流量標記為1,正常流量標記為0,并分別保存到本地形成分析樣本。
12、進一步地,所述對所述話單數據進行數據清洗和數據預處理包括:
13、根據原始數據流的源ip地址、源端口、目的ip地址、目的端口和傳輸層協議進行五元組聚類,對聚類的數據集合刪除重復信息、過濾流量噪聲、去除不滿足設定條件的數據;
14、對用戶行為數據進行數據匿名化處理,對原始數據流的源ip地址進行脫敏處理,并生成對應的用戶id;
15、根據缺失值對應的特征統計值填充字節,根據數據流的傳輸方向對填充字節設置不同的填充數值,并結合流量的統計信息填充字節;
16、將時間相關特征序列應用于不同類別流量數據時,對數據進行規范化處理,去除數據的單位限制,使不同單位和量級的數據轉為標準化數據;
17、根據用戶id進行分組,并按照時間順序進行排序,生成用戶行為數據集d=[s1,s2,s3,…,sn],其中n為用戶數量,si為第i個用戶的行為序列。
18、進一步地,所述提取用戶行為事件特征向量、用戶行為路徑特征向量和用戶行為留存特征向量包括:
19、提取單個用戶行為序列的事件數據,包括特定網站鏈接訪問、特定境內外應用的使用和特定支付動作三個屬性的行為事件,并按照時間排序,將整個行為事件序列視作一段文本,單個行為事件信息視作一個詞,在行為事件序列的開本文檔來自技高網...
【技術保護點】
1.一種基于用戶行為模型的VPN流量識別方法,其特征在于,包括:
2.根據權利要求1所述的基于用戶行為模型的VPN流量識別方法,其特征在于,所述基于構建的流量特征庫對采集的流量進行解析,獲取用戶行為相關的話單數據包括:
3.根據權利要求1所述的基于用戶行為模型的VPN流量識別方法,其特征在于,所述對所述話單數據進行數據清洗和數據預處理包括:
4.根據權利要求3所述的基于用戶行為模型的VPN流量識別方法,其特征在于,所述提取用戶行為事件特征向量、用戶行為路徑特征向量和用戶行為留存特征向量包括:
5.根據權利要求1所述的基于用戶行為模型的VPN流量識別方法,其特征在于,所述將提取的所述用戶行為事件特征向量、所述用戶行為路徑特征向量和所述用戶行為留存特征向量進行特征融合后構建流量數據集包括:將提取的單個用戶行為事件特征、用戶行為路徑特征和用戶行為留存特征進行特征融合,組合生成相同批次的數據,記為batch_data[batch_size,seq_len],其中batch_size表示每個批次的數目,seq_len表示每個輸入序列的長度。<...
【技術特征摘要】
1.一種基于用戶行為模型的vpn流量識別方法,其特征在于,包括:
2.根據權利要求1所述的基于用戶行為模型的vpn流量識別方法,其特征在于,所述基于構建的流量特征庫對采集的流量進行解析,獲取用戶行為相關的話單數據包括:
3.根據權利要求1所述的基于用戶行為模型的vpn流量識別方法,其特征在于,所述對所述話單數據進行數據清洗和數據預處理包括:
4.根據權利要求3所述的基于用戶行為模型的vpn流量識別方法,其特征在于,所述提取用戶行為事件特征向量、用戶行為路徑特征向量和用戶行為留存特征向量包括:
5.根據權利要求1所述的基于用戶行為模型的vpn流量識別方法,其特征在于,所述將提取的所述用戶行為事件特征向量、所述用戶行為路徑特征向量和所述用戶行為留存特征向量進行特征融合后構建流量數據集包括:將提取的單個用戶行為事件特征、用戶行為路徑特征和用戶行為留存特征進行特征融合,組合生成相同批次的數據,記為batch_data[batch_size,seq_len],其中batch_size表示每個批次的數目,seq_len表示每個輸入序列的長度。
6.根據權利要求5所述的基于用...
【專利技術屬性】
技術研發人員:陳沫,徐聰,崔淵博,周忠義,阿曼太,傅強,王杰,楊滿智,金紅,陳曉光,胡兵,
申請(專利權)人:恒安嘉新北京科技股份公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。