一种VPN网页浏览加密流量所属请求类型的分类系统及方法与流程

一种vpn网页浏览加密流量所属请求类型的分类系统及方法
技术领域
1.本发明涉及vpn加密流量技术领域，特别是一种vpn网页浏览加密流量所属请求类型的分类系统及方法。


背景技术：

2.虚拟专用网(virtual private network，vpn)是一种在公用网络上建立专用信道进行端到端通信的技术。在目前网络环境，特别是企业网络中，vpn向用户提供了便利的远程访问通道。vpn在方便用户进行远程访问的同时，也被一些人视为规避监管的良好通道。由于vpn在通信过程中隐藏实际通信地址的特性，部分图谋不轨的用户试图将其用于逃避网络监管，进而从事一些违法犯罪的行为，为我国的网络安全带来了巨大的挑战，这一现状对vpn网络监管提出了迫切的要求，需要针对vpn特性提出有效的监管方法。
3.依据vpn加密流量识别出用户此刻正在使用vpn访问的具体网站网页是vpn流量监管的重要研究点之一，但这是一个极为复杂的分类任务。如果通过设计算法直接对vpn加密流量网页浏览业务流进行分类，并不能准确识别出其属于何种网页，这是因为这些网页浏览流量中可能同时包含对私有资源(例如网页html)的请求与公共资源(例如公共css文件或是公共js脚本等)的请求，其中私有资源请求是识别对应网页的重要依据，而公有资源可能被不同网页共同访问，如果将这些请求响应流量不加处理的直接进行分类，公共资源请求必然导致最终分类效果较差。目前学术界在非vpn加密流量领域尚且缺乏对网页浏览请求类型的分类，在vpn加密流量领域鲜有相关研究。


技术实现要素：

4.鉴于此，本发明提供一种vpn网页浏览加密流量所属请求类型的分类系统及方法，以解决上述技术问题。
5.本发明公开了一种vpn网页浏览加密流量所属请求类型的分类系统，其包括：
6.图结构转换模块，用于将输入的vpn网页浏览加密流报文序列转换成无向复合流图；
7.预处理模块，用于对图结构转换模块输出的无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；
8.特征提取模块，用于对初步卷积的输出进行特征提取，输出一个定长的全局特征向量；
9.分类模块，用于对特征提取模块输出的全局特征向量进行分类，得到无向复合流图属于各类别的分类概率。
10.进一步地，所述预处理模块包括：
11.嵌入层，用于将所述无向复合流图中每个节点的值，即原始报文长度转换成特征矢量，实现维度拓展；
12.位置信息编码层，用于在嵌入层的输出结果中加入位置信息，将每一个位置拓展
成位置信息向量，并将该位置的特征向量与位置信息向量进行拼接，最终得到编码结果；
13.预卷积层，其由m个残差门限图卷积算子堆叠而成，用于在每一个残差门限图卷积算子处理后均经过一个非线性激活函数relu(*)的处理以获取到非线性特征，以使无向复合流图中的每一个节点融合与之距离不超过m的节点特征，从而增加初始感受野。
14.进一步地，位置信息编码层具体用于：
15.对于给定长度为l的位置序列p＝[1，2，3，...，l]，使用嵌入算子，将每一个位置从数字k拓展成长度为输入特征维度c
in
的位置信息向量最终将该位置的特征向量与位置信息向量拼接后，使用全连接层进行处理以得到编码结果每一次反向传播中，位置编码层都会进行学习从而更新其嵌入算子中的参数；其中，矩阵位置序列中每个位置对应一个向量，为该位置原始特征向量，a为权值矩阵，为偏置项，为嵌入位置信息后该位置的特征向量；为第j个位置信息向量。
[0016]
进一步地，所述嵌入层包括嵌入操作算子和图归一化算子；
[0017]
嵌入操作算子，其包含矩阵e，用于通过原始报文长度l对应的一个下标，查询到对应的特征向量，同时嵌入操作算子具有学习能力，在每次反向传播时，该矩阵e均会得到更新；
[0018]
图归一化算子，用于对嵌入操作算子输出的特征向量进行归一化。
[0019]
进一步地，所述特征提取模块由特征提取层与全局池化层构成；
[0020]
特征提取层，其包括n个特征提取单元，每个特征提取单元用于对输入的无向复合流图进行顺序处理，以得到归一化的输出结果；
[0021]
全局池化层，其包括平均池化算子与最大池化算子两种全局池化算子，用于在对特征提取层的输出使用两种全局池化算子分别进行处理后，将二者的处理结果进行拼接；以实现将每一张形状各异的图数据转换成分类模块可能够处理的定长特征向量，最终该特征向量将代表输入图的全局特征向量，输出至分类模块进行最终的分类。
[0022]
进一步地，每个所述特征提取单元具体用于：
[0023]
首先通过两个残差门限图卷积算子对输入的无向复合流图进行顺序处理，与预处理模块中的预卷积层类似，每一个残差门限图卷积算子处理的结果均需要通过非线性激活函数relu(*)进行处理；然后，图卷积的处理结果将通过top-k池化算子进行降维处理，实现对图规模进行缩小；最后，每个特征提取单元的处理结果需要经过一次graphnorm图归一化算子进行归一化处理。
[0024]
进一步地，所述分类模块包括由多组全连接层堆叠得到的堆叠全连接层以及softmax分类层；
[0025]
在全连接层之间使用非线性激活函数relu(*)；最后一组全连接层输出，即为堆叠全连接层的输出，输出是长度为类别数量c的向量；；
[0026]
softmax分类层，用于将长度为类别数量c的向量转变成集合o＝{o1，o2，...，oc}后，使用softmax(*)函数得到无向复合流图属于目标集合中每一种请求类型类别的概率。
[0027]
本发明还公开了一种vpn网页浏览加密流量所属请求类型的分类方法，其包括：
[0028]
将输入的vpn网页浏览加密流报文序列转换成无向复合流图；
[0029]
对无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；
[0030]
对初步卷积的输出进行特征提取，得到一个定长的全局特征向量；
[0031]
对全局特征向量进行分类，最终得到无向复合流图属于各类别的分类概率。
[0032]
进一步地，所述vpn网页浏览加密流报文序列中的报文与无向复合流图的节点一一对应；vpn网页浏览加密流报文序列中每个报文均包含方向与特征向量两个元素；方向用于指示报文是属于上行报文或下行报文；
[0033]
无向复合流图中每个节点的特征向量为与其对应的报文的特征向量，其值为原始报文长度；任意两个相邻节点之间能够相互传递信息。
[0034]
进一步地，在所述无向复合流图中任意一个报文，若在该任意一个报文之后存在若干个与其方向相同的报文，则从该若干个报文中选择一个与其时序上最接近的报文，在选择出的报文和该任意一个报文之间建立可以双向传递信息的边。
[0035]
由于采用了上述技术方案，本发明具有如下的优点：
[0036]
1.本发明中使用残差门限图卷积算子与top-k池化算子等算子构建了一种图神经网络用于对给定的vpn网页流进行更加精确的分类。由于图神经网络输入数据结构的特性，这种方法可以获得相较于普通神经网络分类方法更高的性能；
[0037]
2.图神经网络的输入为图结构，其并不要求图的节点数或边数恒定。在具体计算过程中，神经网络可以通过层次池化和全局池化动态调整图的大小，此优势也使得其可以更为有效的处理加密流量这种变长且形状不可变的数据中，更适用于本发明中的分类任务。
附图说明
[0038]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0039]
图1为本发明实施例的分类模型架构示意图；
[0040]
图2为本发明实施例的无向复合流图示意图；
[0041]
图3为本发明实施例的预处理模块结构图；
[0042]
图4为本发明实施例的特征提取模块结构图；
[0043]
图5为本发明实施例的分类模块结构图；
[0044]
图6为本发明实施例的一种vpn网页浏览加密流量所属请求类型的分类系统的架构示意图。
具体实施方式
[0045]
结合附图和实施例对本发明作进一步说明，显然，所描述的实施例仅是本发明实施例一部分实施例，而不是全部的实施例。本领域普通技术人员所获得的所有其他实施例，都应当属于本发明实施例保护的范围。
[0046]
参见图6，本发明提供了一种vpn网页浏览加密流量所属请求类型的分类系统的实施例，其包括：
[0047]
图结构转换模块，用于将输入的vpn网页浏览加密流报文序列转换成无向复合流图；
[0048]
预处理模块，用于对图结构转换模块输出的无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；
[0049]
特征提取模块，用于对初步卷积的输出进行特征提取，输出一个定长的全局特征向量；
[0050]
分类模块，用于对特征提取模块输出的全局特征向量进行分类，得到无向复合流图属于各类别的分类概率。
[0051]
本实施例中，预处理模块包括：
[0052]
嵌入层，用于将无向复合流图中每个节点的值，即原始报文长度转换成特征矢量，实现维度拓展；
[0053]
位置信息编码层，用于在嵌入层的输出结果中加入位置信息，将每一个位置拓展成位置信息向量，并将该位置的特征向量与位置信息向量进行拼接，最终得到编码结果；
[0054]
预卷积层，其由m个残差门限图卷积算子堆叠而成，用于在每一个残差门限图卷积算子处理后均经过一个非线性激活函数relu(*)的处理以获取到非线性特征，以使无向复合流图中的每一个节点融合与之距离不超过m的节点特征，从而增加初始感受野。
[0055]
本实施例中，位置信息编码层具体用于：
[0056]
对于给定长度为l的位置序列p＝[1，2，3，...，l]，使用嵌入算子，将每一个位置从数字k拓展成长度为输入特征维度c
in
的位置信息向量最终将该位置的特征向量与位置信息向量拼接后，使用全连接层进行处理以得到编码结果每一次反向传播中，位置编码层都会进行学习从而更新其嵌入算子中的参数；其中，矩阵位置序列中每个位置对应一个向量，为该位置原始特征向量，a为权值矩阵，为偏置项，为嵌入位置信息后该位置的特征向量；为第j个位置信息向量。
[0057]
本实施例中，嵌入层包括嵌入操作算子和图归一化算子；
[0058]
嵌入操作算子，其包含矩阵e，用于通过原始报文长度l对应的一个下标，查询到对应的特征向量，同时嵌入操作算子具有学习能力，在每次反向传播时，该矩阵e均会得到更新；
[0059]
图归一化算子，用于对嵌入操作算子输出的特征向量进行归一化。
[0060]
本实施例中，特征提取模块由特征提取层与全局池化层构成；
[0061]
特征提取层，其包括n个特征提取单元，每个特征提取单元用于对输入的无向复合流图进行顺序处理，以得到归一化的输出结果；
[0062]
全局池化层，其包括平均池化算子与最大池化算子两种全局池化算子，用于在对特征提取层的输出使用两种全局池化算子分别进行处理后，将二者的处理结果进行拼接；
以实现将每一张形状各异的图数据转换成分类模块可能够处理的定长特征向量，最终该特征向量将代表输入图的全局特征向量，输出至分类模块进行最终的分类。
[0063]
本实施例中，每个特征提取单元具体用于：
[0064]
首先通过两个残差门限图卷积算子对输入的无向复合流图进行顺序处理，与预处理模块中的预卷积层类似，每一个残差门限图卷积算子处理的结果均需要通过非线性激活函数relu(*)进行处理；然后，图卷积的处理结果将通过top-k池化算子进行降维处理，实现对图规模进行缩小；最后，每个特征提取单元的处理结果需要经过一次graphnorm图归一化算子进行归一化处理。
[0065]
本实施例中，分类模块包括由多组全连接层堆叠得到的堆叠全连接层以及softmax分类层；
[0066]
在全连接层之间使用非线性激活函数relu(*)；最后一组全连接层输出，即为堆叠全连接层的输出，输出是长度为类别数量c的向量；；
[0067]
softmax分类层，用于将长度为类别数量c的向量转变成集合o＝{o1，o2，...oc}后，使用softmax(*)函数得到无向复合流图属于目标集合中每一种请求类型类别的概率。
[0068]
本发明提供了一种vpn网页浏览加密流量所属请求类型的分类方法的实施例，需要说明的是，本实施例与上述一种vpn网页浏览加密流量所属请求类型的分类系统的实施例的内容可以相互参照。
[0069]
参见图1，本发明设计了分类模型用以对给定的vpn网页浏览加密流量所属网页请求类型进行分类，输入的vpn网页浏览加密流依次经过图结构转换模块、预处理模块、特征提取模块、分类模块，得到其所属请求类型的概率。基于此，本发明提供了一种vpn网页浏览加密流量所属请求类型的分类方法的实施例，其包括以下步骤：
[0070]
(1)图结构转换模块首先将输入的vpn网页浏览加密流报文序列f＝{pkt1，pkt2，...，pktn}转换成图数据；
[0071]
(2)预处理模块负责对输入的图数据进行预处理，使其从单一的长度标量转换成矢量、加入位置信息并进行初步卷积；
[0072]
(3)特征提取模块由特征提取层与全局池化层构成，以预处理层输出的图模型作为输入，对其进行特征提取，并最终输出一个定长的全局特征向量交由分类模块进行最终的分类；
[0073]
(4)分类模块以特征提取模块得到的全局特征向量作为输入，对其进行分类，最终得到给定图属于各类别的分类概率。
[0074]
具体的，所述步骤(1)中图结构转换模块将输入的vpn网页浏览加密流报文序列f＝{pkt1，pkt2，...，pktn}转换成图数据，其中每个数据包pkti均包含方向diri(指示报文是属于上行报文或下行报文，diri∈{up，down})与特征向量两个元素。对于一张图而言，最重要的两个元素为节点和边。在vpn网页浏览加密流量的图结构转化中：每一个报文pkti与节点nodei一一对应，其中为节点值，每个节点的特征向量采用原始报文长度。边在图神经网络的过程中主要是指示特征传递的方向，其中节点u指向节点v的有向边可以指引节点u的特征传递到节点v，而如果连接节点u与节点v的边为无向边，两个节点特征可以沿边传递给对方。
[0075]
参见图2，本发明中使用包含最多信息的无向复合流图进行图数据构造，使其既包含双向流信息，也包含上行、下行两条单向流信息，即对于时序上紧密相连的两个报文pkti与pkt
i+1
，建立一条节点pi指向p
i+1
的边，也建立一条从p
i+1
指向pi的边，使得两个节点的特征可以传递给对方。同时对于第i个数据包节点pkti与其后满足pkti.dir＝oktj.dir且i＜j+1的第一个节点pktj，建立一条pkti指向pktj的边，也建立一条pktj指向pkti的边，使得上、下行单向流的特征也可以双向传播。考虑到图的边通过邻接矩阵进行描述，如果i＝j+1且pi.dir＝pj.dir，此时pi指向pj的边已经包含在图中，无需重复添加。
[0076]
参见图3，具体的，所述步骤(2)中预处理模块依次包括嵌入层、位置信息编码层与预卷积层，负责对输入的图数据进行预处理，使其从单一的长度标量转换成矢量、加入位置信息并进行初步卷积。
[0077]
本发明中模型输入的vpn网页浏览加密流图中每一个节点的值为原始报文长度，需要首先通过嵌入层将此标量转换成特征矢量，实现维度拓展，增加输入的含义。嵌入操作算子存在一个大小为n
×
d的矩阵e，对于输入的每一种特定报文长度数值l对应一个下标，通过该下标可以查询到对应的特征向量同时嵌入操作算子具有学习能力，在每次反向传播时表中，该矩阵均会得到更新。经过嵌入操作算子处理后的结果将通过一个图归一化算子进行归一化。
[0078]
位置信息编码层在嵌入层的输出结果中加入位置信息。由于本发明所使用特征提取算子为卷积算子，虽然是按照边的方向进行特征传递，但其本质只是对相邻节点的信息进行融合，第n次卷积只能融合距离小于等于n节点的特征信息，在层数较低的网络中感受野有限，并不能很好的包含位置信息。而本发明由于面向加密流量分类任务，复杂度较高模型往往会带来过拟合，需要使用位置编码层手动添加位置信息。本发明使用自学习的位置编码方法，无需复杂的算法设定，交由模型进行自动学习。这种方式类似于一个嵌入算子，对于给定长度为l的位置序列p＝[1，2，3，...，l]，使用嵌入算子对其进行处理将每一个位置从数字k拓展成长度为c
in
的位置信息向量最终将该位置的特征向量与位置信息向量在拼接后使用全连接层进行处理后得到编码结果每一次反向传播中，位置编码层都会得到学习从而更新其嵌入算子中的参数，实现学习能力，其中，矩阵位置序列中每个位置对应一个向量，为该位置原始特征向量，a为权值矩阵，为偏置项，为嵌入位置信息后该位置的特征向量。
[0079]
预卷积层是为了提高特征处理模块处理时的初始感受野，由于残差门限图卷积算子每一次处理仅增加1的感受野，即从相邻节点获取特征并融合，如果不进行预卷积，在后续特征提取模块中的第一个卷积层的感受野仅为1。由于相邻的报文经常为一个发送数据传输报文与一个回传确认报文，低感受野的卷积不会对加密流量分类有帮助。因此本发明在此处使用m个残差门限图卷积算子堆叠而成的预卷积层，并且在每一个算子处理后均会经过一个非线性激活函数relu(*)的处理以获取到非线性特征，这样在进入特征提取模块时，图中的每一个节点融合了与之距离不超过m的节点特征，增加了特征提取模块处理时的
初始感受野。
[0080]
参见图4，具体的，所述步骤(3)中特征提取模块由特征提取层与全局池化层构成，以预处理层输出的图模型作为输入，对其进行特征提取，最终输出一个定长的全局特征向量。
[0081]
特征提取层包括n个特征提取单元，每个单元对输入图的处理需要经过如下三个过程：首先通过两个残差门限图卷积算子进行顺序处理，与预处理模块中的预卷积层类似，每一个残差门限图卷积算子处理的结果均需要通过非线性激活函数relu(*)进行处理；然后，图卷积的处理结果将通过top-k池化算子进行降维处理，实现对图规模进行缩小；最后，由于图的规模在top-k池化算子处理后发生了改变，每个特征提取单元的处理结果需要经过一次graphnorm图归一化算子进行归一化处理。
[0082]
最后一个特征提取单元的输出结果，将作为全局池化层的输入。全局池化层包括平均池化算子与最大池化算子两种全局池化算子，在对输入使用两种全局池化算子分别进行处理后，将二者的处理结果进行拼接。该层可将每一张形状各异的图数据转换成分类模块可以处理的定长特征向量，最终该特征向量将代表输入图的全局特征向量，交由请分类模块进行最终的分类操作。
[0083]
参见图5，具体的，所述步骤(4)中分类模块以特征提取模块得到的全局特征向量作为输入，对其进行分类，最终得到给定图属于各类别的分类概率。
[0084]
分类模块包括由三组全连接层堆叠得到的堆叠全连接层，其中在全连接层之间使用非线性激活函数relu(*)处理增加模型对非线性特征的表达能力。最后一组全连接层输出长度为类别数量c的向量后交由softmax分类层进行最终处理，即将其转变成集合o＝{o1，o2，...oc}后使用softmax(*)函数得到输入vpn网页浏览加密流图属于目标集合中每一种请求类型类别的概率，其计算公式如下所示
[0085][0086]
本发明所使用的实验代码部署在物理机上，机器的cpu为amd ryzen 9 5950x(16c32t)，gpu为rtx3090(24gb)，内存为64gb，，使用的操作系统及版本为ubuntu 20.04focal，内核版本为5.4.0-96-generic，cuda版本为cuda11.1。程序代码主要由python和pytorch编写，使用的python版本为python 3.8.5，pytorch版本为1.8.1+cu111。
[0087]
本发明使用的数据均来自于对alexa上top50的网页进行访问产生的网页访问流量，每一条流对应的请求类型由chrome浏览器进行定义，每一种类型的流数量均设置在500条，主要包括8类请求类型，，具体数据集构成如表1所示。
[0088]
表1
[0089][0090]
为了对比本方法在vpn网页请求类型分类这一更加细致业务分类问题的分类性能，本发明从目前已有的基于深度学习的加密流量分类方法中选取了picnet、fs-net与ngramnet三组有代表性且分类性能较好的方案作为对比对象。在对比实验中使用与类别无关的分类准确率(accuracy)用于描述模型的整体分类性能，表示被模型正确分类的样本占比，还使用精确率、召回率、f1-score来描述模型针对每一种类别的分类准确性。除去对分类准确性的指标，实验中还使用处理效率作为模型对输入数据处理速度的评价指标，计算方式为给定模型处理100个输入样本并得出其属于不同类别概率所使用的平均时间，单位为s/10^6个样本。由于实验不能保证在运行时是否存在其他任务负载抢占系统计算资源，但可以确保同一次处理效率对比实验运行在大致相同的环境中，因此，该指标不代表模型的绝对性能，只能反应每组对比实验中每一模型复杂度的相对差异。
[0091]
训练过程中使用5折交叉验证，即将数据集平均分为5份，每一次选取其中一份作为测试集而将其与4份作为训练集，最终的训练结果取5次训练结果的平均值。实验结果对比如表2所示：(m为本发明所提出的模型，d为本发明中所用图数据构造方法)。
[0092]
表2
[0093]
[0094]
[0095][0096]
从上述结果可以看出，本发明提出的基于gnn的分类模型在vpn网页浏览加密流量所属请求类型的分类中的绝大多数分类性指标中均取得了最佳的结果，具有较高的准确性。
[0097]
最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

技术特征：
1.一种vpn网页浏览加密流量所属请求类型的分类系统，其特征在于，包括：图结构转换模块，用于将输入的vpn网页浏览加密流报文序列转换成无向复合流图；预处理模块，用于对图结构转换模块输出的无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；特征提取模块，用于对初步卷积的输出进行特征提取，输出一个定长的全局特征向量；分类模块，用于对特征提取模块输出的全局特征向量进行分类，得到无向复合流图属于各类别的分类概率。2.根据权利要求1所述的系统，其特征在于，所述预处理模块包括：嵌入层，用于将所述无向复合流图中每个节点的值，即原始报文长度转换成特征矢量，实现维度拓展；位置信息编码层，用于在嵌入层的输出结果中加入位置信息，将每一个位置拓展成位置信息向量，并将该位置的特征向量与位置信息向量进行拼接，最终得到编码结果；预卷积层，其由m个残差门限图卷积算子堆叠而成，用于在每一个残差门限图卷积算子处理后均经过一个非线性激活函数relu(*)的处理以获取到非线性特征，以使无向复合流图中的每一个节点融合与之距离不超过m的节点特征，从而增加初始感受野。3.根据权利要求2所述的系统，其特征在于，位置信息编码层具体用于：对于给定长度为l的位置序列p＝[1，2，3，...，l]，使用嵌入算子，将每一个位置从数字k拓展成长度为输入特征维度c
in
的位置信息向量最终将该位置的特征向量与位置信息向量拼接后，使用全连接层进行处理以得到编码结果每一次反向传播中，位置编码层都会进行学习从而更新其嵌入算子中的参数；其中，矩阵位置序列中每个位置对应一个向量，为该位置原始特征向量，a为权值矩阵，为偏置项，为嵌入位置信息后该位置的特征向量；为第j个位置信息向量。4.根据权利要求2所述的系统，其特征在于，所述嵌入层包括嵌入操作算子和图归一化算子；嵌入操作算子，其包含矩阵e，用于通过原始报文长度l对应的一个下标，查询到对应的特征向量，同时嵌入操作算子具有学习能力，在每次反向传播时，该矩阵e均会得到更新；图归一化算子，用于对嵌入操作算子输出的特征向量进行归一化。5.根据权利要求1所述的系统，其特征在于，所述特征提取模块由特征提取层与全局池化层构成；特征提取层，其包括n个特征提取单元，每个特征提取单元用于对输入的无向复合流图进行顺序处理，以得到归一化的输出结果；全局池化层，其包括平均池化算子与最大池化算子两种全局池化算子，用于在对特征提取层的输出使用两种全局池化算子分别进行处理后，将二者的处理结果进行拼接；以实现将每一张形状各异的图数据转换成分类模块可能够处理的定长特征向量，最终该特征向量将代表输入图的全局特征向量，输出至分类模块进行最终的分类。
6.根据权利要求5所述的系统，其特征在于，每个所述特征提取单元具体用于：首先通过两个残差门限图卷积算子对输入的无向复合流图进行顺序处理，与预处理模块中的预卷积层类似，每一个残差门限图卷积算子处理的结果均需要通过非线性激活函数relu(*)进行处理；然后，图卷积的处理结果将通过top-k池化算子进行降维处理，实现对图规模进行缩小；最后，每个特征提取单元的处理结果需要经过一次graphnorm图归一化算子进行归一化处理。7.根据权利要求1所述的系统，其特征在于，所述分类模块包括由多组全连接层堆叠得到的堆叠全连接层以及softmax分类层；在全连接层之间使用非线性激活函数relu(*)；最后一组全连接层输出，即为堆叠全连接层的输出，输出是长度为类别数量c的向量；；softmax分类层，用于将长度为类别数量c的向量转变成集合o＝{o1，o2，...o
c
}后，使用softmax(*)函数得到无向复合流图属于目标集合中每一种请求类型类别的概率。8.一种vpn网页浏览加密流量所属请求类型的分类方法，其特征在于，包括：将输入的vpn网页浏览加密流报文序列转换成无向复合流图；对无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；对初步卷积的输出进行特征提取，得到一个定长的全局特征向量；对全局特征向量进行分类，最终得到无向复合流图属于各类别的分类概率。9.根据权利要求8所述的方法，其特征在于，所述vpn网页浏览加密流报文序列中的报文与无向复合流图的节点一一对应；vpn网页浏览加密流报文序列中每个报文均包含方向与特征向量两个元素；方向用于指示报文是属于上行报文或下行报文；无向复合流图中每个节点的特征向量为与其对应的报文的特征向量，其值为原始报文长度；任意两个相邻节点之间能够相互传递信息。10.根据权利要求9所述的方法，其特征在于，在所述无向复合流图中任意一个报文，若在该任意一个报文之后存在若干个与其方向相同的报文，则从该若干个报文中选择一个与其时序上最接近的报文，在选择出的报文和该任意一个报文之间建立可以双向传递信息的边。

技术总结
本发明公开了一种VPN网页浏览加密流量所属请求类型的分类系统及方法，该系统包括：图结构转换模块，用于将输入的VPN网页浏览加密流报文序列转换成无向复合流图；预处理模块，用于对图结构转换模块输出的无向复合流图进行预处理，依次使其从长度标量转换成矢量、加入位置信息并进行初步卷积；特征提取模块，用于对初步卷积的输出进行特征提取，输出一个定长的全局特征向量；分类模块，用于对特征提取模块输出的全局特征向量进行分类，得到无向复合流图属于各类别的分类概率。本发明可以有效对VPN网页浏览加密流量所属的请求类型进行分类。类。类。


技术研发人员：吉庆兵 罗杰 谈程 康璐 倪绿林 程光 陶琳
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：2023.05.26
技术公布日：2023/10/11