买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉东南大学申请的专利一种基于流量序列行为特征的移动端加密应用分类方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN119210832B 。

龙图腾网通过国家知识产权局官网在2026-03-06发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202411310191.1，技术领域涉及：H04L9/40；该发明授权一种基于流量序列行为特征的移动端加密应用分类方法是由程光;仇星;朱唯周;李胥蝰设计研发完成，并于2024-09-19向国家知识产权局提交的专利申请。

本一种基于流量序列行为特征的移动端加密应用分类方法在说明书摘要公布了：本发明提出了一种基于流量序列行为特征的移动端加密应用分类方法，具体步骤如下：1基于移动端UI控件实现对各种加密协议下加密流量的捕获与采集，同时进行组流，构建各协议下的报文长度序列样本；2基于客户端‑服务器的流量传输机制，针对TCP和QUIC协议，构建同向连续MSS长度的报文长度序列特征，表征流量的行为间关联模式，使用MCFormer模型分类两种协议下的不同应用加密流量，从而实现准确的移动端场景加密TCP和QUIC流量应用分类任务；3面向TLS协议的报文拼接特性，提出在报文时间间隔相近的区间内，累加连续的TLS报文长度，构建TLS的报文长度序列特征；使用MCFormer模型分类TLS协议下的不同应用加密流量，从而实现准确的移动端场景加密TLS流量应用分类任务。

本发明授权一种基于流量序列行为特征的移动端加密应用分类方法在权利要求书中公布了：1.一种基于流量序列行为特征的移动端加密应用分类方法，其特征在于，包括如下步骤： 1利用移动端的UI控件实现对各种加密协议下加密流量的捕获与采集，同时依据流量的传输层协议进行组流，构建各协议下的报文长度序列样本集； 2对步骤1中捕获的TCP、QUIC协议下移动加密应用流量进行序列特征提取，算法拼接每条流内同方向的连续长度为MSS的报文，组合成表征通信行为内在关联的报文长度序列特征；进而使用MCFormer这一针对加密流量应用分类的Transformer架构的分类器，对于TCP、QUIC协议栈下的13、8种应用的主营服务，输入步骤2特征提取后的报文长度序列以训练模型，用于对移动端的加密应用流量进行分类和识别， 3面向TLS协议的TCP报文拼接特性，借鉴步骤2，提出在报文时间间隔相近的时序区间内，累加连续的TLS报文长度以构建TLS的报文长度序列特征，进而使用MCFormer这一针对加密流量应用分类的Transformer架构的分类器，对于TLS协议栈下的11种应用的主营服务，输入步骤3特征提取后的报文长度序列以训练模型，用于对移动端的加密应用流量进行分类和识别； 其中，所述步骤1具体包括如下子步骤： 1.1利用手机终端上的UI控件监控所运行的应用软件，捕获和采集软件所对应的pcap形式流量， 1.2通过dpkt工具库读取pcap形式的流量，区分流量所对应的传输层协议TCP、TLS和QUIC， 1.2.1使用python语法下的dpkt工具读取流的五元组标识源IP，宿IP，源端口，宿端口，传输层协议，表示为key＝src_ip,dst_ip,src_port,dst_port,prot，以此来对该pcap下对应应用标签的流量进行组流， 1.2.2使用python语法下的dpkt工具读取每个报文packet的负载长度pkt_len，和时间戳timestamp，按照时间戳timestamp的顺序排列流的时序报文长度和时间戳信息的二元组特征报文序列， 1.3针对各协议下的流量样本，对于每条流五元组标签，按照时序排列捕获每个报文的长度pkt_len，得到TCP层上的报文长度的流量时序序列， 1.4针对TLS协议的TCP报文拼接特性，使用上述1.3中TCP传输层报文序列拼接同一个record内的TCP段，生成TLS的报文长度序列， 1.4.1针对TLS协议的TCP报文段拼接特性，首先去除每个TCP报文段的头部header所占5个字节bytes，得到每个TCP报文段Segment负载的长度部分， 1.4.2拼接隶属于同一TLS报文的TCP报文段Segments，使得TCP报文段Segments的长度累加和等于TLS的长度record，从而得到TLS的records报文长度序列； 所述步骤2具体要求为： 2.1基于移动终端所捕获的TCP、QUIC协议下的移动端加密应用流量，基于其协议栈的通信传输模式进行报文序列特征提取， 2.1.1现有的报文序列特征多关注于连续的同方向报文packets，将其拼接为一个消息Message特征称为Burst，用时序的Burst单元组成流量的特征序列， 2.1.2改进步骤2.1.1中Burst单元，依据报文间的消息关联关系划分Burst单元内的行为特征，组合连续同方向的报文构成多个ACM单元的流量序列， 2.2基于TCP传输层中，流量受到网络最大传输单元MSS的限制会发生截断的通信模式，当一次消息Message传输达到MSS长度时，TCP流量会被截断，导致一次消息Message在传输过程中会被截断为多个小于等于MSS的报文序列片段， 2.3针对上述2.2中消息Message被截断的特性，以每条流为单位，重构一个消息Message中所切分出的连续同方向MSS单元，合成一个ACM单元，作为TCP、QUIC协议下的流量序列行为特征单元， 2.4基于上述2.3所合成的TCP、QUIC协议下ACM序列，使用MCFormer这一针对加密流量应用分类的Transformer架构的分类器，输入该序列的训练样本以供处理序列输入的Transformer学习其流量表征，以实现基于TCP、QUIC协议下流量序列行为特征的移动端加密应用分类， 2.5上述2.3和2.4分别从流量序列的行为特征构建和针对流量序列输入的深度学习模型展开，从而实现自动特征提取和端到端的移动端加密应用分类方法，在实验效果上达到更好的性能效果； 所述步骤3具体包括如下步骤： 3.1基于移动终端所捕获的TLS协议下的移动端加密应用流量，基于其协议栈的通信传输模式进行报文序列特征提取； 3.1.1基于TLS协议下每个报文的长度会被随机化特性，在客户端和服务器的通信模式中，拼接单次通信所对应的Message即连续的同方向报文packets为一个消息Message特征， 3.1.2参照2.3中，生成TCP、QUIC协议下ACM流量序列行为特征的方法，依据报文序列的时序特征，分割每个消息Message的Burst特征，得到隐含的报文间行为特征ACM单元流量序列， 3.2基于TLS协议依据TLSrecord对传输层分段TCPsegments的截断方法，设计还原TLSrecord的方法，对齐每个record所写长度和后续多个TCPsegments的长度总和，从而还原出TLS层的报文长度序列，以代替TCP层报文数据，从TLS通信模式角度表征TLS层流量的行为特征， 3.3参照2.3中，生成TCP、QUIC协议下ACM流量序列行为特征的方法，针对每条TLS流，聚合在时间间隔上相近的同方向连续报文长度形成一个TLS的ACM单元，表征TLS层上通信传输的一个消息Message，作为TLS层的ACM流量序列行为特征， 3.4针对3.3中TLS协议下聚合TLS的ACM单元的方式，设计TLS报文之间的时间间隔相似程度，能够被聚合成一个ACM单元的多个TLS报文之间的时间间隔差异不能大于15％，从而保证这些被聚合成ACM单位特征的报文都隶属于同一个TLS消息Message；按照时间顺序排列这些TLS的ACM单元，形成TLS协议下ACM报文长度序列， 3.5基于上述3.3和3.4所合成的TLS协议下ACM报文长度序列，使用MCFormer这一针对加密流量应用分类的Transformer架构的分类器，输入该序列的训练样本以供处理序列输入的Transformer学习其流量表征，以实现基于TLS协议下流量序列行为特征的移动端加密应用分类， 3.6上述3.4和3.5分别从流量序列的行为特征构建和针对流量序列输入的深度学习模型展开，从而实现自动特征提取和端到端的移动端加密应用分类方法，在实验效果上达到更好的性能效果， 3.6.1对于TCP协议下的13个移动端应用的主营服务，基于2.3中的特征构建和2.4中的模型方法，实现基于TCP流量序列行为特征的移动端加密应用分类，生成相应分类结果混淆矩阵， 3.6.2对于QUIC协议下的8个移动端应用的主营服务，基于2.3中的特征构建和2.4中的模型方法，实现基于QUIC流量序列行为特征的移动端加密应用分类，生成相应分类结果混淆矩阵， 3.6.3对于TLS协议下的11个移动端应用的主营服务，基于3.3、3.4中的特征构建和3.5中的模型方法，实现基于TLS流量序列行为特征的移动端加密应用分类，生成相应分类结果混淆矩阵。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人东南大学，其通讯地址为：211102 江苏省南京市江宁区东南大学路2号；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。

以上内容由龙图腾AI智能生成。