基于特征融合卷積神經(jīng)網(wǎng)絡(luò)的端到端加密流量分類

薛文龍，于 炯，郭志琦，李梓楊

1.新疆大學(xué) 軟件學(xué)院，烏魯木齊830008

2.新疆大學(xué) 軟件工程技術(shù)重點實驗室，烏魯木齊830008

3.新疆大學(xué) 信息科學(xué)與工程學(xué)院，烏魯木齊830046

網(wǎng)絡(luò)流量的準(zhǔn)確分類是網(wǎng)絡(luò)管理和網(wǎng)絡(luò)空間安全中的一項重要任務(wù)，有助于網(wǎng)絡(luò)的智能化運維和管理、網(wǎng)絡(luò)質(zhì)量服務(wù)保障和維護網(wǎng)絡(luò)安全等。近年來，隨著加密技術(shù)在網(wǎng)絡(luò)應(yīng)用中的廣泛應(yīng)用，流量加密已成為當(dāng)今的標(biāo)準(zhǔn)做法。加密流量可以在一定程度上保護私人信息的機密性和完整性，但也給網(wǎng)絡(luò)上的惡意行為提供了庇護。2015年，有21%的網(wǎng)站流量被加密，到了2019年，有超過80%的網(wǎng)站流量被加密，同比增長了90%以上。攻擊者開始將網(wǎng)站的加密傳輸協(xié)議作為隱藏惡意行為的工具。2018年思科公司對超過40萬的惡意軟件進行了分析，發(fā)現(xiàn)其中有超過70%的惡意軟件在通信時使用了加密。根據(jù)ISO/OSI層的不同，流量加密技術(shù)可以分為應(yīng)用層加密，表示層加密和網(wǎng)絡(luò)層加密[1]。應(yīng)用層加密意味著應(yīng)用程序使用自己的加密協(xié)議加密數(shù)據(jù)，在應(yīng)用層中安全的傳輸數(shù)據(jù)，也稱為常規(guī)加密。表示層加密和網(wǎng)絡(luò)層加密意味著應(yīng)用程序在這些層之上加密整個數(shù)據(jù)包，典型的技術(shù)是TLS和IPsec。一些隧道技術(shù)（例如VPN）就是基于這些技術(shù)，也被稱為VPN隧道傳輸加密。特別是許多惡意軟件利用TLS等加密技術(shù)對通信流量進行加密，以逃避防火墻和網(wǎng)絡(luò)入侵檢測系統(tǒng)的檢測，給傳統(tǒng)的流量分類方法帶來了新的挑戰(zhàn)[2]。

流量分類模型已被廣泛應(yīng)用于從大規(guī)模網(wǎng)絡(luò)流量中自動識別異常流量。這些模型可以分為四類：基于端口的分類方法[3]、深度包檢查（DPI）[4]、統(tǒng)計分類方法[5]和行為分類方法[6]。基于端口的方法對于具有特定端口號的應(yīng)用程序（例如，具有端口21的FTP流量）的分類性能很好，但是由于隨機端口和端口偽裝技術(shù)的普遍使用，基于端口的方法對加密流量分類的精確率低，已不再適用于加密流量的分類。DPI分析整個數(shù)據(jù)包數(shù)據(jù)，然后識別其網(wǎng)絡(luò)協(xié)議和應(yīng)用程序。因為流量負(fù)載數(shù)據(jù)通常用協(xié)議加密或封裝，包含較少的恒定特征，使得DPI在加密流量分類任務(wù)中不再可行?；诮y(tǒng)計的方法和基于行為的方法是當(dāng)前加密流量分類任務(wù)中使用的主要方法。這兩種方法都是傳統(tǒng)的機器學(xué)習(xí)方法，其一般工作流程如下：首先手工設(shè)計特征（如流量特征或分組特征），然后從原始流量中提取和選擇合適特征，最后用人工設(shè)計的分類器（如決策樹、樸素貝葉斯和隨機森林等[7-9]）對流量進行分類。然而，這些方法極大地依賴于特征選擇，通常無法找到確切的特征，導(dǎo)致分類效果很大程度上依賴于人工提取特征的準(zhǔn)確性，并且分類準(zhǔn)確率不高，也是目前機器學(xué)習(xí)發(fā)展所遇到的瓶頸之一。

最近，研究人員更加關(guān)注深度學(xué)習(xí)方法。深度學(xué)習(xí)采用訓(xùn)練多個單層非線性網(wǎng)絡(luò)，組合底層特征構(gòu)成數(shù)據(jù)的抽象表示，從而表達數(shù)據(jù)的本質(zhì)特征。為了學(xué)習(xí)空間特征，文獻[10]提出一種基于卷積神經(jīng)網(wǎng)絡(luò)（CNN）的流量分類算法，分別采用公開數(shù)據(jù)集和私有數(shù)據(jù)集進行測試，并與傳統(tǒng)分類方法相比，提高了流量分類的精確率，減少了分類使用的時間，但該方法并未涉及對加密流量的分類識別。此外，研究人員為了使CNN達到更好的效果，對網(wǎng)絡(luò)結(jié)構(gòu)進行了加深和加寬，這種操作帶來的負(fù)面影響就是計算量的增加并且網(wǎng)絡(luò)也易過擬合。文獻[11]提出采用自編碼（SAE）和CNN對加密流量進行識別，但對于數(shù)據(jù)的預(yù)處理和模型參數(shù)的選擇等方面論述得不夠清晰。文獻[12]提出了兩種基于深度學(xué)習(xí)的流量識別模型：卷積自編碼（CAE）和CNN，對6種不同應(yīng)用產(chǎn)生的VPN加密流量進行實時分類識別，但未涉及對非VPN加密流量的分類識別。也有一些研究人員使用長短期記憶網(wǎng)絡(luò)（LSTM）[13]提取流量數(shù)據(jù)包之間的時間序列特征，問題在于一旦LSTM的時間跨度較大，并且網(wǎng)絡(luò)結(jié)構(gòu)較深，就會導(dǎo)致訓(xùn)練時間長，計算量過大。文獻[14]提出了一種使用深度卷積生成對抗網(wǎng)絡(luò)（DCGAN）的半監(jiān)督學(xué)習(xí)方法，利用DCGAN生成器生成的樣本以及未標(biāo)記的樣本，來提高經(jīng)過少量標(biāo)記樣本訓(xùn)練的分類器性能，在使用少量帶標(biāo)記數(shù)據(jù)的情況下得到了較高的分類精度，但該模型的訓(xùn)練耗時遠大于傳統(tǒng)加密流量分類方法。

針對上述存在的問題，本文提出了一種基于特征融合的輕量級網(wǎng)絡(luò)模型Inception-CNN用于端到端加密流量的分類。Inception-CNN是一種具有優(yōu)良局部拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)。利用Inception模塊中1×1卷積層，來限制輸入信道的數(shù)量，以降低計算成本。同時采用不同的卷積尺寸來提供不同的感受野，可以做不同級別上的特征提取，并將其融合在一起，旨在從原始數(shù)據(jù)中提取更為豐富的信息，利用不同尺度的特征彌補現(xiàn)有方法的不足，提高網(wǎng)絡(luò)分類性能。網(wǎng)絡(luò)中池化操作本身有提取特征的作用，因為沒有參數(shù)所以不會產(chǎn)生過擬合。相比于現(xiàn)有的加密流量分類技術(shù)，該方法能夠以較小的代價，實現(xiàn)對加密流量快速高效的分類。

1 方法

1.1 端到端方法

圖1顯示了提出的端到端加密流量分類方法的概述。其中包含數(shù)據(jù)預(yù)處理過程、模型訓(xùn)練過程和測試過程。使用傳統(tǒng)的分而治之的機器學(xué)習(xí)方法時，一個明顯的問題是誤差的累積，前一模塊產(chǎn)生的偏差可能影響后一個模塊。在端到端的處理框架中，所有模塊都被集成到網(wǎng)絡(luò)模型中，僅使用一個模型、一個目標(biāo)函數(shù)，就規(guī)避了多模塊固有的缺陷，并減少了工程的復(fù)雜度。這里直接對流量進行分類，中間的學(xué)習(xí)過程并不需要人為干涉，最終確定輸入與期望輸出之間的非線性關(guān)系，達到端對端學(xué)習(xí)的目的。

圖1 端到端框架結(jié)構(gòu)Fig.1 End-to-end frame structure

1.2 數(shù)據(jù)預(yù)處理

本文所采用的數(shù)據(jù)來源于“ISCX VPN-nonVPN traffic dataset”[15]，已發(fā)布的ISCX數(shù)據(jù)集包括7種常規(guī)加密流量和7種VPN隧道傳輸流量。本文選擇6種常規(guī)加密流量和6種VPN隧道傳輸加密流量作為訓(xùn)練和測試的樣本數(shù)據(jù)，樣本數(shù)據(jù)集均為PCAP文件格式。表1顯示了本文樣本數(shù)據(jù)集的詳細內(nèi)容（序號1~6為常規(guī)加密流量，序號7~12為VPN隧道傳輸加密流量）。

表1 樣本數(shù)據(jù)集描述Table 1 Description of sample data set

文獻[16]證明了會話更適合作為用于加密流量分類的流量表示類型。因為會話包含的雙向流相對于單向流來說，包含更多的交互信息，所以端到端的方法可以從會話中學(xué)習(xí)到比流更多的特征。因此本文將采用會話類型的流量樣本進行實驗。

為了減少原始流量中的噪聲并調(diào)整為適合深度學(xué)習(xí)模型的輸入形式，通過以下步驟對原始流量進行轉(zhuǎn)換：pcap-會話分段，刪除Mac＆IP，統(tǒng)一輸入大小，轉(zhuǎn)換為IDX。

（1）pcap-會話分段：根據(jù)一定的粒度將連續(xù)的原始流量劃分為多個離散的流量單元[17]。

（2）刪除Mac＆IP：Mac地址和IP地址往往不是區(qū)分信息。相反，它們的存在將導(dǎo)致模型擬合。因此，通過丟棄數(shù)據(jù)包中的相關(guān)字符串來達到刪除的目的。

（3）統(tǒng)一輸入大小：使用深度學(xué)習(xí)網(wǎng)絡(luò)訓(xùn)練數(shù)據(jù)需要固定的輸入量，因此將上述步驟中的會話分段統(tǒng)一大小為784 Byte。如果分段大小大于784 Byte，則將其裁剪為784 Byte。如果分段大小小于784 Byte，則在末尾添加0x00以補充到784 Byte。

（4）轉(zhuǎn)換為IDX：IDX格式是機器學(xué)習(xí)領(lǐng)域常見的文件格式。將784 Byte的流量轉(zhuǎn)換為大小為28×28的流量矩陣，然后通過IDX文件打包它們及其標(biāo)簽。

對數(shù)據(jù)預(yù)處理的結(jié)果使用可視化技術(shù)分析，如圖2所示。通過可視化后的圖像，可以明顯看到不同類別的加密流量之間有很大區(qū)分度，因此可以通過特征融合的方法對這些非結(jié)構(gòu)化的抽象數(shù)據(jù)進行探索，利用更豐富的特征對加密流量進行分類。

圖2 12類流量可視化Fig.2 Visualization of 12 types of traffic

1.3 模型結(jié)構(gòu)

本研究提出的基于特征融合卷積神經(jīng)網(wǎng)絡(luò)的端到端加密流量分類方法，保留了傳統(tǒng)卷積神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)。模型的輸入是經(jīng)過處理的會話加密流量分類數(shù)據(jù)，輸出是要估計的對象標(biāo)簽。該模型由傳統(tǒng)CNN的卷積層、平鋪層以及全連接層組成，同時引入了歸一化層[18]與Inception模塊增強網(wǎng)絡(luò)的泛化能力。該模型的詳細結(jié)構(gòu)如圖3所示。首先，模型接收待處理的網(wǎng)絡(luò)流量數(shù)據(jù)，網(wǎng)絡(luò)流量本質(zhì)上是順序數(shù)據(jù)，它是由層次結(jié)構(gòu)組織的一維字節(jié)流。由于模型的輸入信息是一維數(shù)據(jù)，因此在第一層卷積中訓(xùn)練一維卷積核，并有8個大小相同的過濾器，經(jīng)過該層，輸入數(shù)據(jù)將被轉(zhuǎn)換為8個尺寸較小的特征圖。卷積表示如下：

圖3 會話加密流量分類模型結(jié)構(gòu)Fig.3 Session encryption traffic classification model structure

Hj和xi分別是第j個輸出映射和第i個輸入映射。wij代表卷積濾波器權(quán)重，*表示卷積，bj是第j個映射的偏差參數(shù)。函數(shù)f表示激活函數(shù)。對于該卷積層，激活函數(shù)采用Relu來增加神經(jīng)網(wǎng)絡(luò)各層之間的非線性關(guān)系。該激活函數(shù)描述為：

ReLU實現(xiàn)稀疏后的模型能夠更好地挖掘相關(guān)特征，擬合訓(xùn)練數(shù)據(jù)。在激活函數(shù)之前加入了一個批歸一化層，它的目標(biāo)是對特征進行歸一化處理，得到標(biāo)準(zhǔn)差為1的零均值狀態(tài)。這種操作可以盡可能保證Inception模塊的輸入具有相同的分布，并能大大加快訓(xùn)練速度。批歸一化的算法流程如圖4所示。

圖4 批歸一化算法流程Fig.4 Batch normalization algorithm flow

接著是Inception模塊的引入。Inception模塊是一種混合模型，它是對卷積層的修改，在寬度和深度上將卷積操作進行了擴展。Inception模塊的基本結(jié)構(gòu)如圖5所示。

圖5 Inception模塊結(jié)構(gòu)Fig.5 Inception module structure

在傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)中，卷積層是疊加在一起的，多個卷積層組成一個復(fù)雜的非線性模擬器，同一卷積層中所有的卷積核都具有相同的超參數(shù)，也就是說每層能夠提取到特征在維度上是不變的。Inception模塊加入尺寸為1的卷積核，在相同尺寸的感受野中疊加更多的卷積，能提取到更豐富的特征，將不同尺寸的特征融合在一起能夠為最后分類判斷時提供更多依據(jù)。Inception模塊加入了尺寸為1的卷積核，降低了輸入的通道數(shù)，減少了卷積核參數(shù)，同時在并行pooling層后面加入了1×1卷積層，由于其只有一個參數(shù)，相當(dāng)于對feature map做了參數(shù)縮放，降低了輸出的feature map數(shù)量。另外，加入一層尺寸為1的卷積能夠?qū)?shù)據(jù)進行降維，減少了模型參數(shù)，降低了網(wǎng)絡(luò)計算復(fù)雜度。同時可以增加網(wǎng)絡(luò)的深度和非線性，也可以對不同特征進行尺寸的歸一化，用于不同尺度上特征的融合。圖5的Inception模塊中，1×1、3×3、5×5則是Inception模塊在多個尺度上提取特征的表現(xiàn)（本文采取1×1，3×1，5×1的卷積尺度），輸出的多個特征就不再是均勻分布，而是將相關(guān)性強的特征融合在一起（多個密集分布的子特征集）。這樣的特征集因為相關(guān)性較強的特征而聚集在了一起，不相關(guān)的非關(guān)鍵特征被弱化，同樣是輸出多個特征，Inception方法輸出的特征中的“冗余”信息較少。用這樣純凈的特征集層層傳遞最后作為反向計算的輸入，收斂的速度更快，并且Inception對卷積層擴充不僅在寬度上，在深度上也可增加操作單元。

Inception模塊的輸出連接了一個平鋪層，該層沒有可訓(xùn)練的參數(shù)，它將模塊的輸出轉(zhuǎn)換為一維單矢量，并饋入全連接層。全連接層含有比平鋪層更少的神經(jīng)元個數(shù)。模型的最后是輸出層，采用softmax分類器輸出分析結(jié)果。使用softmax函數(shù)可以將輸入向量擬合為[0，1]范圍內(nèi)的實數(shù)，所有實數(shù)的和為1。表示如下：

其中wi與x是列向量，k是觀測樣本的類別數(shù)。

2 實驗

2.1 實驗環(huán)境

本文實驗的主機配置：操作系統(tǒng)為Windows 10專業(yè)版，CPU為Intel core i7 4790/3.6 GHz/4cores，16 GB內(nèi)存，深度學(xué)習(xí)平臺為keras[19]，深度學(xué)習(xí)后端為Tensor-Flow cpu 1.14.0，開發(fā)環(huán)境為Python 3.7.0。

訓(xùn)練網(wǎng)絡(luò)時，使用分類交叉熵?fù)p失誤差來使訓(xùn)練過程更快收斂：

其中，n是樣本的標(biāo)簽索引，Xi和Yi是分別是測量值和預(yù)測值，樣本的測量標(biāo)簽由獨熱編碼向量給出。

使用Adam優(yōu)化器進行參數(shù)學(xué)習(xí)，它能基于訓(xùn)練數(shù)據(jù)迭代地更新神經(jīng)網(wǎng)絡(luò)權(quán)重，適合于求解帶有大規(guī)模數(shù)據(jù)或參數(shù)的問題。Adam參數(shù)的默認(rèn)值來自于參考文獻[20]。模型學(xué)習(xí)率為0.001(lr=0.001)，一階矩估計的指數(shù)衰減率為0.9(beta_1=0.9)，二階矩估計的指數(shù)衰減率為0.999(beta_2=0.999)，epsilon為1E-08。

由于神經(jīng)網(wǎng)絡(luò)經(jīng)常會被過度訓(xùn)練，驗證成為了開發(fā)分類模型的關(guān)鍵步驟。本文采用十折交叉驗證的方法，對該模型的可行性和有效性進行了評價，避免了單一測試集的隨機性與偶然性。具體來說，將數(shù)據(jù)集劃分為10份，輪流將其中1份作為測試數(shù)據(jù)，其余9份作為訓(xùn)練數(shù)據(jù)進行試驗，并將10次結(jié)果的平均值作為對算法性能的估計。

2.2 評估指標(biāo)

隨著網(wǎng)絡(luò)流量種類的飛速增加，分類效果的評估也不再是單一的準(zhǔn)確度，評估指標(biāo)也越來越多，從各個角度分析流量分類系統(tǒng)的效果。在本文中，使用準(zhǔn)確率（Accuracy）、精確率（Precision）、召回率（Recall）和F1-Score來評估提出的方法，從而反映出該方法識別加密流量的性能。作為一個多分類問題，首先可以使用準(zhǔn)確率用于評估該方法的整體效果，該指標(biāo)就是分類正確樣本數(shù)量除以總的樣本數(shù)，表征預(yù)測類別與實際類別的差別比率，目的是從全局層面對模型效果進行評價。精確率和召回率用于評估該方法在每個類別中的識別效率，F(xiàn)1-Score同時考慮精確率和召回率，是精確率和召回率的加權(quán)調(diào)和平均數(shù)，讓兩者同時達到最高，取得平衡，用于綜合反映整體的指標(biāo)[21]。評估指標(biāo)計算公式如下：

真正例（True Positive，TP）是指屬于類別X的流量被正確分類成類別X。假正例（False Positive，F(xiàn)P）是指不屬于類別X的流量被分類成類別X。真反例（True Negative，TN）指不屬于類別X的流量被正確分類成非類別X。假反例（False Negative，F(xiàn)N）指屬于類別X的流量被分類成非類別X。

3 結(jié)果與分析

3.1 特征選擇

為顯示本文所提出的網(wǎng)絡(luò)模型中每一層提取的特征對最終分類結(jié)果的影響，將卷積層與Inception層和全連接層提取的特征用于實驗，并計算其分類性能。實驗結(jié)果如圖6所示，橫軸代表網(wǎng)絡(luò)層名稱，縱軸為評價指標(biāo)。從四種評價指標(biāo)的結(jié)果來看，全連接層取得的結(jié)果相較于其他兩層最高，能夠最好地提取數(shù)據(jù)特征。因此，使用全連接層提取的特征送入分類器進行實驗。

圖6 特征選擇對分類結(jié)果的影響Fig.6 Impact of feature selection on classification results

3.2 實驗結(jié)果

為驗證Inception-CNN在加密流量多分類任務(wù)上的性能，采用ISCX VPN-nonVPN數(shù)據(jù)集對本文的方法進行了實驗。每類加密流量識別的精確率、召回率和F1-Score結(jié)果如表2所示。實驗表明，除Voip外，各類的精度、召回率和F1-score均達到92%以上，其中Vpn_P2P的精確率、召回率和F1-score達到了100%。

表2 Inception-CNN對加密流量的分類結(jié)果Table 2 Inception-CNN’s classification results of encrypted traffic

文獻[16]提出了一種基于一維卷積神經(jīng)網(wǎng)絡(luò)（1DCNN）的加密流量分類方法。實驗結(jié)果比二維卷積神經(jīng)網(wǎng)絡(luò)（2D-CNN）和C4.5方法獲得了更好的性能。文獻[13]提出了一種結(jié)合卷積網(wǎng)絡(luò)和遞歸網(wǎng)絡(luò)（CNN+LSTM）的新型神經(jīng)網(wǎng)絡(luò)，以提高分類結(jié)果的準(zhǔn)確性。卷積網(wǎng)絡(luò)用于提取單個包的包特征。遞歸網(wǎng)絡(luò)基于流中任意三個連續(xù)包的包特征的輸入來挑選流特征，進行淺層時間序列特征提取。模型與現(xiàn)有的基于CNN的最新模型進行了比較。實驗結(jié)果表明，該模型在效率和有效性上均優(yōu)于原方法。文獻[14]提出了一種使用DCGAN的半監(jiān)督方法對加密流量進行分類，利用DCGAN生成器生成的樣本以及未標(biāo)記的樣本，來提高經(jīng)過少量標(biāo)記樣本訓(xùn)練的分類器性能，緩解了大型數(shù)據(jù)集收集和標(biāo)記相關(guān)的難題。實驗結(jié)果表明，其準(zhǔn)確率超過了完全監(jiān)督學(xué)習(xí)的MLP和CNN模型。

1D-CNN、CNN+LSTM、SEMI-DCGAN和Inception-CNN對ISCX VPN-nonVPN數(shù)據(jù)集分類的準(zhǔn)確率、精確率、召回率和F1-Score比較結(jié)果如表3所示。實驗結(jié)果表明，Inception-CNN對12類加密流量分類的準(zhǔn)確率達到97.3%，比1D-CNN、CNN+LSTM和SEMI-DCGAN的分類準(zhǔn)確率分別高出0.107、0.058、0.095。在精確率、召回率和F1-Score上，Inception-CNN方法同樣具有明顯的提升，相對于1D-CNN、CNN+LSTM，精確率分別提升0.109、0.075、0.054，召回率分別提升0.102、0.079、0.063，F(xiàn)1-Score分別提升0.106、0.078、0.059。

表3 1D-CNN、CNN+LSTM、SEMI-DCGAN和Inception-CNN的比較結(jié)果Table 3 Comparison result of 1D-CNN，CNN+LSTM，SEMI-DCGAN and Inception-CNN

為進一步驗證所提出的方法在加密流量多分類任務(wù)上的性能，使用精確率、召回率和F1-Score對每類流量進行了更為詳細的評估。圖7顯示了以上四種實驗方法對ISCXVPN-nonVPN數(shù)據(jù)集中每類加密流量識別的精確率對比。在12類加密流量中，除對Streaming、Voip和Vpn_Email的識別精確率較低外，Inception-CNN對其他9類加密流量識別的精確率均高于1D-CNN、CNN+LSTM和SEMI-DCGAN。圖8展示了四種實驗方法對12類加密流量識別的召回率對比。在所有加密流量中，Inception-CNN對File的識別召回率低于1D-CNN，但高于CNN+LSTM，對Voip的識別召回率低于SEMIDCGAN，對Vpn_Email的識別召回率也略低于所對比的方法，其余9類的召回率均高于其他三類方法。圖9展示了12類加密流量的F1-score對比。結(jié)果表明除Inception-CNN對Vpn_Email識別的F1-Score低于CNN+LSTM和SEMI-DCGAN，對其他11類加密流量識別的F1-Score全部高于其他三類方法，其中F1-Score最低為92.3%，最高為100%。

圖7 1D-CNN、CNN+LSTM、SEMI-DCGAN和Inception-CNN精確率比較Fig.7 Accuracy comparison of 1D-CNN，CNN+LSTM，SEMI-DCGAN and Inception-CNN

圖8 1D-CNN、CNN+LSTM、SEMI-DCGAN和Inception-CNN召回率比較Fig.8 Comparison of recall rates of 1D-CNN，CNN+LSTM，SEMI-DCGAN and Inception-CNN

圖9 1D-CNN、CNN+LSTM、SEMI-DCGAN和Inception-CNN F1-Score比較Fig.9 F1-Score comparison of 1D-CNN，CNN+LSTM，SEMI-DCGAN and Inception-CNN

在12類加密流量中，Inception-CNN方法對Chat和Email的識別率相對于其他兩種方法提升最為明顯，對Chat識別的精確率、召回率和F1-Score分別為99.0%、99.7%、99.3%，對Email識別的精確率、召回率和F1-Score分別為99.8%，99.2%，99.5%。

從精確率、召回率和F1-Score對比結(jié)果的整體來看，相比于1D-CNN、CNN+LSTM和SEMI-DCGAN，Inception-CNN的分類結(jié)果浮動更小。說明對于不同類型的加密流量，1D-CNN、CNN+LSTM和SEMI-DCGAN不能保證穩(wěn)定的分類效果，而Inception-CNN對不同類型流量均能實現(xiàn)穩(wěn)定分析，具有更強的泛化能力。

如表4所示，基于特征融合的輕量級網(wǎng)絡(luò)模型Inception-CNN在訓(xùn)練上花費的時間最少，證明了提出的模型大大降低了網(wǎng)絡(luò)計算復(fù)雜度。

表4 實驗方法的時間消耗比較結(jié)果Table 4 Time consumption comparison results of experimental methods

綜上所述，通過4種評估指標(biāo)和時間消耗的對比結(jié)果，證明了Inception-CNN在加密流量多分類任務(wù)上顯然能夠以較小的代價實現(xiàn)更杰出的性能。

4 結(jié)語

本文在對當(dāng)前加密流量分類研究的基礎(chǔ)上，提出了一種基于特征融合卷積神經(jīng)網(wǎng)絡(luò)的端到端加密流量分類方法。端到端的分類方法可以省去傳統(tǒng)機器學(xué)習(xí)方法中常用的特征設(shè)計、特征提取和特征選擇等步驟。在傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)中加入Inception模塊，通過增加網(wǎng)絡(luò)的深度與寬度，來增強模型的非線性表示，同時還減少了參數(shù)和計算量，更高效地利用了計算資源，在相同的計算量下能提取到更多的特征，在保證分類性能良好的同時，進一步避免了參數(shù)過多和易過擬合的問題。實驗結(jié)果表明，與1D-CNN、CNN+LSTM和SEMI-DCGAN相比，該方法具有更優(yōu)秀的分類效果，進一步證明了深度學(xué)習(xí)技術(shù)在流量分類領(lǐng)域有很大的應(yīng)用潛力。在未來的工作中有三個問題需要進一步研究：（1）在12類加密流量中，對某些類別的識別率較低，如何提高這些類別的識別率需要進一步研究；（2）目前開源的加密流量數(shù)據(jù)集相對較少，因此需要獲得更多專門用于加密流量分類的數(shù)據(jù)集；（3）深度學(xué)習(xí)模型普遍在處理加密流量時速度較慢，對原始流量數(shù)據(jù)格式的改進也是接下來的工作計劃。