分享自:

加密流量理解的聚合与分离网络

期刊:IEEE Transactions on Information Forensics and SecurityDOI:10.1109/TIFS.2025.3529316

本文档属于类型a,即报告了一项原创研究。以下是针对该研究的学术报告:

研究作者及机构
本研究由Wei Peng、Lei Cui、Wei Cai、Wei Wang、Xiaoyu Cui、Zhiyu Hao和Xiaochun Yun共同完成。作者主要来自中关村实验室(Zhongguancun Laboratory)和北京邮电大学网络空间安全学院(School of Cyberspace Security, Beijing University of Posts and Telecommunications)。该研究于2025年1月13日发表在《IEEE Transactions on Information Forensics and Security》期刊上。

学术背景
加密流量分类(Encrypted Traffic Classification)是网络安全和网络管理中的重要研究方向,旨在识别加密网络流量对应的应用、服务或恶意软件。随着加密协议的广泛应用,传统流量分类方法(如端口匹配、深度包检测等)已逐渐失效,因为加密流量的有效载荷无法直接检查。近年来,深度学习和预训练语言模型(Pre-training Language Models, PLMs)的发展为加密流量分类提供了新的思路,但现有方法仍存在两个主要问题:
1. 从字节级语义(Word-level Semantics)的角度,现有方法直接使用BERT等预训练语言模型处理流量数据,但由于流量数据与自然语言不同,直接使用BERT可能会破坏内部字节语义信息,影响分类性能。
2. 从数据包级语义(Packet-level Semantics)的角度,现有方法大多使用顶层学到的抽象语义特征隐式分类流量,而未将特征明确分离到不同类别空间,导致特征区分性较差。
为了解决这些问题,本研究提出了一种简单但有效的聚合与分离网络(Aggregator and Separator Network, ASNet),旨在增强对加密流量的理解并提升分类性能。

研究流程
1. 问题定义
研究从PCAP文件中提取网络数据包,每个数据包包含头部和有效载荷部分。有效载荷数据以字符串形式表示,每个字符串由多个“单词”(即字节)组成。研究任务是通过这些“单词”学习一个函数,输出数据包对应的标签(如YouTube、Facebook等)。

  1. BERT分词器
    使用BERT分词器将流量“单词”分词为子词(Subwords),并保留每个“单词”的分词长度信息,以便后续重建字节语义。

  2. 流量编码器
    利用预训练的BERT编码器对分词后的子词进行编码,生成隐藏状态(Hidden States),以捕捉流量数据的上下文特征。

  3. 字节语义聚合器(Word Sense Aggregator, WSA)
    WSA模块通过加法操作将分词的隐藏状态聚合为完整的字节语义表示,从而在不引入额外参数的情况下保留完整的字节语义信息。

  4. 类别约束语义分离器(Category-Constraint Semantic Separator, CSS)
    CSS模块引入任务感知提示(Task-aware Prompts)作为刺激,明确指导模型将数据包级语义特征分离到不同类别空间,以增强特征的区分性。具体步骤包括:

    • 使用另一个BERT编码器对提示进行编码。
    • 通过刺激操作将数据包级语义特征分离为独立的隐藏状态。
    • 使用残差结构和平均池化获得每个类别的最终语义表示。

  5. 分类器
    使用多层感知机(MLP)和Sigmoid函数对分离后的语义表示进行分类,输出每个类别的概率。

  6. 实验验证
    研究在五个数据集(包括四个公开基准数据集和一个真实世界数据集)上进行了七项任务的实验验证,比较了ASNet与多种基线模型(如BERT、ET-BERT、YATC等)的性能。

主要结果
1. 分类性能
ASNet在所有评估指标上均达到了当前最先进(State-of-the-Art, SOTA)的结果,特别是在不平衡类别数据集上,ASNet显著提升了Macro F1分数。例如,在CICIoT数据集上,ASNet的Macro F1和Micro F1差距仅为2.89%,而其他PLM方法的差距为4%至14%。

  1. 模块有效性
    通过消融实验验证了WSA和CSS模块的有效性。移除任一模块都会导致性能下降,特别是CSS模块在应用分类任务中的表现尤为关键。

  2. 可视化分析
    通过可视化分析,验证了WSA模块能够显著减少类别间高频字节的重叠,增强类别区分性;CSS模块则能够将数据包级语义特征更好地分离到不同类别空间。

结论
本研究提出的ASNet通过引入参数化的字节语义聚合器和类别约束语义分离器,显著提升了对加密流量的理解能力和分类性能。ASNet无需预训练,大幅降低了计算成本和时间开销。实验结果表明,ASNet在多个数据集和任务上均表现出色,特别是在不平衡类别数据集上具有显著优势。

研究亮点
1. 创新性方法
ASNet首次结合了字节语义聚合和数据包级语义分离的思想,解决了现有方法在加密流量分类中的两大问题。

  1. 无需预训练
    ASNet直接利用BERT的通用语言知识,无需大规模数据和计算资源进行预训练,显著降低了模型部署成本。

  2. 广泛适用性
    ASNet在公开基准数据集和真实世界数据集上均表现出色,展示了其在多种应用场景中的潜力。

其他价值
本研究还开源了模型代码和数据集,为后续研究提供了宝贵的资源。未来工作可以进一步探索提示设计(Prompt Design)和连续提示(Continuous Prompts)的应用,以进一步提升模型性能。

以上报告详细介绍了本研究的背景、流程、结果和意义,为相关领域的研究者提供了全面的参考。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com