1、第 49卷 第 11期2023年 11月Computer Engineering 计算机工程基于 CNN CBAM-BiGRU Attention的加密恶意流量识别邓昕1,刘朝晖1,2,欧阳燕2,陈建华1(1.南华大学 计算机学院,湖南 衡阳 421001;2.南华大学 创新创业学院,湖南 衡阳 421001)摘要:对网络流量进行加密有助于保护数据安全和用户隐私,但是加密也隐藏了数据的特征,提高了恶意流量识别的难度。针对传统机器学习方法依赖专家经验、现有深度学习方法对加密流量特征表征能力不足等问题,提出一种在不解密的前提下自动提取空间特征和时序特征以进行加密恶意流量识别的 CNN CBAM-B
2、iGRU Attention模型。该模型分为空间特征提取与时序特征提取两部分:空间特征提取选用不同大小的一维卷积核,为了防止空间特征丢失,修改卷积层参数代替池化层进行特征压缩和去除冗余,再利用 CBAM 块对提取到的不同尺寸的空间特征进行加权,使得模型能够关注到区分度高的空间特征;时序特征提取部分利用双向门控循环单元来表征数据包之间的时序依赖关系,然后利用 Attention来突出会话中重要的数据包。在此基础上,将两部分特征向量进行融合,利用 Softmax分类器进行二分类和多分类。在公开数据集上进行实验,结果表明,该模型在二分类任务中的加密恶意流量识别准确率达到 99.95%,在多分类任务中
3、整体准确率达到 99.39%,在 Dridex与 Zbot类别的加密恶意流量识别中 F1值相比 1D_CNN、BiGRU等模型有显著提高。关键词:网络安全;加密恶意流量识别;卷积神经网络;CBAM 机制;门控循环单元开放科学(资源服务)标志码(OSID):源代码链接:https:/ CNN CBAM-BiGRU Attention的加密恶意流量识别 J.计算机工程,2023,49(11):178-186.英文引用格式:DENG X,LIU Z H,OUYANG Y,et al.Encrypted malicious traffic identification based on CNN CBA
4、M-BiGRU Attention J.Computer Engineering,2023,49(11):178-186.Encrypted Malicious Traffic Identification Based on CNN CBAM-BiGRU AttentionDENG Xin1,LIU Zhaohui1,2,OUYANG Yan2,CHEN Jianhua1(1.School of Computer,University of South China,Hengyang 421001,Hunan,China;2.College of Innovation and Entrepren
5、eurship,University of South China,Hengyang 421001,Hunan,China)【Abstract】Encrypting network traffic helps protect data security and user privacy;however,encryption also hides the characteristics of the data,making it difficult to identify malicious traffic.To address the problem of reliance on expert
6、 experience in traditional machine learning methods and insufficient representation of traffic in existing deep learning methods,this paper proposes a CNN CBAM-BiGRU Attention model to automatically extract spatial and temporal features without decryption,thereby enhancing the characterization of en
7、crypted traffic features.The model is divided into two parts:spatial and temporal feature extraction.The spatial features are extracted by one-dimensional convolution kernels of different sizes.To prevent loss of spatial features,the parameters of the convolutional layer are modified to replace the
8、feature compression and redundancy removal of the pooling layer,and CBAM is used to weight the extracted spatial features of different scales,so that the model can focus on spatial features with high differentiation.The time sequence feature selects the BiGRU to characterize the timing dependencies
9、between data packets,whereby Attention is used to strengthen the role of important data packets.Finally,the two feature vectors are fused,and the Softmax classifier is used for binary classification as well as multi-classification.In the experiments conducted on public datasets,the proposed model ac
10、hieved an accuracy of 99.95%in identifying encrypted malicious traffic in binary classification tasks,and an overall accuracy of 99.39%in multi-classification tasks.The F1 scores for encrypted malicious traffic in the Dridex and Zbot categories were significantly improved compared to those of 1D_CNN
11、 and BiGRU models.基金项目:中国科学院网络评测技术重点实验室开放课题基金(kfkt2019-007);国家重点研发项目;湖南省教育厅科学研究项目(20C1632)。作者简介:邓 昕(1998),男,硕士研究生,主研方向为网络安全;刘朝晖(通信作者),副教授;欧阳燕,硕士;陈建华,硕士研究生。收稿日期:2022-12-19 修回日期:2023-02-05 Email:网络空间安全文章编号:1000-3428(2023)11-0178-09 文献标志码:A 中图分类号:TP393第 49卷 第 11期邓昕,刘朝晖,欧阳燕,等:基于CNN CBAM-BiGRU Attention的
12、加密恶意流量识别【Key words】cyber security;encrypted malicious traffic identification;Convolutional Neural Network(CNN);CBAM mechanism;Gated Recurrent Unit(GRU)DOI:10.19678/j.issn.1000-3428.00665580概述 近年来,随着对隐私保护和数据安全需求的提高,越来越多的网络应用对流量进行了加密处理。据 谷歌透明度报告 统计的数据,截至 2022年 9月,在 chrome浏览器的所有流量中,https加密流量占到了 99%1。流量
13、加密技术也为恶意流量提供了可乘之机,恶意流量通过加密技术隐藏自己的恶意行为,从而躲避安全检测,导致传统的检测方法失效。对加密后的网络流量进行解密,不仅需要消耗大量的计算资源和时间,而且难度较大,同时还存在侵犯隐私等问题。如何在不解密的前提下识别加密流量中的恶意流量,成为工业界与学术界的研究热点与难点之一。对流量进行加密后,IP报文的明文变成密文,很多特征都发生了变化,使得基于深度包检测和基于深度流检测的方法失去效果 2。研究人员通过对恶意加密流量的特征进行分析,发现正常加密流量与恶意加密流量的行为特征有明显差异,机器学习方法可以利用这些特征将恶意与正常的加密流量区分开来,但是如何选取特征则依赖
14、专家经验,且深层特征难以直接发现。深度学习能够自动地从原始数据中提取和选择特征,避免了繁琐的特征工程,因此,在加密恶意流量识别问题研究中,大量学者开始使用深度学习方法。本文提出一种加密恶意流量识别网络模型,其使用 1DCNN+CBAM(Convolutional Block Attention Module)3提取空间特征,利用 BiGRU+Attention 提取时序特征,以改善现有方法存在的对加密流量特征表征能力不足等缺点。通过在公开数据集 CTU-13和 ISCX VPN-nonVPN 上进行对比实验,以验证该模型的有效性。1相关工作 现有的加密恶意流量识别方法主要分为机器学习方法和深度
15、学习方法两种。机器学习方法需要先人工进行特征选取,再从原始流量中提取这些特征,然后利用这些特征进行分类。文献 4 首次提出在不解密的情况下利用机器学习技术从加密的网络流量中识别出具有恶意行为的网络流量。文献 5 通过分析加密正常流量与加密恶意流量的 TLS流、DNS流和 HTTP流,选择加密恶意流量与正常流量有明显不同的地方作为特征,利用 SVM 算法进行识别。文献 6 规避了流量的五元组信息,利用报文负载和流指纹来识别加密恶意流量。但是,基于机器学习的方法特征工程耗时耗力,不同的数据集中有效特征不同,在特征选取上非常依赖专家经验,特征选取的好坏直接影响结果。此外,恶意软件的更新迭代速度非常快
16、,攻击者可以通过更新代码使部分特征失效,从而绕过检测。近年来,为了避免特征工程,研究人员开始在加密流量分类和恶意流量识别任务中使用深度学习这种端到端的方法来自动提取特征。文献 7 将流量转换为灰度图,然后使用 1D_CNN模型与 2D_CNN8进行恶意流量与正常流量的二分类以及流量应用类型的多分类,实验结果表明,1D_CNN 在加密流量分类中表现更好,这是在流量分类任务中首次尝试端到端的表征学习方法,给加密流量分类和恶意流量识别引入了新的思路。文献 9 使用 CNN 和专家经验 特 征 混 合 神 经 网 络 来 识 别 恶 意 TLS 流 量。文献 10 利用 Word2vec 对流量负载进
17、行词嵌入,并通过多核一维卷积识别恶意软件加密 C&C 流量。文献 11 利用堆栈式自动编码器(SAE)模型进行加密流量应用类型的多分类。上述方法只关注了空间特征,缺少对流量上下文时序信息的表征,在面对复杂网络流量时识别效果可能会出现严重下降12。文献 13 使用 LSTM 模型提取网络层的传输包序列和时间序列特征以识别流量行为,完成加密恶意流量识别的二分类任务。文献 14 利用BiGRU和注意力机制进行HTTPS流量分类。文献 15 提出BotCatcher检测框架,使用CNN和双向 LSTM 组合来进行僵尸网络检测的二分类任务。文献 16 提出 CNN-LSTM 检测模型,CNN 学习底层空
18、间特征,LSTM 学习高阶时序特征。文献 17使用 CNN-SIndRNN 模型识别使用 TLS 协议加密的恶意流量,在训练时间和检测时间上有大幅提升。文献 18 修改卷积神经网络的结构,用卷积层代替池 化 层 提 高 对 流 量 的 表 征 能 力。文 献19使 用TextCNN+BiLSTM 捕获时空特征,再利用多头注意力机制提取关键特征以进行恶意应用流量识别。文献20把 Inception 与 Vision Transformer 两个模型结合起来,在未知流量上进行实验。文献 21 提出一种 ET-BERT 模型,在大规模无标记流量中使用多层注意力来学习流量上下文关系和流量间的传输关系,
19、在特别场景下进行微调以完成加密流量分类任务。现有方法虽然效果良好,但是仅依靠神经网络模型提取特征,并未充分利用加密流量的时序和空间特征,导致对流量的表征有限。在现有研究的基础上,本文提出一种同时考虑流量空间特征与时序特征的模型,并且在空间特征和时序特征提取中加1792023年 11月 15日Computer Engineering 计算机工程入注意力机制来对重要特征进行加权,突出加密恶意流量与正常流量中差异性大的特征,从而提高识别的准确性。2方法设计 本文提出的加密恶意流量检测方法主要分为数据预处理、流量空间特征与时序特征提取、流量分类3个步骤,模型结构如图 1所示。首先将原始流量数据预处理为
20、灰度图,然后再转换为一维序列。特征提取层对输入的序列自动提取时空特征:在空间特征提取模块,选用不同大小的一维卷积核对输入流量进行特征提取,为了防止特征丢失,通过调整卷积层参数代替池化层进行特征压缩与去除冗余22,再利用 CBAM 注意力机制对提取到的不同尺度的空间特征进行加权以提高分类准确率;在时序特征提取模块,选用双层双向 GRU 网络,再利用注意力机制突出不同数据包之间的差异。流量识别是依靠不同类型流量之间的特征差异来判定的,因此,最后要把提取到的混合特征向量进行融合,再利用 Softmax分类器进行二分类和多分类。2.1数据预处理数据预处理的目的是尽可能保留原始流量数据中特征差异最大的数
21、据,并把数据转化为神经网络模型输入所要求的向量类型。在流量粒度的选择上,与单向流相比,通信双方的双向会话流含有更多的交互信息,选取流量所有层的信息能尽可能地保留原始流量6。预处理工作首先将原始 pcap文件按会话进行拆分。原始数据集的每一类流量对应一个 pcap 文件,把原始数据按数据包进行拆分,将一定时间内具有相同五元组(传输协议,源端口号,源 IP 地址,目的端口号,目的 IP 地址)信息的数据包汇聚成流,再利用源 IP 和目的 IP将流组成会话,删除空会话生成的空文件,相同会话生成的文件只保留一个,同时删除 MAC 地址、IP 地址等会对模型造成偏差的信息。由于模型只能输入定长数据,因此
22、所有会话必须统一长度。参考文献 7 的实验设计,本文将清洗后的会话长度统一修剪为 784 Byte,长度不足的会话在末尾用零补齐。加密恶意流量和正常加密流量的主要差异存在于前面握手阶段,因此选取前 784 Byte主要 包 含 握 手 阶 段 的 协 商 信 息,784 也 方 便 转 换 为2828的灰度图。在统一长度后,每一个会话被转化为灰度图,网络流量传输的字节在 0255 之间,把序列数据转换成二维,生成 png 格式的灰度图,0 对应黑色,255 对应白色,通过灰度图可以直观感受到各类流量的不同,png 格式也方便读入数据。在读入数据后,为了提高模型的收敛速度,先将灰度图转换回一维序
23、列,再利用 Min-Max 标准化的方法对数据进行归一化。在进行时序特征提取之前,需要对会话的字节进行向量化。文献 23 采用 One-hot编码,但这种编码方式会导致生成的二维矩阵过于稀疏,影响模型的拟合效果。本文采用 Embedding 词嵌入,将原始流量的前 784 Byte编码成 78464的稠密向量。2.2特征提取特征提取模块分成空间特征提取模块和时序特征提取模块,2 个模块直接对原始数据进行特征提取。2 个模块并行,可以更好地表征流量,避免由串行带来的信息丢失,从而提高识别准确率。2.2.1空间特征提取网络通信中客户端与服务器的会话类似于现实中 2 个人的对话,会话的流量可以类比于
24、对话的句子。一维卷积更适用于序列处理,如果采用高维卷积,则需要把序列变成高维向量,转换过程中有可能把原有流量的连续数据变成毫不相干的两部分10,破坏了流量的原始信息。因此,本文采用一维卷积来提取流量的空间特征,不会破坏流量数据原来的相对位置,避免了信息丢失给模型识别准确性带来的影响。传统的 CNN 结构由卷积层与池化层相互交替组成,池化层通过使用最大值或平均值代替池化核内的值进行特征压缩及去除冗余22,从而简化网络复杂度。但是在流量数据中,相邻的字节之间关联性较弱,若使用最大池化或平均池化,容易导致特征的丢失。如图 2 所示,在 TCP 头部,SYN、FIN、ACK、PSH、RST、URG 的
25、每种信息仅使用一个二进制位来表示,与前一位的信息并无联系。图 1加密恶意流量检测模型结构Fig.1Structure of encrypted malicious traffic detection model180第 49卷 第 11期邓昕,刘朝晖,欧阳燕,等:基于CNN CBAM-BiGRU Attention的加密恶意流量识别加密流量的空间特征包含多种特征,如果只采用单一大小的卷积核,容易忽略某些空间特征,因此,本文选取多种大小不同的一维卷积核进行空间特征提取。为了尽可能地保留不同尺度的空间特征,将卷积层后的池化层使用卷积层代替,通过调整卷积层中卷积核尺寸、步长、填充等参数得到和池化层同
26、样大小的输出,卷积层可以通过参数学习来防止特征丢失,同时也能达到压缩特征和去除冗余的目的。识别恶意流量以及恶意流量种类需要依靠加密套件复杂程度、流量负载等特征,这些特征的差异度会有不同,差异度大的特征能帮助模型更好地识别出恶意流量。注意力机制能够对输入特征赋予不同的权重,从而突出重要特征,提高分类的准确性。CBAM 是一种轻量级的端到端注意力机制,由通道注意力模块和空间注意力模块串联组成,有效结合了 2 个模块的优势。其中,通道注意力的作用是明确特征中什么是有意义的,空间注意力的作用是明确特征中重要的特征在哪里。CBAM 结构如图 3所示。通道注意力结构如图 4 所示。输入的特征矩阵先同时进行
27、最大池化和平均池化,再经过多层感知机处理得到 2个通道注意力的映射,最后把 2个结果相加再与原输入相乘得到输出。空间注意力结构如图 5 所示。输入的特征矩阵先同时进行最大池化和平均池化,把得到的矩阵先聚合再进行一次激活函数为 Sigmoid的卷积,最后与原输入相乘得到输出。不同大小卷积核提取到的不同维度的空间向量,对于加密流量识别的重要性不同。为了能够突出重要特征的作用,在卷积层后添加 CBAM 模块,通过对重要的特征赋予更高的权重,提高识别的准确性,最后再经过一层卷积层提取深层的空间特征。2.2.2时序特征提取CNN 善于提取空间特征,但是难以捕捉流量的时序特征。网络流量的字节-数据包-流量
28、结构可以类比于字-词语-句子的结构。字节、数据包、流量按时间顺序排列,因此,网络流量存在时间序列相关的特征。循环神经网络(RNN)是提取时序特征的常用方法,但是传统的 RNN 中由于后面的神经元难以与前面输入建立联系,导致对长距离信息的学习能力较 弱。LSTM 和 GRU 能 在 一 定 程 度 上 缓 解 传 统RNN存在的梯度爆炸和梯度消失问题。与 LSTM 相比,GRU 的结构更简单,参数更少,因此,本文模块选取 GRU进行时序特征提取。单向 GRU 只能将当前输入与历史信息建立联系,无法捕捉到未来输入对当前输入的影响,然而流量数据会话中的某个数据包与前后数据包都存在时序联系,因此,本文
29、选择使用双向 GRU(BiGRU)模型来提取流量的时序特征。双向 GRU 由正向 GRU和反向 GRU 连接而成,正反 2 个方向互补能够建立当前输入与前后状态的联系,更好地表征流量时序特征。时序特征提取模块结构如图 6所示。图 2TCP头部结构Fig.2Structure of the TCP header图 3CBAM 结构Fig.3CBAM structure图 4通道注意力结构Fig.4Channel attention structure图 5空间注意力结构Fig.5Spatial attention structure图 6时序特征提取模块结构Fig.6Temporal featu
30、re extraction module structure1812023年 11月 15日Computer Engineering 计算机工程本文先对输入流量进行词嵌入,再使用双向GRU 模型进行时序特征提取,网络结构设计为串联的两层双向 GRU,通过加深网络层次来提取深层时序特征。由于在会话中每个数据包对加密恶意流量识别的重要性不同,因此最后针对时序特征向量使用 Attention模块来突出重要时序特征。2.3流量识别时序特征和空间特征是完全不同的特征,2种特征在识别中起到的作用也不相同,因此,本文在进行特征融合时定义如下:F=w fs+(1-w)ft(1)其中:F是特征融合后的向量;fs
31、是空间特征向量;ft是时序特征向量;w 是一个超参数,取值范围为(0,1),用来调节各部分特征对最终结果的影响程度。最后,把 融 合 的 特 征 F 输 入 Softmax 分 类 器 中。Softmax分类器使用 Softmax激活函数得到识别为每种类别流量的概率,取最大值作为模型识别结果,其计算公式如式(2)所示:pi=exii=1kexi(2)其中:pi表示输入的一次会话被识别为第 i种流量的概率;xi为对应流量类别的分数。3实验验证 3.1实验环境与设置本文实验在 Windows操作系统中完成。在数据预处理阶段,使用 SplitCap 工具将原始数据以会话为单位进行分割,使用 nump
32、y、PIL 等库对会话进行处理,生成灰度图。在深度学习模型的搭建与训练阶段,使用 TensorFlow 和 Keras2.7.0框架进行模型搭建与参数调优。CPU 使用 Intel酷睿 i7-12700F,内存为 32 GB,采用英伟达 RTX3060 显卡加速。为了增强实验的有效性,防止偶然性,取 10 次实验结果的平均值作为最终结果,细粒度划分实验进行十折交叉 验 证,训 练 集、验 证 集、测 试 集 的 比 例 设 置为 8 1 1。在模型网络结构中,空间特征提取模块中 2 个卷积层的卷积核分别设置为 32和 64,代替池化作用的卷积层的卷积核与上一层卷积核个数相同,步长设置为5,使用
33、ReLU激活函数,经过CBAM块后再经过一个 Flatten层与全连接层变成 128维向量。2层时序特征提取部分的双向 GRU 的 unite分别设置为 32和 64,神经网络的每一层设置 Dropout 为 0.5。选用交叉熵损失函数,Adam 算法优化,学习率设置为103,batch_size设置为 64。3.2数据集文献 2 指出,可用于异常加密流量识别和加密攻击流量识别的公开数据集非常少,很难找到既包含加密恶意流量又有正常加密流量且以 pcap格式存储的公共数据集。因此,本文的恶意加密流量数据集选取 CTU-1324,正常加密流量数据集选用 ISCX VPN-nonVPN25。CTU-
34、13是由各种加密恶意流量组成的数据集,这些流量是由捷克理工大学开展的 Malware Capture Facility项目所收集的,本文从中选取 10种加密恶意流 量,具 体 类 型 与 数 目 如 表 1 所 示。ISCX VPN-nonVPN 是加密流量应用和服务类型分类任务中常用的数据集,该数据集由 7种常规加密和 7种 VPN加密的应用流量组成,本文从中选取 10种流量组成正常流量数据集,具体类型与数目如表 2所示。数据经过预处理后,生成的部分流量灰度图如图 7所示,从图7可以直观地感受到各种类型流量之间的差异。表 1加密恶意流量数据集 Table 1Encrypted malicio
35、us traffic dataset类型AdwareBunituHtbotDridexMiurefTrickBotVirutWannacryZbotzeusCTU编号177-1141-1110-1227-1127-1238-154253-1224-1116-2会话数/条6 0007 6555 68010 5996 1335 8065 7235 1305 7786 859表 2正常加密流量数据集 Table 2Normal encrypted traffic dataset加密类型VPNVPNVPNVPNVPNNoVPNNoVPNNoVPNNoVPNNoVPN流量类型ftpsAim_Chatem
36、ailfacabook_audiohangout_audioaim_Chatfacebook_audiohangout_chatftps_downemail会话数/条1 0001 0001 0001 0001 0001 0001 0001 0001 0001 000182第 49卷 第 11期邓昕,刘朝晖,欧阳燕,等:基于CNN CBAM-BiGRU Attention的加密恶意流量识别3.3评估指标实验使用准确率(Accuracy)、查准率(Precision)、查全率(Recall)、F1值(F1)等常见指标对模型性能进行评估。各指标的计算公式如式(3)式(6)所示:AAccuracy=T
37、TP+TTNTTP+TTN+FFP+FFN(3)PPrecision=TTPkFFPk+TTPk(4)RRecall=TTPkFFNk+TTPk(5)F1=2 PPrecision RRecallPPrecision+RRecall(6)其中:TTPk表示正确识别的 k 类流量的数量;TTNk表示正确识别的非 k类流量的数量;FFNk表示 k类流量识别为非 k类流量的数量;FFPk表示非 k类流量识别为 k类流量的数量。3.4结果分析在卷积核的选择上,本文选取 4 种常用尺寸的卷积核组合,在二分类任务中进行实验,结果如表 3所示。从表 3可以看出,选用 3、5、7这 3种大小尺寸组合时准确率和
38、 F1值最高,因此,本文选用 3、5、7这3种不同大小的卷积核组合。图 8 反映了训练过程中模型准确率与训练迭代次数的关系。由图 8可见,训练 5轮时验证集准确率达到 99%,训练 15 轮时模型基本收敛,准确率达到99.5%,说明本文模型收敛速度较快,能够提取出恶意加密流量的有效特征并识别出恶意流量。在融合层的超参数 w 设置上,选取从 0.10.9 且间隔为 0.1 的 9 个数进行实验,结果如图 9 所示。由图 9可知,将 w取为 0.6时模型效果最佳,在本数据集中流量的空间特征差异略大于时序特征。3.4.1二分类消融实验为了验证本文模型中各模块的作用,进行二分类消融实验。1DCNN 模
39、型去除了时序特征提取模块与 CBAM 模块,BiGRU 模型去除了空间特征提取模块与 Attention 模块,1DCNN+BiGRU 模型是上述2个模块的拼接,1DCNN-BiGRU 去除了空间特征提取模块中的 CBAM 和时序特征提取模块中的注意力部分。为了更真实地模拟现实网络场景,更好地验证模型的鲁棒性,在二分类实验中,训练集由加密恶意流量数据集中的前 5 类各 1 000 条和加密正常流量数据集中的前 5 类各 1 000 条会话组成,测试集由两部分数据集的剩下类别各选 1 000条会话组成,这样能够保证测试集中的流量类型在训练集中都没有出现过,可以检验模型识别未知类型加密恶意流量的性
40、能。由表 4 可以看出,本文模型的准确率、召回率、F1值均为 5种模型中最高的,说明本文模型在 5种模型中检测恶意流量的能力最强。5种模型的准确率、召回率、F1值都已达到 94%以上,说明加密的恶意流量与正常流量在空间特征与时序特征上有较大差异,可以通过深度学习方法来进行识别。从 1DCNN 和图 8准确率与迭代次数的关系Fig.8Relationship between accuracy and number of iterations图 9不同参数 w下的 F1值Fig.9F1 values under different parameters w表 3不同卷积核组合的实验对比 Table
41、 3Experimental comparison of different convolution kernel combinations卷积核组合3,4,54,5,65,6,73,5,7准确率/%99.9399.9199.9399.95F1值/%99.9499.9299.9299.95图 7预处理后的部分流量灰度图Fig.7Gray scale image of partially processed traffic1832023年 11月 15日Computer Engineering 计算机工程BiGRU 的实验结果与 CNN+BiGRU 和 CNN-BiGRU的实验结果对比可以看出,
42、同时考虑时序特征和空间特征的模型比只考虑单一特征的模型表现更好。从 CNN+BiGRU 与 CNN-BiGRU 的实验结果对比可以看出,本文模型的 2个模块更适合并行,模块并行能在一定程度上避免串行导致的部分特征丢失问题。本文模型在 3个指标上都优于 CNN-BiGRU,说明注意力机制能够提高模型对加密恶意流量的识别能力。3.4.2十分类对比实验在现实场景中,除了需要识别网络中的恶意流量,还需要对恶意流量的类别进行细粒度划分,将结果提供给网络维护人员以采取准确的防御措施。因此,本文选取 10类加密恶意流量进行实验,为了避免数据不平衡对实验的影响,从每一类加密恶意流量中随机选取 5 000 条会
43、话组成数据集,将 1D_CNN7、CNN-BiGRU、BotCatcher15模型与本文模型进行对比,以检验模型识别加密恶意流量具体类别的性能。BotCatcher 由含有 2 个卷积层并且每个卷积层后加入最大池化层的 2维 CNN与双层双向 LSTM 组成。图 10所示为 4种模型的查准率、召回率、F1值以及整体准确率。从图 10 可以看出:1D_CNN 由于缺乏对时序特征的表征,因此整体准确率最低;本文模型在整体准确率上比其他 3种模型分别高出 4.20%、1.42%、0.12%,说明在此数据集中,本文模型对恶意加密流量的具体类型识别效果更好;与 BotCatcher相比,本文模型对于提取
44、到的特征经过注意力层与特征融合层,更加有效地利用了加密流量的特征,因此,整体准确率更好;CNN-BiGRU 由 2 个模块串联组合而成,整体准确率比本文模型低 0.12%,在 Zbot类别中查准率比本文模型高 2.5%,但是查全率和F1 值都低于本文模型,原因可能是串联连接中前一个模块的特征提取给后一个模块造成了部分特征丢失;在 Zbot 类别中,本文模型的识别效果相比其他3 种模型有明显提升,在查准率上分别提升 5.57%、4.54%、4.05%,在 F1 值 上 分 别 提 升 16.93%、5.41%、0.9%;在 10 个 类 别 的 F1 值 对 比 中,本 文 模 型 在Dride
45、x、Miuref、Zbot、Htbot、Wannacry、TrickBot 这6 个类别中都大于等于其他 3 种模型,剩下的 4 类中比其他 3 种模型中的最大值低不超过 0.2%,说明本文模型在大多数类别中都有较好的稳定性,能够有效识别加密恶意流量的具体类型。本文模型某次实验的混淆矩阵如图 11 所示。结合图 10 可知,本文模型的查准率在 Dridex 类上低于 CNN-BiGRU,在 Zbot 类上高于其他 3 种模型,查表 4二分类实验结果对比 Table 4Comparison of results of binary classification experiments%模型1DC
46、NNBiGRUCNN+BiGRUCNN-BiGRU本文模型Precision96.9194.8499.0199.3199.95Recall96.7194.9898.8999.2799.95F1值96.8194.9198.9499.2999.95图 105种分类模型的实验结果对比Fig.10Comparison of experimental results of five classification models184第 49卷 第 11期邓昕,刘朝晖,欧阳燕,等:基于CNN CBAM-BiGRU Attention的加密恶意流量识别全率在 Dridex 类上高于其他 3 种模型,在 Zbo
47、t 类上低于 CNN-BiGRU,F1值高于其他 3种模型。本文模型对 Dridex 与 Zbot这两类的混淆程度较高,查准率和查全率比其他类别低,原因可能是这两种流量行为相似,使得空间特征和时序特征差异不够明显。4结束语 本文提出一种端到端的加密恶意流量识别方法,利用 CNN 与双向 GRU 模型分别提取流量的空间特征与时序特征,在每个模块中利用注意力机制突出特征的差异性。在空间特征提取中,采用更加适合序列的一维卷积,基于不同大小的卷积核提取多视野空间特征,为了防止池化操作带来的特征丢失,通过调整卷积的参数代替池化操作对特征进行压 缩 和 去 除 冗 余,从 而 加 强 对 流 量 的 表
48、征,利 用CBAM 注意力机制对提取到的多视野空间特征进行加权,以提高准确率。在时序特征提取中,使用双层双向 GRU 神经网络来表征流量的上下文信息,利用注意力机制突出不同数据包的重要程度。实验结果表明,该方法能达到较高的识别精度。下一步工作将从 3个方面展开:本文模型参数较多,检测实时性不强,需要进一步提高模型在时间维度的检测效率;在实际的网络攻击中,攻击与攻击之间可能存在联系,本文模型只考虑了会话内部的特征,没有考虑会话与会话之间的关系,从而忽略了攻击之间的联系,后续可以通过图神经网络来建立会话与会话之间的关系;对特征聚合进行深入研究,探索一种更优的时序特征和空间特征融合方式,以更好地利用
49、这 2 种特征进行加密恶意流量识别。参考文献 1 Google.Google transparency report EB/OL.2022-11-05.https:/transparency 陈良臣,高曙,刘宝旭,等.网络加密流量识别研究进展及发展趋势 J.信息网络安全,2019(3):19-25.CHEN L C,GAO S,LIU B X,et al.Research status and development trends on network encrypted traffic identification J.Netinfo Security,2019(3):19-25.(in C
50、hinese)3 WOO S,PARK J,LEE J Y,et al.CBAM:convolutional block attention moduleC/Proceedings of the 15th European Conference on Computer Vision.New York,USA:ACM Press,2018:3-19.4 张蕾,崔勇,刘静,等.机器学习在网络空间安全研究中的应用 J.计算机学报,2018,41(9):1943-1975.ZHANG L,CUI Y,LIU J,et al.Application of machine learning in cybe
浙ICP备2021020529号-1 | 浙B2-20240490 
