(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111603522.7 (22)申请日 2021.12.24 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 李玎　祝跃飞　林伟　费金龙　 芦斌　王珏　陈明豪　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 代理人 高为宝 (51)Int.Cl. G06K 9/62(2022.01) H04L 9/40(2022.01) H04L 47/2441(2022.01)H04L 47/80(2022.01) (54)发明名称 基于零样 本学习的VPN隧道网站指纹分析方 法 (57)摘要 本发明提供一种基于零样本学习的VPN隧道 网站指纹分析方法。 该方法包括： 训练阶段和分 类阶段； 训练阶段包括： 步骤A1： 收集每个监测网 站的流量样本； 步骤A2： 对每个监测网站的流量 样本进行特征提取， 生成该监测网站中各流量样 本的基因指纹； 步骤A3： 从每个监测网站的基因 指纹中选举生成n个样本， 用于训练k ‑NN分类器； 分类阶段包 括： 步骤B1： 在用户和VPN隧道代理之 间的链路上捕获待测试流量样本； 步骤B2： 对所 述待测试流量样本进行数据包解封装、 特征提 取、 时间采样， 生成未知基因指纹； 步骤B3： 使用 训练好的k ‑NN分类器预测得到所述未知基因指 纹的标签 。 权利要求书2页 说明书8页 附图2页 CN 114417978 A 2022.04.29 CN 114417978 A 1.基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 包括： 训练阶段和分类 阶段； 所述训练阶段包括： 步骤A1： 收集每 个监测网站的流 量样本； 步骤A2： 对每个监测网站的流量样本进行特征提取， 生成该监测网站中各流量样本的 基因指纹； 步骤A3： 从每 个监测网站的基因指纹中选举生成n个样本， 用于训练k ‑NN分类器； 所述分类阶段包括： 步骤B1： 在用户和VPN隧道 代理之间的链路上捕获待测试流 量样本； 步骤B2： 对所述待测试流量样本进行数据包解封装、 特征提取、 时间采样， 生成未知基 因指纹； 步骤B3： 使用训练好的k ‑NN分类器预测得到所述未知基因指纹的标签。 2.根据权利要求1所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A2具体包括： 给定流量样本b＝{(ti,di,si)}， 按照公式(1)生成对应的基因指纹G(b)＝{g(ti)}： 其中， i∈[1:n]表示数据包索引， ti是观察到第i个数据包的时间戳， di∈{in,out}用于 指示第i个数据包属于下 行数据包还是上行数据包， si是第i个数据包的字节长度。 3.根据权利要求1所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A3具体包括： 步骤A3.1： 对每个监测网站的所有基因指纹进行时间采样处理， 生成该监测网站的新 的基因指纹； 步骤A3.2： 针对每个监测网站的新的基因指纹， 采用动态时间规整算法测量任意两个 新的基因指纹之间的距离； 步骤A3.3： 基于总距离对所有的新的基因指纹进行排序， 从中选取得到总距离最小的n 个样本， 用于训练k ‑NN分类器。 4.根据权利要求3所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A3.1具体包括： 给定采样时间间隔δ， 按照 公式(2)对给定的基因指纹G(b)＝(g(t1),g(t2),…,g(tn)) 进行时间采样处 理， 得到新的基因指纹 5.根据权利要求3所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A3.2具体包括： 将两个新的基因指纹 和 之间的距离定义为最优规整路径的代价， 表示为公 式(3)：权　利　要　求　书 1/2 页 2 CN 114417978 A 2D(b,b′)＝minp∈PC(p) (3) 其中， c(xk,yk)是对齐 和 的元素对齐成本， P 是基因指纹 和 之间所有规整路径的集 合。 6.根据权利要求4所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A3.3具体包括： 对于网站w， 基于总距离 对流量样本b∈Bw进行排序， 选举 得到n个具有最 小总距离的样本； Bw表示网站w所对应的样本集。 7.根据权利要求1所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 若针对开 放世界场景， 在所述训练阶段中， 所述 步骤A3为： 从每个监测网站的基因指纹中选举生成n个样本， 使用选举出的该n个样本来表征该监 测网站， 并计算得到每 个监测网站的自适应阈值； 对应地， 在所述分类阶段中， 所述 步骤B3为： 计算待测试样本与n个样本之间的距离， 若待测试流量样本到最近样本的距离小于某 个监测网站的自适应阈值， 则所述待测试流 量样本属于该监测网站， 反 之属于非监测网站。 8.根据权利要求7所述的基于零样本学习的VPN隧道网站指纹分析方法， 其特征在于， 步骤A3具体包括： 对于网站w， 对每个流量样本b∈Bw计算类内最小距 离 和类间 最小距离 并取{Din(b)}的ρ 分位数和{Dout(b)}的(1 ‑ρ )分位数 的平均值作为该网站w的自适应阈值； 其中， D(b,b ′)表示两个不同流量样 本b和b′各自所对 应的新的基因指纹 和 之间的距离， Bw表示网站w所对应的样本集， ρ ∈[0,1]是一 个超参数。权　利　要　求　书 2/2 页 3 CN 114417978 A 3