基于注意力机制的加密流量识别

随着人们网络安全意识的提高,加密流量呈爆炸式增长,流量加密在保护用户隐私的同时,也为安全检测带来了新的挑战。针对传统基于机器学习的流量识别方法存在需要手动设计分类特征、分类准确率不高等问题,提出一种基于卷积神经网络与自注意力机制(Convolutional Neural Network and Self Attention,CSA)的加密流量分类方法,依据网络流量的层次结构特性,采用卷积神经网络提取数据包内字节流的空间特征、自注意力机制提取数据包之间的时序特征。在公开数据集ISCX VPN-NonVPN上的实验结果表明,CSA模型的分类准确率达到了95.0%,相较基准深度模型,准确率和F1值皆有明显的提升。

基于LSTM的DAE加密流量识别

随着虚拟专用网(VPN)技术的广泛应用,实时VPN流量识别已成为网络管理和安全维护中越来越重要的任务.加密流量使得从原始流量中提取特征变得极具挑战性,现有的VPN流量识别方法通常存在高维数据特征提取困难的问题.提出了一种在DAE(Denoising Auto-Encoder,降噪自编码器)的网络结构基础上加入了LSTM(Long Short Term Memory,长短时记忆)的模型,将深度学习相关技术融入加密流量识别技术之中,使一直存在的难以处理高维数据以及特征提取等问题得到解决.

基于深度残差胶囊网络与注意力机制的加密流量识别方法

随着用户安全意识的提高和加密技术的发展,加密流量已经成为网络流量中的重要部分,识别加密流量成为网络流量监管的重要部分。基于传统深度学习模型的加密流量识别方法存在效果差、模型训练时间长等问题。针对上述问题,提出了一种基于深度残差胶囊网络模型(DRCN,deep residual capsule network)的加密流量识别方法。原始胶囊网络通过全连接形式堆叠导致模型耦合系数变小,无法搭建深层网络模型。针对上述问题,DRCN模型采用三维卷积算法(3DCNN)动态路由算法代替全连接动态路由算法,减少了每个胶囊层之间传递的参数,降低了运算复杂度,进而构建深层胶囊网络,提高识别的准确率和效率;引入通道注意力机制为不同的特征赋予不同的权重,减少无用特征对识别结果的影响,进一步增强模型特征提取能力;将残差网络引入胶囊网络层,搭建残差胶囊网络模块缓解了深度胶囊网络的梯度消失问题。在数据预处理方面,截取的数据包前784byte,将截取的字节转化成图像输入到DRCN模型中,该方法避免了人工特征提取,减少了加密流量识别的人工成本。在ISCXVPN2016数据集上的实验结果表明,与效果最好的BLSTM模型相比,DRCN模型的准确率提高了5.54%,模型的训练时间缩短了232s。此外,在小数据集上,DRCN模型准确率达到了94.3%。上述实验结果证明,所提出的识别方案具有较高的识别率、良好的性能和适用性。

基于流的时间相关特征的VPN加密流量识别

随着网络流量规模和来源的增加,对网络流量监控和分析的挑战也随之增加,尤其是对加密流量进行识别的问题,该挑战性问题在于如何对加密流量不解密的情况下直接识别加密流量。因此,针对加密流量识别问题,本文提出了一种基于流的时间相关特征的VPN加密流量识别方法。通过设置2个实验场景,实现了加密流量与非加密流量的识别,并根据流的类型将加密流量划分为不同的类别,在识别出加密流量的基础上又实现了应用识别和服务类型的识别。最后在公开数据集ISCXVPN2016上利用不同的机器学习算法进行了对比实验,实验结果表明:使用较短的流超时值可以提高识别准确率,在流超时值为15 s时结果最优。上述实验结果也证明了时间相关特征是表征加密流量和VPN流量的良好分类准则。

基于特征融合的恶意加密流量识别

随着加密技术的全面应用,越来越多的恶意软件同样采用加密的方式隐藏自身的网络活动,导致基于规则和特征的传统方法无法满足准确性和普适性的要求.针对上述问题,提出一种层次特征融合和注意力的恶意加密流量识别方法.算法具备层次结构,依次提取数据包的特征和会话流的特征,前一阶段设计全局混合池化方法进行特征融合;后一阶段使用注意力机制提高BiLSTM网络分析序列关系的能力.最终,实验采用CIC-AndMal 2017数据集进行验证,结果表明:模型设计合理,相比TextCNN模型和HST-MHSA模型,漏报率分别降低5.8%和2.6%,加权F1值分别提高4.7%和3.5%,在恶意加密流量识别和分类方面体现良好的优化效果.

联合胶囊和双向LSTM网络的VPN加密流量识别

为了提高对网络资源的有效管理,加密流量识别已成为网络安全领域的一大挑战,目前研究大多是基于深度学习的方法,但这些方法忽略了网络流量的层次化特征,如固定字符串的位置、不同协议的Bit转换成图像时造成的错位,对此,提出一种联合胶囊网络(capsule network,CapsNet)和双向长短期记忆网络(bidirectional long short-term memory,BiLSTM)的深度神经网络来对加密流量进行识别。该模型分别提取了加密流量的空间位置特征和时序特征,最后使用Softmax分类器实现对加密流量服务的识别,其中,针对CapsNet进行了改进,将原来的1层9×9卷积优化成了4层3×3卷积,并提出一种联合损失函数。该方法在ISCX VPN-non VPN公共数据集上进行了验证,三个分类实验结果表明,该模型的分类准确率、精确率、召回率和F1值均在98%以上,优于最先进的加密流量分类方法。

网络加密流量识别研究综述及展望

鉴于加密流量识别技术的重要性和已有相关研究工作,首先根据流量分析需求的层次介绍了加密流量识别的类型,如协议、应用和服务。其次,概述已有加密流量识别技术,并从多个角度进行分析对比。最后,归纳现有加密流量识别研究存在的不足及影响当前加密流量识别的因素,如隧道技术、流量伪装技术、新型协议HTTP/2.0和QUIC等,并对加密流量识别趋势及未来研究方向进行展望。

网络加密流量识别研究进展及发展趋势

网络加密流量的快速增长正在改变威胁形势。如何实现对网络加密流量的实时准确识别,是我国网络空间安全领域的重要问题,也是目前网络行为分析、网络规划建设、网络异常检测和网络流量模型研究的重点。文章对网络加密流量识别的基本概念、研究进展、评价指标和存在的问题进行论述,并对网络加密流量识别的发展趋势和面临的挑战进行总结与展望。文章可为进一步探索网络空间安全领域的新方法与新技术提供借鉴与参考。

基于支持向量机的加密流量识别方法

针对现有的加密流量识别方法难以区分加密流量和非加密压缩文件流量的问题,对互联网中的加密流量、txt流量、doc流量、jpg流量和压缩文件流量进行分析,发现基于信息熵的方法能够有效地将低熵值数据流和高熵值数据流区分开.但该方法不能识别每个字节是随机的而全部流量是伪随机的非加密压缩文件流量,因此采用相对熵特征向量{h_0,h_1,h_2,h_3}区分低熵值数据流和高熵值数据流,采用蒙特卡洛仿真方法估计π值的误差p_(error)来区分局部随机流量和整体随机流量.最终提出基于支持向量机的加密流量和非加密流量的识别方法 SVM-ID,并将特征子空间SVM={h_0,h_1,h_2,h_3,p_(error)}作为SVM-ID方法的输入.将SVM-ID方法和相对熵方法进行对比实验,结果表明,所提方法不仅能够很好地识别加密流量,还能区分加密流量和非加密的压缩文件流量.

基于堆栈式自动编码器的加密流量识别方法

基于浅层机器学习的加密流量识别方法准确率偏低,在特征提取和选择方面耗时耗力。为此,提出一种基于堆栈式自动编码器(SAE)的加密流量识别方法。该方法利用SAE的无监督特性及在数据降维等方面的优势,结合多层感知机(MLP)的有监督分类学习,实现对加密应用流量的准确识别。考虑到样本数据集的类别不平衡性对分类精度的影响,采用SMOTE过抽样方法对不平衡数据集进行处理。实验结果表明,该方法各项性能指标均优于MLP加密流量识别方法,识别精确度和召回率以及F1-Score均可达到99%。

基于趋势感知协议指纹的Skype加密流量识别算法

P2P技术极大地方便了互联网上的资源共享,在网络流量中比例最大且多以加密形式出现,但存在带宽消耗大、分享内容缺乏监管等弊端。准确快速识别基于P2P架构的Skype加密流量,对于提高网络服务质量、优化网络带宽分配、加强安全管控有着重要意义。在分析Skype信令交互和内容传输阶段流量统计特征的基础上,提出一种基于趋势感知协议指纹的Skype加密流量识别算法。通过定义趋势感知加权函数,真实反映了流量特征的变化趋势;利用异常相似度,对Skype加密流量进行实时检测。实验结果表明,该方法的精确度和实时性均优于经典的协议指纹算法和C4.5等最新的加密流量识别方法。

基于层次时空特征与多头注意力的恶意加密流量识别

为实现互联网全面加密环境下的恶意加密流量精确检测,针对传统识别方法较依赖专家经验且对加密流量特征的区分能力不强等问题,提出一种基于层次时空特征与多头注意力(HST-MHSA)模型的端到端恶意加密流量识别方法。基于流量层次结构,结合长短时记忆网络和Text CNN有效整合加密流量的多尺度局部特征和双层全局特征,并引入多头注意力机制进一步增强关键特征的区分度。在公开数据集CICAnd Mal2017上的实验结果表明,HST-MHSA模型的流量识别F1值相较基准模型最高提升了16.77个百分点,漏报率比HAST-Ⅱ和HABBi LSTM模型分别降低了3.19和2.18个百分点,说明其对恶意加密流量具有更强的表征和识别能力。

基于混合方法的IPSec VPN加密流量识别

文中提出了一种混合方法,将指纹识别与机器学习方法相结合,实现了IPSec VPN加密流量的识别。该方法首先基于负载特征从网络流量中筛选出IPSec VPN流量;接着,基于时间相关的流特征,利用随机森林算法建立了IPSec VPN流量分类模型,通过参数优化以及特征选择,整体流量识别的准确率达到了93%。实验结果验证了通过流特征提取的机器学习方法识别IPSec VPN流量的可行性;同时表明了该方法能够有效均衡识别精度与识别速度,达到了高效识别IPSec VPN加密流量的效果。

TLS协议恶意加密流量识别研究综述

随着5G时代的来临,以及公众对互联网的认识日益加深,公众对个人隐私的保护也越来越重视。由于数据加密过程中存在着恶意通信,为确保数据安全,维护社会国家利益,加密流量识别的研究工作尤为重要。针对TLS流量详细的阐述,分析了早期识别方法的改进技术,包括常见的流量检测技术、DPI检测技术、代理技术以及证书检测技术。介绍了选取不同TLS加密流量特征的机器学习模型,以及无需特征选择的深度学习模型等诸多最新研究成果。对相关研究工作的不足进行总结,并对未来技术的研究工作和发展趋势进行了展望。

基于深度报文检测和机器学习的加密流量识别方法

随着互联网应用规模的扩大,对网络安全风险防范的意识不断增强,越来越多的应用通过加密手段实现数据隐私保护,网络中加密流量占比越来越高。针对DPI深层数据包检测技术能够识别出具体应用,但是对于加密流量识别的办法十分有限[1],本文提出一种基于DPI深度报文检测技术和机器学习结合的加密流量识别方法,通过DPI技术识别已知特征的流量,加快流量识别率,减少机器学习时间,弥补以往DPI在加密流量识别方面的缺陷,提高加密流量识别率。

基于活跃节点库的以太坊加密流量识别方法

区块链的应用逐渐广泛,随着安全事件频发,对区块链网络的监管变得尤为重要,识别区块链流量是安全监管的第一步。作为具有代表性的区块链技术,以太坊采用私有RLPx协议对应用层内容进行了格式化和加密,导致传统的加密流量识别方法难以准确识别以太坊加密流量。在充分研究了RLPx协议后,文章设计了一种以以太坊节点活跃度为基础,结合以太坊流量高端口号、报文长度等特征的以太坊加密流量识别方法,在实验中达到了95%以上的以太坊加密TCP流量识别准确率。

GBDT与LR融合模型在加密流量识别中的应用

随着网络应用服务类型的多样化以及网络流量加密技术的不断发展,加密流量识别已经成为网络安全领域的一个重大挑战。传统的流量识别技术如深度包检测无法有效地识别加密流量,而基于机器学习理论的加密流量识别技术则表现出很好的效果。因此,本文提出一种融合梯度提升决策树算法(GBDT)与逻辑回归(LR)算法的加密流量分类模型,使用贝叶斯优化(BO)算法进行超参数调整,利用与时间相关的流特征对普通加密流量与VPN加密流量进行识别,实现了整体高于90%的流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。

基于多任务特征学习的网络加密流量识别算法

加密数据流难以从其数据内容进行监管,但却是非法数据、敏感信息监管的重要对象。目前对加密数据流识别的研究大多依据特定的加密传输协议,主要通过端口匹配识别、深度包检测、深入流检测等来进行识别,这些方法实施的前提是加密协议已知,并未给出一种通用的加密数据流识别方法。对当前加密数据流识别技术进行了分析,分析加密数据流外在数据形式中所蕴含的内在属性信息,遵循"随机性特征——盲识别"的研究思路,研究一种通用的网络加密流量识别方法,利用加密流量的随机性特征,提出基于多任务特征学习的网络加密流量识别算法。该算法利用?2,1正则化项对一组相关任务进行联合特征学习。实验结果表明:该算法可有效识别网络加密流量,识别精度可达到80%以上。

基于Text-GAN分析加密流量识别关键技术

传统应用流量识别方法相对落后,在解决传统流量识别与加密流量问题方面无法建立机器学习或深度学习技术,无法构建大量的数据支持机制,如此就导致数据出现不平衡问题。参考基于Self-Attention技术所改造构建的Text-GAN技术体系,对流量数据扩充与平衡进行优化,并基于Text-GAN技术探讨其加密流量数据识别关键技术,建立用户识别系统。

一种多特征融合的加密流量快速分类方法

网络流量识别是网络管理和安全服务的基础.随着互联网的不断扩展及其复杂性的增加,传统基于规则的识别方法或流行为特征的方法正在面临着巨大挑战.受自然语言处理(Nature Language Processing, NLP)启发,本文提出了一种多特征融合的加密流量快速分类方法 .该方法通过融合数据包和字节序列特征来完成网络流的特征表示,采用双元字节编码将所选特征扩展为双字节序列,增加了字节的上下文语义特征;通过与数据包特征处理相适应的池化方法来最大限度保留数据包的特征信息,从而使所提模型具有更强的抗噪能力和更精确的分类能力.本文方法分别在ISCX-2016和一个包含66个热门应用程序的私有数据集(ETD66)上进行验证,并与其他模型展开比较.结果表明:本文所提方法在ISCX-2016及ETD66上的测试精度和性能都明显优于其他流量分类模型,分别取得了98.2%和98.6%的识别准确率,从而证明了所提方法的特征提取能力和强泛化能力.