基于數(shù)據(jù)流的加密流量分類(lèi)方法

郭 帥，蘇 旸*

（1.武警工程大學(xué)密碼工程學(xué)院，西安 710086；2.網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室（武警工程大學(xué)），西安 710086）

（*通信作者電子郵箱suyang75@126.com）

0 引言

當(dāng)前加密流量在網(wǎng)絡(luò)中占據(jù)了越來(lái)越重要的地位。根據(jù)Netmarketshare 發(fā)布數(shù)據(jù)顯示，截止到2019 年10 月全球使用HTTPS（Hyper Text Transfer Protocol over Secure sockets layer）加密的萬(wàn)維網(wǎng)（World Wide Web）流量比例已經(jīng)超過(guò)90%；同時(shí)在2019 年12 月，谷歌宣稱(chēng)80%的Android 應(yīng)用程序默認(rèn)使用TLS（Transport Layer Security）加密所有流量，且這一比例還會(huì)隨著時(shí)間的推移而繼續(xù)增大。數(shù)據(jù)流量的加密已成必然的趨勢(shì)，但在加密數(shù)據(jù)防護(hù)隱私的同時(shí)，也使得很多安全服務(wù)難以對(duì)各類(lèi)加密流量進(jìn)行檢測(cè)，如深度包檢測(cè)方法無(wú)法對(duì)加密的數(shù)據(jù)包進(jìn)行辨別，入侵檢測(cè)系統(tǒng)的安全服務(wù)也不再有效，這些情況給網(wǎng)絡(luò)安全管理帶來(lái)了很大的問(wèn)題。為了解決這些問(wèn)題，對(duì)網(wǎng)絡(luò)上的加密流量進(jìn)行分類(lèi)識(shí)別已是首先要解決的問(wèn)題。

在過(guò)去主要使用基于端口和基于簽名的方法對(duì)網(wǎng)絡(luò)中的加密流量進(jìn)行分類(lèi)：基于端口的分類(lèi)是通過(guò)網(wǎng)絡(luò)中數(shù)據(jù)包頭部的端口號(hào)來(lái)確定服務(wù)，這種方式在過(guò)去簡(jiǎn)單、有效，但近年來(lái)隨著臨時(shí)端口和端口偽裝等技術(shù)的出現(xiàn)，該方法已不再有效；基于簽名的方法是把字節(jié)屬性與已知簽名進(jìn)行匹配，這種方式只限于識(shí)別已知應(yīng)用協(xié)議的簽名，對(duì)未知的協(xié)議卻無(wú)法識(shí)別，對(duì)于新出現(xiàn)的協(xié)議其適用性大幅降低。

當(dāng)前主要使用機(jī)器學(xué)習(xí)和深度學(xué)習(xí)進(jìn)行檢測(cè)分類(lèi)。本文也將使用卷積神經(jīng)網(wǎng)絡(luò)（Convolutional Neural Network，CNN）對(duì)數(shù)據(jù)流量進(jìn)行分類(lèi)，并且采用端到端的方式。因?yàn)槎说蕉说木W(wǎng)絡(luò)對(duì)于樣本的擬合性更好，它求取的是從輸入端到輸出端之間樣本的全局最優(yōu)值，而非局部最優(yōu)值，端到端模型構(gòu)建的方法可以根據(jù)輸出的損失值反向傳播自動(dòng)調(diào)整每一層的參數(shù)，直到求得最優(yōu)結(jié)果，非端到端的模型往往因步驟獨(dú)立，反饋只能從本層傳輸?shù)缴弦粚?，難以實(shí)現(xiàn)全局最優(yōu)化。本文所做工作如下：

1）設(shè)計(jì)了一個(gè)端到端的一維卷積神經(jīng)網(wǎng)絡(luò)（One-Dimensional CNN，1D-CNN），該網(wǎng)絡(luò)可以實(shí)現(xiàn)對(duì)VPN（Virtual Private Network）與非VPN（NO-VPN）中共12 類(lèi)網(wǎng)絡(luò)的加密流量進(jìn)行服務(wù)類(lèi)型的分類(lèi)，其中每類(lèi)加密流量中都包含多種應(yīng)用，最多可達(dá)到5種。

2）利用五元組可以標(biāo)記數(shù)據(jù)流和SSL（Secure Sockets Layer）握手時(shí)協(xié)商密鑰、算法的規(guī)律，把原始輸入時(shí)單個(gè)數(shù)據(jù)流使用的784 個(gè)字節(jié)減少到529 個(gè)字節(jié)，和現(xiàn)有的成果相比，其準(zhǔn)確率保持不變，處理速度明顯提高。

3）通過(guò)對(duì)數(shù)據(jù)包中所有協(xié)議層All 和單獨(dú)使用有效載荷L7 進(jìn)行對(duì)比實(shí)驗(yàn)，證明了數(shù)據(jù)包中包頭部分對(duì)分類(lèi)有著很大的提升作用，本文中使用所有協(xié)議層All的分類(lèi)準(zhǔn)確率比只使用有效載荷L7的分類(lèi)準(zhǔn)確率提高了20個(gè)百分點(diǎn)；單向流Flow與雙向流Session 準(zhǔn)確率基本相同；除此之外，還對(duì)本文方法和其他研究方法進(jìn)行對(duì)比。

1 相關(guān)工作

Anderson 等［1］指出了對(duì)于加密流量，機(jī)器學(xué)習(xí)算法要比傳統(tǒng)的模式匹配等方法具有更好的性能，這種性能的優(yōu)越是因?yàn)闄C(jī)器學(xué)習(xí)算法對(duì)不平衡的數(shù)據(jù)和不確定的實(shí)際情況具有更好的適應(yīng)性，這種適應(yīng)性表現(xiàn)在對(duì)結(jié)果的良好分類(lèi)上。文章還使用實(shí)驗(yàn)對(duì)6 種機(jī)器學(xué)習(xí)算法進(jìn)行比較驗(yàn)證，但該文章只限于使用傳統(tǒng)的機(jī)器學(xué)習(xí)算法，未能把深度學(xué)習(xí)也加入到里面進(jìn)行對(duì)比。

陳雪嬌等［2］使用神經(jīng)網(wǎng)絡(luò)模型對(duì)流量進(jìn)行分類(lèi)，把流量樣本預(yù)處理成為分組凈荷字節(jié)矩陣，指出了CNN 模型應(yīng)用到數(shù)據(jù)流量分類(lèi)時(shí)具有較好的表現(xiàn)，但該文章在選擇數(shù)據(jù)集時(shí)只選擇了ISCX 數(shù)據(jù)集中的3 種應(yīng)用，其范圍明顯不足，缺乏足夠的說(shuō)服力。

Wang 等［3］使用端到端方法進(jìn)行實(shí)驗(yàn)，把字節(jié)視為像素，使用處理圖片的方式來(lái)處理網(wǎng)絡(luò)數(shù)據(jù)包，在應(yīng)用類(lèi)型分類(lèi)上取得了較好的效果。文章中重點(diǎn)對(duì)1D-CNN 和二維卷積神經(jīng)網(wǎng)絡(luò)（Two-Dimensional CNN，2D-CNN）的分類(lèi)準(zhǔn)確性進(jìn)行了比較，得出了一維卷積網(wǎng)絡(luò)的分類(lèi)準(zhǔn)確率高于二維卷積神經(jīng)網(wǎng)絡(luò)2.51 個(gè)百分點(diǎn)的結(jié)果。但他們并未講明為什么要使用784 個(gè)字節(jié)，所使用的數(shù)據(jù)集也很不平衡，最大訓(xùn)練樣本有60 000個(gè)，最小只有298個(gè)，不同類(lèi)別之間數(shù)量相差極大。

Wang［4］指出了流量識(shí)別的關(guān)鍵在于尋找到流量數(shù)據(jù)中的關(guān)鍵特征，并結(jié)合神經(jīng)網(wǎng)絡(luò)和深度學(xué)習(xí)提出了一種SAE（Stacked Auto-Encoder）架構(gòu)，該架構(gòu)屬于無(wú)監(jiān)督學(xué)習(xí)，可以自動(dòng)對(duì)數(shù)據(jù)流量進(jìn)行分類(lèi)。在實(shí)驗(yàn)中還分別檢測(cè)了有效載荷中對(duì)分類(lèi)最有用的前25 個(gè)特征、前100 個(gè)特征、最無(wú)用的300 個(gè)特征所處的位置，通過(guò)位置來(lái)看，前200 個(gè)字節(jié)最為重要，后面的關(guān)鍵字節(jié)比較分散，該結(jié)果表明可以減少在識(shí)別分類(lèi)時(shí)對(duì)有效載荷的使用。

Rezaei 等［5-6］使用深度學(xué)習(xí)的方法對(duì)流進(jìn)行分類(lèi)，提出了模糊流的概念，模糊流就是指一些應(yīng)用軟件會(huì)附帶通用的API（Application Programming Interface）模塊，這些API 模塊往往會(huì)發(fā)送一些廣告之類(lèi)的無(wú)關(guān)信息，與正常的網(wǎng)絡(luò)數(shù)據(jù)流量有很大區(qū)別，但又屬于該應(yīng)用軟件。作者使用CNN+LSTM（Long Short-Term Memory）的方式對(duì)流進(jìn)行定位，取得了較好的效果。此外他們還使用遮擋分析對(duì)握手字段進(jìn)行了研究，遮擋分析就是把一部分信息進(jìn)行遮擋或刪除，以測(cè)試該部分對(duì)分類(lèi)準(zhǔn)確率的影響。經(jīng)過(guò)多次分析，發(fā)現(xiàn)SNI（Service Node Interface）是SSL/TLS 中最重要的字段，因?yàn)樗蛻?hù)端想要連接的目標(biāo)主機(jī)名。Ciper info所含有的信息也非常關(guān)鍵，因?yàn)樗四繕?biāo)應(yīng)用程序的各種密碼套件組合。

Anderson等［7］在2016年發(fā)表的另一篇文章中也使用密碼套件等信息來(lái)進(jìn)行分類(lèi)，他們分類(lèi)的目標(biāo)是識(shí)別出惡意加密數(shù)據(jù)，通過(guò)使用上下文中的DNS（Domain Name System）和HTTP（Hyper Text Transfer Protocol）頭部判斷服務(wù)器方所使用的密碼套件信息是否過(guò)期，惡意的服務(wù)方所使用的密碼套件信息與正常的服務(wù)器方所使用的有較大的區(qū)別，通過(guò)該方式可以達(dá)到超過(guò)99%的精度，同時(shí)作者又指出惡意數(shù)據(jù)占正常數(shù)據(jù)的極小一部分，為防止出現(xiàn)差錯(cuò)，又添加了錯(cuò)誤發(fā)現(xiàn)率FDR（False Discover Rate）參數(shù)，使FDR=0%時(shí)其準(zhǔn)確率也超過(guò)了99%。

Lotfollahi 等［8］提出了深度包的方法進(jìn)行加密流量應(yīng)用分類(lèi)，使用統(tǒng)計(jì)方法發(fā)現(xiàn)96%的數(shù)據(jù)包載荷長(zhǎng)度小于1 480 字節(jié)，并因此使用1 500 個(gè)字節(jié)作為CNN 的輸入，對(duì)于不足的字節(jié)默認(rèn)補(bǔ)0，然后使用深度學(xué)習(xí)方法從流量中自動(dòng)提取特征，其應(yīng)用分類(lèi)結(jié)果表明深度包的方法優(yōu)于之前所有在ISCX2016 公共數(shù)據(jù)集上的工作，但是他們選擇在輸入時(shí)把整個(gè)的載荷部分全部作為有效內(nèi)容輸入進(jìn)去，這增加了不必要的開(kāi)銷(xiāo)。

卓勤政［9］使用兩種CNN 模型對(duì)10 類(lèi)流量進(jìn)行識(shí)別，一種是使用定長(zhǎng)的數(shù)據(jù)流前1 024個(gè)字節(jié)，另一種可以自動(dòng)處理可變長(zhǎng)度字節(jié)輸出為定長(zhǎng)字節(jié)，通過(guò)實(shí)驗(yàn)對(duì)比后一種識(shí)別效果要明顯優(yōu)于第一種，可達(dá)到97%左右；馬若龍［10］也使用1 024個(gè)字節(jié)對(duì)加密流量進(jìn)行識(shí)別，對(duì)8種應(yīng)用協(xié)議實(shí)現(xiàn)了95.65%的準(zhǔn)確性。但本文認(rèn)為以上兩種方法仍存在很大的改進(jìn)空間。

Kumano等［11］提出在保證分類(lèi)準(zhǔn)確率的基礎(chǔ)上，可以一定程度減少所需要的數(shù)據(jù)包個(gè)數(shù)，并通過(guò)實(shí)驗(yàn)加以驗(yàn)證，在處理某些特征時(shí)，在保證準(zhǔn)確率的情況下最少使用的數(shù)據(jù)包個(gè)數(shù)為10。

當(dāng)前情況下研究加密流量分類(lèi)的方法大體分傳統(tǒng)機(jī)器學(xué)習(xí)和深度學(xué)習(xí)兩種，但大多集中在深度學(xué)習(xí)上，這是由深度學(xué)習(xí)的特點(diǎn)所決定的，傳統(tǒng)的機(jī)器學(xué)習(xí)處理時(shí)有幾個(gè)問(wèn)題：1）要先從數(shù)據(jù)集中提取特征，然后embedding 操作獲取詞向量，最后使用多種分類(lèi)方式進(jìn)行測(cè)試比較，取得最優(yōu)值，其過(guò)程比較復(fù)雜，也不符合端到端的思想。2）準(zhǔn)確率的提升依賴(lài)于對(duì)特征的精準(zhǔn)提取，但對(duì)于一般人來(lái)說(shuō)，該項(xiàng)要求較高，構(gòu)造特征極為不易。3）處理少量的數(shù)據(jù)時(shí)傳統(tǒng)方式準(zhǔn)確性更好，但面對(duì)當(dāng)今的海量數(shù)據(jù)，其準(zhǔn)確性相比于深度學(xué)習(xí)顯得較低，且隨著數(shù)據(jù)量的增大準(zhǔn)確率差距會(huì)越來(lái)越大。當(dāng)然傳統(tǒng)的機(jī)器學(xué)習(xí)便于理解，在處理小型數(shù)據(jù)集時(shí)有其特定的優(yōu)勢(shì)；深度學(xué)習(xí)在處理數(shù)據(jù)時(shí)可以直接輸入進(jìn)行處理，在簡(jiǎn)化操作上占有很大的優(yōu)勢(shì)。

陳良臣等［12］、潘吳斌等［13］把加密流量分類(lèi)的目標(biāo)分為5種，分別是加密與未加密流量分類(lèi)、加密流量協(xié)議識(shí)別、加密流量服務(wù)分類(lèi)、加密流量應(yīng)用分類(lèi)和異常流量識(shí)別分類(lèi)。加密與未加密流量分類(lèi)是需要從流量中識(shí)別出哪些是未加密的，哪些是加密的，Dorfinger等［14］使用熵估計(jì)的方法識(shí)別加密與未加密流量，準(zhǔn)確率達(dá)94%。加密流量協(xié)議識(shí)別是識(shí)別加密所使用的具體協(xié)議，比如SSL/TLS、IPSec（Internet Protocol Security）、SSH（Secure Shell）等。加密流量服務(wù)分類(lèi)就是識(shí)別加密流量所屬的服務(wù)類(lèi)型，如即時(shí)通信、網(wǎng)頁(yè)瀏覽或流媒體等等。加密流量應(yīng)用分類(lèi)就是識(shí)別流量所屬的應(yīng)用程序，如Skype、BitTorrent和YouTube等。異常流量識(shí)別分類(lèi)就是識(shí)別出加密通道保護(hù)下的木馬回傳、僵尸網(wǎng)絡(luò)控制等惡意流量，這些惡意流量在加密通道下極為隱蔽，但可以通過(guò)異常行為特征進(jìn)行識(shí)別，此外還可以通過(guò)其活動(dòng)規(guī)律進(jìn)行檢測(cè)，當(dāng)前傅建明等［15］指出可以使用GAN（Generative Adversarial Network）進(jìn)行檢測(cè)，也是一個(gè)新的方向。

2 1D-CNN模型

本文使用端到端的1D-CNN 來(lái)對(duì)多個(gè)應(yīng)用類(lèi)型的數(shù)據(jù)流量包進(jìn)行識(shí)別分類(lèi)。1D-CNN是一種前饋神經(jīng)網(wǎng)絡(luò)，在傳統(tǒng)神經(jīng)網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行了改變，它依然是層級(jí)結(jié)構(gòu)，但是其形式和功能發(fā)生了變化，把原本的隱藏層替換為卷積層和池化層。卷積層通過(guò)卷積核處理特征圖，提取了樣本中存在的特征；池化層通過(guò)最大池化（Maxpooling）操作提取最主要的特征。使用1D-CNN在加密數(shù)據(jù)流量上的優(yōu)勢(shì)有：

1）相比于傳統(tǒng)的機(jī)器學(xué)習(xí)方式，深度學(xué)習(xí)在處理大量數(shù)據(jù)上表現(xiàn)更好，無(wú)論是對(duì)不平衡樣本的適應(yīng)還是對(duì)特征的高效處理，又或者是結(jié)果的準(zhǔn)確性，都遠(yuǎn)遠(yuǎn)超過(guò)了傳統(tǒng)的機(jī)器學(xué)習(xí)。

2）相比于密集層（DENSE）組成的網(wǎng)絡(luò)，卷積網(wǎng)絡(luò)更容易利用學(xué)習(xí)到的局部特征進(jìn)行分類(lèi)。DENSE 層從輸入樣本中學(xué)習(xí)到的是全局模式，全局模式就是涉及所有特征的模式，而卷積層學(xué)到的是局部模式，學(xué)習(xí)到某個(gè)局部特征之后就可以在任何地方識(shí)別該特征，這叫作卷積神經(jīng)網(wǎng)絡(luò)的平移不變性，利用該性質(zhì)可以高效地利用數(shù)據(jù)，它只需要很少的訓(xùn)練樣本就可以學(xué)到具有泛化能力的數(shù)據(jù)表示。比如在識(shí)別加密流量時(shí)就可以利用該特性對(duì)數(shù)據(jù)中的TCP（Transmission Control Protocol）字段或者其他關(guān)鍵字段進(jìn)行識(shí)別。

3）卷積網(wǎng)絡(luò)可以學(xué)習(xí)樣本的空間層次結(jié)構(gòu)，即特征與特征之間的結(jié)構(gòu)關(guān)系，如果第一個(gè)卷積層可以學(xué)到較小的局部特征，則下一個(gè)卷積層可以學(xué)到由第一個(gè)卷積層特征組成的更大的特征，在進(jìn)行訓(xùn)練時(shí)，卷積層可以學(xué)習(xí)樣本的結(jié)構(gòu)，比如對(duì)比數(shù)據(jù)包的結(jié)構(gòu)可以區(qū)分TCP 與UDP（User Datagram Protocol）包。

4）加密流量是序列型數(shù)據(jù)，它們本質(zhì)是請(qǐng)求方與回應(yīng)方的一種先后應(yīng)答，這種應(yīng)答方式必須要遵循一定的先后順序，和文本類(lèi)數(shù)據(jù)非常相似，一旦打亂關(guān)系則無(wú)法正確讀取。相比于2D-CNN 在圖像方面有更好的應(yīng)用，1D-CNN 對(duì)于順序數(shù)據(jù)具有更好的效果。

在使用1D-CNN 時(shí)，本文把原始輸入的字節(jié)串聯(lián)成一個(gè)向量輸入到網(wǎng)絡(luò)通道中，網(wǎng)絡(luò)結(jié)構(gòu)具體如圖1所示。

圖1 1D-CNN模型Fig.1 1D-CNN model

3 方法實(shí)現(xiàn)

3.1 數(shù)據(jù)流策略的選擇

為了檢驗(yàn)不同的數(shù)據(jù)流表示方式對(duì)識(shí)別分類(lèi)的影響，本文在構(gòu)建過(guò)程中，設(shè)置了4 種數(shù)據(jù)分析維度，分別是Session+All、Flow+All、Session+L7 和Flow+L7。其中Session 是由五元組標(biāo)記的雙向會(huì)話(huà)流，F(xiàn)low是由五元組標(biāo)記的單向會(huì)話(huà)流，正常情況下一個(gè)Session 是由兩個(gè)Flow 組成，五元組是指源IP（Internet Protocol）地址、目的IP 地址、源端口、目的端口和協(xié)議類(lèi)型。五元組可以較好地對(duì)會(huì)話(huà)流進(jìn)行標(biāo)記，即便是動(dòng)態(tài)端口技術(shù)使端口發(fā)生跳轉(zhuǎn)，它對(duì)于當(dāng)前的流量分類(lèi)也起著重要的作用。All 是指數(shù)據(jù)包中所有協(xié)議層的數(shù)據(jù)，L7 指的是OSI（Open System Interconnection）結(jié)構(gòu)第7層或者TCP/IP 結(jié)構(gòu)第4 層的數(shù)據(jù)，即有效載荷信息。通過(guò)對(duì)比，可以明確地觀察到不同的數(shù)據(jù)流選擇對(duì)分類(lèi)所產(chǎn)生的影響，以便更好地理解它們?cè)诜诸?lèi)過(guò)程中所起的作用。

本文使用ISCX2016數(shù)據(jù)集，在處理數(shù)據(jù)集時(shí)根據(jù)不同的流量表示可劃分成4個(gè)對(duì)比實(shí)驗(yàn)，具體情況如表1所示。

表1 數(shù)據(jù)集預(yù)處理結(jié)果Tab.1 Preprocessing results of dataset

3.2 數(shù)據(jù)包策略的選擇

本文所使用的加密流量是傳輸層的加密，當(dāng)前傳輸層加密協(xié)議主要有SSL、TLS和SSH 三類(lèi)，TLS是在SSL的基礎(chǔ)上發(fā)展起來(lái)的協(xié)議，二者具有相同的加密流程。

楊婧［16］介紹了SSH 的基本原理和流程，通過(guò)對(duì)比可以發(fā)現(xiàn)SSH 與SSL 也并無(wú)本質(zhì)上的區(qū)別，二者都是以TCP 為基礎(chǔ)保障通信的。在通信前都首先要進(jìn)行協(xié)議版本及算法的協(xié)商，然后雙方互相驗(yàn)證，最后使用得到的密鑰進(jìn)行加密通信。區(qū)別在于通信過(guò)程中SSH 先使用非對(duì)稱(chēng)加密再使用對(duì)稱(chēng)加密，而SSL 直接使用對(duì)稱(chēng)加密。本文在識(shí)別加密流量時(shí)著重利用協(xié)商過(guò)程中傳遞的數(shù)據(jù)包，該部分?jǐn)?shù)據(jù)包屬于通信之前傳遞的明文信息，與通信過(guò)程中的加密方法并無(wú)太大關(guān)系，因此二者可以使用相同的方法進(jìn)行識(shí)別。本文以SSL 為代表，對(duì)其加密過(guò)程進(jìn)行分析（如圖2）。

圖2 SSL結(jié)構(gòu)Fig.2 Structure of SSL

SSL 位于傳輸層和應(yīng)用層之間，其結(jié)構(gòu)分為握手協(xié)議、更改密文協(xié)議、警報(bào)協(xié)議和記錄協(xié)議。

SSL 握手協(xié)議是通信雙方互相驗(yàn)證身份的協(xié)議，服務(wù)端和客戶(hù)端在這個(gè)過(guò)程中確認(rèn)對(duì)方身份，并協(xié)商密鑰和算法，在協(xié)商完成后，雙方開(kāi)始使用協(xié)商好的加密協(xié)議和密鑰進(jìn)行通信。其流程如圖3所示。

圖3 SSL握手Fig.3 SSL handshake

在圖3 的握手過(guò)程中，通信雙方協(xié)商了加密傳輸信息時(shí)所使用的各類(lèi)參數(shù)，由于SSL 握手協(xié)議的通信過(guò)程是通過(guò)明文傳輸?shù)模钥梢酝ㄟ^(guò)抓取Pcap 文件獲取數(shù)據(jù)包的頭部信息，再利用五元組的標(biāo)記功能，就可以對(duì)數(shù)據(jù)流進(jìn)行標(biāo)記并分類(lèi)。

本文嘗試在保持準(zhǔn)確率的情況下來(lái)減少數(shù)據(jù)包的個(gè)數(shù)以提高效率，根據(jù)對(duì)SSL 握手包的分析發(fā)現(xiàn)，在Finish 之前客戶(hù)端和服務(wù)器端已經(jīng)完成了協(xié)商，因此為提高處理的效率只使用前6個(gè)數(shù)據(jù)包，這與其他研究相比要少得多。

3.3 特征字節(jié)策略的選擇

為了更準(zhǔn)確地選擇關(guān)鍵特征、去除無(wú)用特征，本文對(duì)特征所在的字節(jié)進(jìn)行選擇。文獻(xiàn)［4］中把數(shù)據(jù)流中每個(gè)TCP 會(huì)話(huà)的有效載荷字節(jié)連接起來(lái)，每個(gè)有效載荷序列的長(zhǎng)度是1 000個(gè)字節(jié)，然后使用SAE 對(duì)特征進(jìn)行提取，并把最重要的25 個(gè)特征、最重要的100個(gè)特征和最不重要的300個(gè)特征所在位置進(jìn)行繪圖。受其啟發(fā)，有必要選取一定的有效載荷字段，不能太短也不能太長(zhǎng)。本文選取了前529 個(gè)字節(jié)，其長(zhǎng)度的選擇來(lái)源于以下判斷：數(shù)據(jù)包加密傳輸時(shí)前6 個(gè)數(shù)據(jù)包中含有更多的信息，且其有效載荷中前200 個(gè)字節(jié)含有的信息更多，更有助于分類(lèi)，于是使用54×6+200=524，54 是指數(shù)據(jù)包頭部的54 個(gè)字節(jié)，6 指前6 個(gè)數(shù)據(jù)包，200 則是指有效載荷長(zhǎng)度，為便于計(jì)算將N設(shè)置為529 個(gè)字節(jié)。同時(shí)為了方便與原有的784個(gè)字節(jié)進(jìn)行直觀對(duì)比，本文將4 組實(shí)驗(yàn)中的新選取特征字節(jié)數(shù)都設(shè)置為529。

為精簡(jiǎn)字節(jié)，本文在實(shí)際處理時(shí)還對(duì)無(wú)用字節(jié)進(jìn)行了舍棄，如Pcap 的Pcap Header 和Packet Header，它們只是對(duì)整個(gè)Pcap信息的一些統(tǒng)計(jì)，并不能在分類(lèi)中起到比較明顯的作用，圖4是它們的具體結(jié)構(gòu)。

圖4 Pcap結(jié)構(gòu)Fig.4 Pcap structure

從圖4 可以看出，Pcap Header 中包含著Pcap 文件的一些簡(jiǎn)單信息，占據(jù)24 B，在整體的Pcap 前有且僅有一個(gè)，其中包含五項(xiàng)信息，它們表示數(shù)據(jù)流從第幾個(gè)字節(jié)開(kāi)始，有多長(zhǎng)字節(jié)，到哪結(jié)束，Packet Header 是單個(gè)數(shù)據(jù)包的信息概要，占據(jù)16 B，在每個(gè)Packet前側(cè)都會(huì)有一個(gè)，如果一個(gè)Pcap文件拆分為兩個(gè)，那么相應(yīng)的Pcap Header 也會(huì)變成兩個(gè)，但Packet Header 個(gè)數(shù)是不會(huì)變的。但無(wú)論是Pacp Header 還是Packet Header它們都是一些統(tǒng)計(jì)信息，并未涉及分類(lèi)的重要內(nèi)容，對(duì)于該部分完全可以忽略，只選取Packet Data部分，不僅可以提高處理效率，也可以容納更多的有效信息。

4 實(shí)驗(yàn)與結(jié)果

本文硬件平臺(tái)采用NVIDIA GPU（GeForce GTX1660 Ti），16 GB 內(nèi)存用于神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和測(cè)試。Tensorflow 采用2.2.0 版本，CUDA 10.2，實(shí)驗(yàn)過(guò)程中，訓(xùn)練集占90%，測(cè)試集占10%，使用交叉熵作為損失函數(shù)，AdamOptimizer進(jìn)行優(yōu)化。

4.1 實(shí)驗(yàn)過(guò)程

在實(shí)驗(yàn)過(guò)程中，對(duì)數(shù)據(jù)集的處理非常重要，不同數(shù)據(jù)集的選擇其結(jié)果是很難進(jìn)行公正的比較，即便是同一個(gè)數(shù)據(jù)集，其處理方式的不同也會(huì)導(dǎo)致一些差距，為了盡可能地處于同一個(gè)水平來(lái)比較不同方法的有效性，本文嘗試保持整體環(huán)境不變單個(gè)變量改變比較最終結(jié)果的方式來(lái)進(jìn)行實(shí)驗(yàn)。其具體處理過(guò)程如下：

第一階段（預(yù)處理階段）使用ISCX2016數(shù)據(jù)集，并根據(jù)所給出的數(shù)據(jù)集文件把數(shù)據(jù)分成12類(lèi)，使用USTC-TK2016工具包切分成數(shù)據(jù)流，根據(jù)協(xié)議層和單雙向會(huì)話(huà)流的不同，生成4個(gè)數(shù)據(jù)集，再提取不同的報(bào)文長(zhǎng)度，生成4 組對(duì)比實(shí)驗(yàn)：第一組實(shí)驗(yàn)是Session+All，第二組實(shí)驗(yàn)是Session+L7，第三組實(shí)驗(yàn)是Flow+All，第四組實(shí)驗(yàn)是Flow+L7。每組中分別包含784 個(gè)字節(jié)和529個(gè)字節(jié)的IDX3文件。

第二階段（訓(xùn)練測(cè)試階段）把第一階段所生成的IDX3 訓(xùn)練標(biāo)簽和訓(xùn)練文件輸入到神經(jīng)網(wǎng)絡(luò)模型中，損失函數(shù)是交叉熵，使用梯度下降法降低交叉熵以擬合樣本模型，然后用測(cè)試數(shù)據(jù)集進(jìn)行驗(yàn)證。

第三階段（實(shí)驗(yàn)對(duì)比階段）使用第二階段方法得到四組實(shí)驗(yàn)的結(jié)果，最終進(jìn)行對(duì)比，注意在更換數(shù)據(jù)集時(shí)需要根據(jù)輸入像素的大小調(diào)整模型中weight和bias的值。

4.2 結(jié)果與分析

為了更好地評(píng)估模型的優(yōu)劣性，本文選取了準(zhǔn)確率（Accuracy）、精確率（Precision）、召回率（Recall）三個(gè)參數(shù)。在訓(xùn)練和測(cè)試樣本中，樣本分為正樣本與負(fù)樣本，正樣本即是目標(biāo)樣本，負(fù)樣本是非目標(biāo)樣本。隨著檢測(cè)目標(biāo)的不同正樣本會(huì)不停地變化，特別是在多分類(lèi)樣本中更為明顯。

Accuracy 指的是預(yù)測(cè)正確的樣本個(gè)數(shù)與樣本總數(shù)的比值；Precision 指的是預(yù)測(cè)正確的所有正樣本個(gè)數(shù)與預(yù)測(cè)的所有正樣本個(gè)數(shù)的比值；Recall 指的是預(yù)測(cè)正確的正樣本個(gè)數(shù)與樣本總數(shù)中所有正樣本個(gè)數(shù)的比值。這3 個(gè)參數(shù)的值越高表明識(shí)別的效果越好。

圖5 是4 組對(duì)比實(shí)驗(yàn)中12 分類(lèi)的Accuracy 結(jié)果，從結(jié)果上看，784 個(gè)字節(jié)與529 個(gè)字節(jié)所得到的準(zhǔn)確率基本相等，中間雖有差距，但其值較小，可視為識(shí)別時(shí)的上下波動(dòng)。此外，Session 和Flow 的準(zhǔn)確率并未拉開(kāi)多少，本文認(rèn)為其中有以下原因：

圖5 Accuracy結(jié)果對(duì)比Fig.5 Comparison of Accuracy results

1）Session 本身與Flow 的識(shí)別效果相差并不是很大，因?yàn)樗鼈兊奈逶M從根本上說(shuō)是可以相等的，只是位置發(fā)生了變化，在使用神經(jīng)網(wǎng)絡(luò)處理Flow 時(shí)，模型只需要多進(jìn)行訓(xùn)練就可以達(dá)到Session 的效果，因此二者的差距并不像想象中那么大。

2）在處理數(shù)據(jù)過(guò)程中，很大一部分Session 也同時(shí)等于Flow，該部分的Session 流由于動(dòng)態(tài)端口技術(shù)的存在所以其數(shù)據(jù)包個(gè)數(shù)較少，有一部分只含有一到兩個(gè)數(shù)據(jù)包，且都是單向流。對(duì)于這一部分在進(jìn)行Session 切分時(shí)，與進(jìn)行Flow 切分時(shí)所得到的結(jié)果是完全一致的，這樣一來(lái)該部分會(huì)降低Session的處理效果，進(jìn)而縮小Session與Flow的差距。

圖6 是第一組實(shí)驗(yàn)中Session+All 的Precision 和Recall 擴(kuò)展實(shí)驗(yàn)結(jié)果，它是12 分類(lèi)。按照先后順序其服務(wù)類(lèi)型依次為Chat、Email、File、P2P、Streaming、VoIP、VPNchat、VPNemail、VPNfile、VPNP2P、VPNstreaming、VPNVoIP。

圖6 Precision和Recall結(jié)果對(duì)比Fig.6 Comparison of Precision and Recall results

從圖6 中對(duì)比來(lái)看，存在單個(gè)類(lèi)別差距較大的情況，如圖中Vpnstreaming 的Precision，其值相差13 個(gè)百分點(diǎn)，這種差距是由選取字節(jié)所造成的，對(duì)于單個(gè)類(lèi)別有較大影響，但這種差距在整體上并未顯現(xiàn)出來(lái)，因?yàn)樵谄溆囝?lèi)別中相應(yīng)地會(huì)加以補(bǔ)償?？傮w上看兩個(gè)取值結(jié)果相似，并無(wú)明顯差距。

4.3 模型評(píng)估

為了更好地評(píng)估模型，本文對(duì)比其他論文中使用的機(jī)器學(xué)習(xí)方法，如表2所示。

表2 實(shí)驗(yàn)方法對(duì)比Tab.2 Comparison of experimental methods

以上是一些加密流量識(shí)別分類(lèi)的相關(guān)研究，其數(shù)據(jù)來(lái)源于各自論文的結(jié)果，且以上文獻(xiàn)原數(shù)據(jù)集都是使用ISCX2016。這些研究采用了相似的處理方法，都是在數(shù)據(jù)包上從前向后截取一定長(zhǎng)度字節(jié)使用深度學(xué)習(xí)方法進(jìn)行分類(lèi)，但是又各有側(cè)重。

文獻(xiàn)［2］證實(shí)了相比于傳統(tǒng)機(jī)器學(xué)習(xí)方法深度學(xué)習(xí)具有更高的準(zhǔn)確率，也更方便處理數(shù)據(jù)。文獻(xiàn)［3］驗(yàn)證了1D-CNN和2D-CNN 的適用范圍，指出在序列型數(shù)據(jù)上1D-CNN 更有優(yōu)勢(shì)。文獻(xiàn)［9］、文獻(xiàn)［10］較相似，二者更側(cè)重于與其他方法的結(jié)合應(yīng)用。上述文章都是直接截取一定字節(jié)，但并未講清楚為何要使用該長(zhǎng)度，也未對(duì)其進(jìn)一步的探討。本文與上述文章相比多了字節(jié)篩選部分，嘗試只保留最關(guān)鍵的特征，使用關(guān)鍵字節(jié)進(jìn)行最大程度分類(lèi)，準(zhǔn)確率與效率并重。

從上述表2可以看到，文獻(xiàn)［2］使用1 500個(gè)字節(jié)進(jìn)行3分類(lèi)準(zhǔn)確率達(dá)98%、文獻(xiàn)［10］使用1 024 個(gè)字節(jié)進(jìn)行8 分類(lèi)準(zhǔn)確率達(dá)95.65%，表現(xiàn)差于文獻(xiàn)［9］使用1 024 字節(jié)進(jìn)行10 分類(lèi)準(zhǔn)確率達(dá)97%，因?yàn)楦鶕?jù)以往經(jīng)驗(yàn)，隨著分類(lèi)的種類(lèi)增加準(zhǔn)確率下降是越來(lái)越快的。文獻(xiàn)［3］使用784 個(gè)字節(jié)進(jìn)行12 分類(lèi)準(zhǔn)確率達(dá)86.6%，與本文進(jìn)行12 分類(lèi)529 字節(jié)準(zhǔn)確率達(dá)95.5%相比仍有一定的差距，雖然文獻(xiàn)［9］使用1 024 個(gè)字節(jié)進(jìn)行10 分類(lèi)準(zhǔn)確率達(dá)97%，但其類(lèi)型屬于應(yīng)用分類(lèi)，比服務(wù)類(lèi)別分類(lèi)難度要低，且在字節(jié)長(zhǎng)度和目的分類(lèi)數(shù)上本文都要優(yōu)于文獻(xiàn)［9］很多，而二者準(zhǔn)確率大致相當(dāng)，故本文相比于上述論文有明顯的優(yōu)勢(shì)。

5 結(jié)語(yǔ)

本文主要研究了不同的加密數(shù)據(jù)流提取方法對(duì)分類(lèi)準(zhǔn)確率的影響，還與已有的工作進(jìn)行對(duì)比，通過(guò)研究發(fā)現(xiàn)可以在保證已有準(zhǔn)確率的同時(shí)更進(jìn)一步減少對(duì)字節(jié)的要求，這種提取方式可以降低資源消耗、提高效率，但還有很多的不足，例如：在數(shù)據(jù)預(yù)處理時(shí)并未把重復(fù)發(fā)送或損壞的數(shù)據(jù)包進(jìn)行嚴(yán)格的清理，在一定程度上降低了分類(lèi)的準(zhǔn)確性；此外訓(xùn)練數(shù)據(jù)也不平衡，個(gè)別應(yīng)用中數(shù)據(jù)過(guò)大或者過(guò)小都不利于準(zhǔn)確分類(lèi)。下一步工作將重點(diǎn)關(guān)注以下方向：一是研究LSTM 相關(guān)領(lǐng)域的最新文獻(xiàn)，并嘗試把時(shí)間因素作為特征加入到模型中去，以便對(duì)數(shù)據(jù)流更好地進(jìn)行標(biāo)記；二是嘗試分析數(shù)據(jù)包頭和有效載荷在分類(lèi)過(guò)程中各字節(jié)所起的作用，以便對(duì)關(guān)鍵特征進(jìn)行針對(duì)性提取，進(jìn)一步提升性能。