基于深度学习的加密流量分类与入侵检测

摘 要：随着网络技术的飞速发展,各种各样的应用以及网络中的异常流量对网络安全和QoS不断带来巨大的威胁。因此,通过有效的技术手段,管理和控制网络中的各种业务流量,是当前网络运营中面临的主要挑战之一。传统的流量分类以及入侵检测技术依赖于复杂的特征提取甚至用户的隐私信息。由于互联网网络带宽的不断提高以及应用层协议越来越复杂,加密技术的不断发展,以及用户隐私问题越来越受重视等,现有的技术已经很难适应当今网络技术和应用的发展需求。近年来深度学习的广泛应用为流量分类领域提供了新的思路,在此基础上,我们利用卷积神经网络（Convolutional Neural Networks, CNN）、长短时记忆（Long Short Term Memory, LSTM）和堆栈自编码（Stacked Auto Encoder, SAE）三种深度学习算法构建了一个能够对网络特征进行自主选择的流量分类架构,并且无需依赖用户的隐私信息。实验结果表明,该流量分类架构与现有基于传统机器学习的流量分类方法相比,其分类精度和F1_Score分别有13.8％和14.3％的改善,而且对存储资源的需求也大大降低。     

基于深度学习的加密流量分类研究综述

近年来,为保护公众隐私,互联网上的很多流量被加密传输,传统的基于深度包检测、机器学习的方法在面对加密流量时,准确率大幅下降.随着深度学习自动学习特征的应用,基于深度学习算法的加密流量识别和分类技术得到了快速发展,本文对这些研究进行综述.首先,简要介绍基于深度学习的加密流量检测应用场景.然后,从数据集的使用和构建、检测模...     

基于加密流量分类的无线网络应用层安全方法研究

现阶段,计算机网络技术在社会发展的各个领域均有着重要应用,相关技术的研发成果与实际应用均有着良好表现,因此,为保证计算机网络技术在未来阶段的良好发展状态,需要对其使用安全性展开更加深入的研究,以此保证网络环境的整体安全性和使用效率。本文以上述内容为背景,针对加密流量分类的无线网络应用层安全方法进行深度分析,总结相关经验,给出针对性建议,希望可以为同领域工作者提供合理参考作用。     

基于数据流的加密流量分类方法

针对当前网络中加密流量的快速分类和准确识别的问题,提出了一种新的数据流特征提取方法.依据序列型数据特点和SSL握手协议规律,采用了端到端的一维卷积神经网络模型,并利用五元组来标记数据流;通过对数据流表示方式、数据包个数和特征字节长度的选择,更准确地定位了样本分类的关键字段位置,去除了对样本分类影响较小的特征,从而把原始...     

互联网加密流量检测、分类与识别研究综述

互联网流量分析是网络管理与安全的核心途径,传统基于明文的分析方法在加密流量大势所趋的环境下已基本失效.虽有部分针对加密流量的分析方法,但其忽略了不同加密流量分析目标需求内在的逻辑性与层次性,并缺乏对加密流量本质特征的研究,难以系统化地解决加密流量分析的难题.本文首先面向网络管理与安全监管的实际需求,将互联网加密流量分析按照目标需求划分为检测、分类、识别三个阶段,并描述其目标与方法上的差异;接着基于现有研究成果,分别对现有检测、分类、识别方法从多个粒度、角度进行划分,系统性地归纳与比较现有研究的优缺点;最后,本文基于目前研究,结合未来互联网网络环境发展趋势和加密流量概念漂移的实际问题,从加密流量样本数据集完善、复杂新型网络协议下的加密流量分类与识别、基于应用层特征的加密流量分类与识别、多点协同分布式加密流量分类与识别四个方面分析与展望了未来互联网加密流量检测、分类与识别中可能的研究方向.     

基于多层双向SRU与注意力模型的加密流量分类方法

基于传统循环神经网络的加密流量分类方法普遍存在并行性较差、模型运行效率较低等问题。为实现加密流量的快速准确分类,提出一种基于多层双向简单循环单元（SRU）与注意力（MLBSRU-A）模型的加密流量分类方法。将特征学习和分类统一到一个端到端模型中,利用SRU模型高度并行化的序列建模能力来提高整体运行效率。为了提升MLBSRU-A模型的分类精度,堆叠多层双向SRU网络使其自动地从原始流量中提取特征,并引入注意力机制为特征赋予不同的权重,从而提高重要特征之间的区分度。实验结果表明,在公开数据集ISCX VPN-nonVPN上,MLBSRU-A模型具有较高的分类精度和运行效率,与BGRUA模型相比,MLBSRU-A的细粒度分类准确率提高4.34%,训练时间减少55.38%,在USTC-TFC 2016数据集上,MLBSRU-A模型对未知加密恶意流量的检测准确率达到99.50%,细粒度分类准确率为98.84%,其兼具对未知加密恶意流量的高精度检测能力以及对加密恶意流量的细粒度分类能力。     

基于数据链路层特征的无线网络加密流量业务分类研究

无线通信网络已经普及到人们的生活中,并且随着大众的安全意识提高,无线网络中的加密流量所占比重越来越大,网络流量加密化已成为必然趋势,其在给用户和企业带来隐私和安全的同时,也给网络安全监管和网络流量管理带来了挑战;文章研究了有线网络和无线网络的差异性,构建无线网络加密传输环境,采集无线加密网络数据,提取出数据链路层各种业务的特征并进行分类;结果表明,对不同业务的识别率在85％以上.     

可解释的深度TSK模糊系统综述

深度神经网络在多个领域取得了突破性的成功,然而这些深度模型大多高度不透明。而在很多高风险领域,如医疗、金融和交通等,对模型的安全性、无偏性和透明度有着非常高的要求。因此,在实际中如何创建可解释的人工智能（Explainable artificial intelligence, XAI）已经成为了当前的研究热点。作为探索XAI的一个有力途径,模糊人工智能因其语义可解释性受到了越来越多的关注。其中将高可解释的Takagi-Sugeno-Kang（TSK）模糊系统和深度模型相结合,不仅可以避免单个TSK模糊系统遭受规则爆炸的影响,也可以在保持可解释性的前提下取得令人满意的测试泛化性能。本文以基于栈式泛化原理的可解释的深度TSK模糊系统为研究对象,分析其代表模型,总结其实际应用场景,最后剖析其所面临的挑战与机遇。     

基于卷积神经网络的加密流量分类方法

针对传统加密网络流量分类方法准确率较低、泛用性不强、易侵犯隐私等问题,提出了一种基于卷积神经网络的加密流量分类方法,避免依赖原始流量数据,防止过度拟合特定应用程序的字节结构。针对网络流量的数据包大小和到达时间信息,设计了一种将原始流量转换为二维图片的方法,直方图中每个单元格代表到达相应时间间隔的具有相应大小数据包的数量,不依赖数据包有效载荷,避免了侵犯隐私;针对LeNet-5卷积神经网络模型进行了优化以提高分类精度,嵌入Inception模块进行多维特征提取并进行特征融合,使用1*1卷积来控制输出的特征维度;使用平均池化层和卷积层替代全连接层,提高计算速度且避免过拟合;使用对象检测任务中的滑动窗口方法,将每个网络单向流划分为大小相等的块,确保单个会话中训练集中的块和测试集中的块没有重叠,扩充了数据集样本。在ISCX数据集上的分类实验结果显示,针对应用流量分类任务,准确率达到了95%以上。对比实验结果表明,训练集和测试集类型不同时,传统分类方法出现了显著的精度下降乃至失效,而所提方法的准确率依然达到了89.2%,证明了所提方法普适于加密流量与非加密流量。进行的所有实验均基于不平衡数据集,...     

加密恶意流量检测及对抗综述

网络流量加密在保护企业数据和用户隐私的同时, 也为恶意流量检测带来新的挑战. 根据处理加密流量的方式不同, 加密恶意流量检测可分为主动检测和被动检测. 主动检测包括对流量解密后的检测和基于可搜索加密技术的检测, 其研究重点是隐私安全的保障和检测效率的提升, 主要分析可信执行环境和可控传输协议等保障措施的应用. 被动检测是在用户无感知且不执行任何加密或解密操作的前提下, 识别加密恶意流量的检测方法, 其研究重点是特征的选择与构建, 主要从侧信道特征、明文特征和原始流量等3类特征分析相关检测方法, 给出有关模型的实验评估结论. 最后, 从混淆流量特征、干扰学习算法和隐藏相关信息等角度, 分析加密恶意流量检测对抗研究的可实施性.     

基于深度学习的加密恶意流量检测研究

随着网络安全防范意识增强,加密通信占据主流,加密流量快速增长。流量加密在保护隐私的同时,也掩饰非法企图,改变威胁形式。深度学习作为机器学习领域的重要分支,是流量分类的有力工具。近年来,将深度学习方法应用于入侵检测的研究不断深入,取得良好效果。在深入调研文献的基础上,将加密恶意流量检测的步骤总结归纳为“六步法”的一般检测框架模型,结合模型对数据处理及检测算法进行回顾总结,指出各类算法模型的优缺点,并对未来研究方向进行展望,以期为下一步研究提供帮助。     

基于特征融合卷积神经网络的端到端加密流量分类

针对现有人工神经网络方法在网络加密流量分类应用中结构复杂且计算量大的问题,首次提出了一种基于特征融合的轻量级网络模型Inception-CNN,用于端到端加密流量的分类,在显著提高分类结果准确性的同时,大大降低了网络计算复杂度.利用Inception模块1×1卷积进行降维,减少了计算参数;从不同的感受野中做到不同级别上...     

面向可生存性的网络攻击分类方法

网络攻击分类是研究网络攻击特点及其防护方法的前提,介绍了网络攻击分类的研究现状,对已有网络攻击分类方法进行了分析比较,提出了一种面向网络可生存性研究的网络攻击分类方法,并用实例说明了该分类方法的分类过程。该方法对网络防护人员进行网络可生存性提升很有帮助,为他们有针对性地研究网络可生存性技术提供了依据。     

基于加权累积和检验的加密流量盲识别算法

针对加密流量的在线普适识别问题,提出一种基于加权累积和检验的时延自适应加密流量盲识别算法。利用加密数据的随机性特点,对网络报文逐一实施累积和检验,根据报文长度将结果进行加权综合。无需解密操作,也无需匹配特定内容,实现了对加密流量的普适识别。可动态调整报文的检测数量,以达到时延和准确率的统一,实现在线识别。仿真结果显示,对公开和未公开的加密协议流量,识别率均可达到90%以上。     

基于载荷特征的加密流量快速识别方法

针对加密流量难以识别的问题,提出一种快速的网络流量识别方法。该方法无需对数据包载荷进行深入分析,使用256维向量描述数据包负载中256个ASCII字节发生的频率,根据载荷特征量化后的均值和方差进行数据特征提取,采用决策树算法对加密流量进行分类识别。实验结果表明,该方法可以对常见的加密网络流量进行准确识别,并能检测部分恶意攻击产生的流量。     

可搜索加密的研究进展

可搜索加密是解决云端不可信条件下加密数据安全云检索的重要方法。针对可搜索公钥加密、可搜索对称加密这2种可搜索加密类型,分别介绍了近几年来学术界的主要成果及其存在的问题、解决方法。在可搜索公钥加密领域,主要介绍了高安全条件下降低检索复杂度的方法;在可搜索对称加密领域,主要介绍了高安全条件下支持物理删除的方法。     

基于迁移学习的加密恶意流量检测方法

现有加密恶意流量检测方法需要利用大量准确标记的样本进行训练,以达到较好的检测效果。但在实际网络环境中,加密流量数据由于其内容不可见而难以进行正确标记。针对上述问题,提出了一种基于迁移学习的加密恶意流量检测方法,首次将基于ImageNet数据集预训练的模型Efficientnet-B0,迁移到加密流量数据集上,保留其卷积层结构和参数,对全连接层进行替换和再训练,利用迁移学习的思想实现小样本条件下的高性能检测。该方法利用端到端的框架设计,能够直接从原始流量数据中提取特征并进行检测和细粒度分类,避免了繁杂的手动特征提取过程。实验结果表明,该方法对正常、恶意流量的二分类准确率能够达到99.87%,加密恶意流量细粒度分类准确率可达到98.88%,并且在训练集中各类流量样本数量减少到100条时,也能够达到96.35%的细粒度分类准确率。