基于卷积神经网络的加密代理流量识别方法_李敬.pdf

1、722|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023DOI:10.12379/j.issn.2096-1057.2023.08.02 收稿日期:2 0 2 2-0 9-1 3 引用格式:李敬.基于卷积神经网络的加密代理流量识别方法J.信息安全研究,2 0 2 3,9(8):7 2 27 2 9基于卷积神经网络的加密代理流量识别方法李 敬(山东高等技术研究院计算科学研究中心 济南 2 5 0 1 0 0)(j i n g.l i i a t.c n)E n

2、c r y p t e dP r o x yT r a f f i c I d e n t i f i c a t i o nM e t h o dB a s e do nC o n v o l u t i o n a lN e u r a lN e t w o r kL i J i n g(C o m p u t a t i o n a lS c i e n c eR e s e a r c hC e n t e r,S h a n d o n gI n s t i t u t eo fA d v a n c e dT e c h n o l o g y,J i n a n2 5 0 1 0

3、 0)A b s t r a c t A m e t h o df o r i d e n t i f y i n ge n c r y p t e dp r o x yt r a f f i cb a s e do nc o n v o l u t i o n a ln e u r a ln e t w o r ki sp r o p o s e d.F i r s t,t h es t r e a mr e a s s e m b l yo p e r a t i o ni sp e r f o r m e do nt h es e l f-d e p l o y e da n ds e

4、l f-c a p t u r e dr a we n c r y p t e dt r a f f i c,a n dt h e nt h ef i r s tLLb y t e so ft h ef i r s tNd a t ap a c k e t so ft h er e s t o r e dd a t a s t r e a ma r e e x t r a c t e d t o f o r mag r a y s c a l e i m a g e a s t h e s t r e a mf e a t u r e i m a g eo f t h ed a t as t

5、r e a mw h o s e(H e i g h t,W i d t h,C h a n n e l)i s(NL,L,1).A f t e r t h a t,a l l t h e s a m p l e s a r ed i v i d e di n t ot r a i n i n gs e t,v e r i f i c a t i o ns e t,a n dt e s ts e t,w h i c ha r eu t i l i z e db yt h ed e s i g n e dc o n v o l u t i o n a ln e u r a ln e t w o

6、r k m o d e lf o rt r a i n i n g,v e r i f i c a t i o na n dt e s t i n gr e s p e c t i v e l y.F i n a l l y,b ys e l e c t i n gd i f f e r e n tc o m b i n a t i o n so ft h ef i r s tNd a t ap a c k e t sa n dt h ep a c k e tl e n g t hs t r a t e g yLt oc o n d u c te x p e r i m e n t s,i t

7、i sf i n a l l y m e a s u r e dt h a tw h e nN=4,L=4 04 0,t h eh i g h e s ti d e n t i f i c a t i o na c c u r a c yo ft h e m o d e lc a nr e a c h9 9.3 8%,w h i c hh a sc e r t a i na d v a n t a g e si nt e r m so fa c c u r a c yc o m p a r e dw i t ho t h e r r e l a t e ds i m i l a rm e t

8、h o d s.K e yw o r d s e n c r y p t e dp r o x y;s t r e a mr e a s s e m b l y;s t r e a mf e a t u r e i m a g e;d e e p l e a r n i n g;c o n v o l u t i o n a ln e u r a ln e t w o r k摘 要 提出了一种基于卷积神经网络的加密代理流量识别方法.首先对使用自主部署、自主采集方法捕获的原始加密流量进行流还原操作,然后提取还原后数据流的前N个数据包的前LL个字节,组成1张(H e i g h t,W i d t

9、 h,C h a n n e l)为(NL,L,1)像素的灰度图片,作为该数据流的流特征图(s t r e a mf e a t u r e i m a g e).此后将全部的样本分成训练集、验证集、测试集,分别输入设计的卷积神经网络模型进行训练、验证和测试.最后,通过选取不同的前N个数据包和包长策略L组合进行实验,测得在N=4,L=4 04 0时,该模型的最高识别准确率能够达到9 9.3 8%,与其他相关同类方法相比,在准确率方面有一定的优势.关键词 加密代理;流还原;流特征图;深度学习;卷积神经网络中图法分类号 T P 3 9 3.0 8 网址 http:/|723学 术 论 文Resea

10、rch Papers 网络代理是一种特殊的网络服务,它允许一个网络终端(通常称为客户端)通过该服务与另一个网络终端(通常称为服务器端)进行非直接的交互.代理服务器(p r o x ys e r v e r)代表客户端向服务器端获取数据,更形象地说,它是网络通信的中介,负责转发合法的网络请求,能够对接收到的请求进行访问控制.代理技术能够在一定程度上隐藏网络终端的真实信息,并提供基本的网络边界隔离1.网络代理技术在提供便捷的网络服务的同时,也存在窃取和篡改用户数据、侵犯用户隐私等问题.不法分子也会利用网络代理技术能够间接访问的特性,突破I P封锁的限制,绕过防火墙和入侵检测系统的防护,规避国家网络

11、安全部门的监管,非法访问被国家禁止的境外网站,触犯国家的相关法律2.多数的代理服务器支持将加密、伪装、混淆等技术和代理技术相结合,极大地增加了网络监管的难度,对国家、社会和个人的网络与信息安全造成严重威胁.这就要求我们能够对这部分加密代理流量进行精准的识别.鉴于此,本文提出了一种基于卷积神经网络的加密代理流量识别方法.与以往加密流量识别方法不同的是,本文方法加入了对原始流量的流还原操作,然后为每个训练样本生成1张流特征图,并将其作为卷积神经网络的输入进行训练.最后利用测试集对训练的模型进行评价.实验结果表明,本文方法能够高效、快速地对加密代理流量进行识别,并取得了较高的准确率.1 相关工作目前

12、针对加密代理流量的识别研究工作偏少,更多的研究是对普通的加密流量进行识别.普通的加密流量大多依附于某一特定的应用或协议.这些应用或协议在传输建立阶段存在明文交互的过程,后续的数据传输阶段虽然数据经过加密处理,但是由于基于公开特定的协议存在较为明显的流量特征3,而加密代理流量则多数基于自实现的私有协议,通过第三方渠道预共享加密算法和密钥的机制,实现了全域数据加密,避免了明文传输的阶段,且部分应用支持流量混淆和协议伪装技术,以规避相应的流量检测,加大了识别的难度4.两者的主要异同如表1所示:表1 常见加密应用协议与加密代理应用对比应用协议协议公开流量混淆协议伪装O p e n V P N是否否H

13、t t p s是否否O p e n S S H是否否S h a d o w s o c k s否否否S h a d o w s o c k s R否是否T r o j a n否是是V 2 R a y否是是早期的流量分类方法主要有基于端口和基于有效载荷的分类方法5.基于端口的分类方法通过假设大多数应用程序使用默认的端口号来推断流量的类型.然而端口伪装、端口转发、端口随机化等技术的应用使得该方法的可靠性显著降低.基于有效载荷的方法亦称作深度包检测(d e e pp a c k e t i n-s p e c t i o n,D P I)技术,通过匹配数据包的载荷内容来确定流量类别.以上2种方法均不

14、适用于加密代理流量的识别,加密代理软件多数使用高位随机端口,且D P I技术无法识别加密后的数据包6.当下对于加密流量识别的研究工作主要集中在机器学习相关的方法上.根据使用的机器学习算法不同,可以分为基于统计特征的机器学习算法和基于神经网络的深度学习算法7.基于统计特征的机器学习算法对加密流量的识别主要存在2个问题:其一是需要对待分类的加密流量提取多维的特征集,特征的选取高度依赖人工经验,不同的特征集对识别结果影响巨大;其二就是基于统计特征的机器学习算法存在很大的局限性,难以表征复杂的内在规律8.王勇等人9提出了基于L e N e t-5深度卷积神经网络的分类方法,通过不断调整参数产生最优分类

15、模型,测试结果表明该方法优于主成分分析、稀疏随机映射等方法;王伟1 0提出一种基于C NN的异常流量检测方法,该方法利用C NN特征学习能力,准确地对流量的特征进行提取,将提取到的特征用于流量分类并取得了良好的结果,最终将该模型用于异常流量检测;陈雪娇等人1 1利用卷积神经网络的识别准确率高和自主进行特征选择的优势,将其应用于加密流量的识别,测试结果表明该方法优于D P I方法.L i m等人1 2利用深度学习提出了基于数据包724|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No

16、.8 Aug.2023的网络流量分类方法,该方法提取网络会话中的前几个数据包将其处理成等长的向量,然后利用C NN和R e s N e t进 行 训 练 和 流 量 分 类;R a n等人1 3提出了一种将3维卷积神经网络应用于无线网络流量分类的方法,实验结果表明该方法优于1维和2维卷积神经网络;W e i等人1 4提出了基于表征学习的恶意流量分类方法,将原始流量数据视为图片,用图片识别的C NN模型进行分类,取得了理想的结果.总结现有文献,本文将卷积神经网络模型应用于加密代理流量的识别.主要创新和工作点如下:1)参照图像识别领域经典的L e N e t-5网络模型,设计了包含2个卷积 池化层

17、和2个全连接层的卷积神经网络分类模型;2)自主部署并捕获主流加密代理软件的原始流量;图1 本文方法处理流程框架3)利用L i b n i d s入侵检测库实现T C P UD P流的还原工作,弥补了现有研究直接使用原始流量包的缺陷;4)提出了流特征图概念,截取每条数据流的前N个数据包的LL个字节,拼接成1张(NL,L,1)像素的灰度图片,作为C NN分类模型的输入;5)通过选取不同的训练参数和超参数,对设计的分类模型进行训练、验证和测试,并对实验结果进行分析比对.2 设计与实现2.1 方法概述图1所示为本文方法的处理流程框架,具体步骤如下:步骤1.本文实验选用S h a d o w s o c

18、 k s,S h a d o w-s o c k s R,T r o j a n,V 2 R a y这4款当下使用较多的加密代理软件.步骤2.部署以上加密代理软件的服务器端,并由客户端发起真实的代理请求.在此过程中,在服务器端执行t c p d u m p-i e t h 0 t c pa n dp o r tP O R Ta n dn o t a r pa n dn o t i c m pa n dn o t i pm u l t i c a s t-wA P P.p c a p n g进行精准流量捕获.其中P O R T为具体加密代理的部署端口,A P P为具体的加密代理软件名.步骤3.使

19、用L i b n i d s库对捕获的原始流量进行流还原,同时将还原后的每条数据流的前N个包载荷存储在M y S Q L数据库中.步骤4.使用P y T o r c h框架构建卷积神经网络模型.步骤5.读取M y S Q L数据库,构建流特征图 网址 http:/|725学 术 论 文Research Papers集合,并将全部的数据集按照7 1 2的比例分成训练集、验证集和测试集.步骤6.将训练集和验证集分别输入模型进行训练,训练集负责训练模型参数,验证集确定终止训练条件.步骤7.由测试集对训练的模型进行评价.2.2 预备知识定义1.流特征图(s t r e a mf e a t u r e

20、 i m a g e).1条数据流本质上是一系列数据包字节的有序组合,截取每个数据流前N个数据包载荷的前LL字节,按照列方向拼接成1张(H e i g h t,W i d t h,C h a n n e l)为(NL,L,1)像素的灰度图片,称为该数据流的流特征图,如图2所示.经过还原的数据流本质上是一个序列不等长的字节流.每个字节由8 b组成,这与图像中的1个像素取值范围相符合.本文认为数据流开始后的前N个包对识别工作起了至关重要的作用,前N个包更能表现数据流的根本特征,后续数据包更多地取决于加密代理服务的上层应用,而非加密代理本身.由于每个数据包的载荷长度不同,而C NN模型的输入要求一致

21、,因此还需对每个数据包载荷进行填充或者截取,以实现归一化处理.图2 流特征图的生成 定义2.UD P流.为生成流特征图,需要提取数据流的前N个数据包,这就要求我们能够明确数据流的开始与结束.T C P协议天然支持流式传输,分别使用3次握手和4次挥手数据包,标识流的开始与结束.而UD P协议是一种无连接的传输协议,仅提供B e s t-E f f o r t最大努力交付服务,无需建立连接便可发送数据,亦无传输结束数据包.为此,本文参考L i n u x3.0内核T C P I P协议栈的实现,选取2倍的t c p_f i n_t i m e o u t作为U D P流的超时结束时间,即1 2 0

22、 s,对1个U D P流作出如下定义:相同UD P五元组第1个UD P包记为UD P流的开始,当该五元组在1 2 0 s内未收到新的数据包时,认为该UD P流结束.当作出以上定义后就可以将T C P流与UD P流统一对待,以下文中将不再对T C P流与UD P流作明确的区分,统一称为数据流.2.3 卷积神经网络相较基于统计特征的机器学习方法,使用卷积神经网络模型进行分类省去了特征提取的过程,特征的选择更加依赖人工经验,费时费力.通常卷积神经网络适用于图像识别,所以如何实现数据流到图像的转换,也是流量分类过程中一个很重要的环节,本文方法利用流特征图来表征数据流.参照经典图像识别模型L e N e

23、 t-5,本文设计了如下卷积神经网络:2个(卷积层+池化层)和1个线性层(包含2个全连接层),如图3所示,各层参数如表2所示.2.4 处理框架2.4.1 数据流还原在前文所述的文献中,多数采用基于原始流量包的处理策略,将p c a p n g文件中记录的原始流726|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023图3 卷积神经网络模型表2 C N N模型参数层类型输入维度输出维度C o n v 2 d-1卷积1,1 6 0,4 01 6,1 6 0,4 0B

24、 a t c h N o r m 2 d-2标准化1 6,1 6 0,4 01 6,1 6 0,4 0R e L U-3激活函数1 6,1 6 0,4 01 6,1 6 0,4 0A v g P o o l 2 d-4平均池化1 6,1 6 0,4 01 6,8 0,2 0C o n v 2 d-5卷积1 6,8 0,2 03 2,8 0,2 0B a t c h N o r m 2 d-6标准化3 2,8 0,2 03 2,8 0,2 0R e L U-7激活函数3 2,8 0,2 03 2,8 0,2 0A v g P o o l 2 d-8平均池化3 2,8 0,2 03 2,4 0,1

25、 0L i n e a r-9线性层3 2,4 0,1 01,1 2 8L i n e a r-1 0线性层1,1 2 81,5量剔除数据链路层帧头、I P头、T C P UD P头后,按照包抵达的先后形成数据包序列,直接作为神经网络的输入进行训练.对于数据流的还原工作很少提及,但本文认为对原始数据流的还原是必不可少的.互联网链路是不可信、不可靠、不确定的,特别是加密代理流量多数情况下需跨境数据传输,数据包在国际骨干网络传输的过程中可能会出现丢包、坏包、重复、乱序、分片、分段等情况.单纯地读取p c a p n g文件中的某个包并不能反映发送端原始发送的数据.对于捕获的原始流量首先需进行数据流

26、的还原,重现网络内容,还原真实网络数据.本文选用L i b n i d s(l i b r a r yn e t w o r ki n t u s i o nd e t e c t i o ns y s t e m)1 5网络入侵检测开发包进行数据流还原.L i b n i d s基于l i b p c a p和l i b n e t开发,仿照L i n u x内核中的T C P I P协议栈实现,将原本在内核空间中完成的I P包校验、去重、I P碎片重组、T C P分段还原在用户空间实现,对上层的处理逻辑提供还原后的真实流量.2.4.2 模型构建本文选用P y T o r c h1 6机器学

27、习库进行卷积神经网络模型的构建.P y T o r c h是一个开源的P y t h o n机器学习库,基于T o r c h实现提供了强大的深度学习能力,并能够利用G P U算力加速张量计算.模型训练流程如下:输入:超参数、训练参数、训练集、验证集、测试集;输出:加密代理识别模型.超参数、训练参数初始化;WH I L Ee p o c hE P O CHSd o 选取批次训练数据T iT r a i n_D a t a s e t,正向传播,计算预测值;计算训练样本交叉熵损失函数值C r o s s E n t r o p y L o s s;随机梯度下降法,反向传播更新损失函数对模型参数的

28、梯度;选取批次验证数据V iV a l i d a t i o n_D a t a s e t;计算验证样本在当前e p o c h轮次训练模型的损失函数值和准确率;验证样本的损失函数值和准确率是否达到阈值,如果达到结束训练,否则转;E N D WH I L E测试集输入训练好的模型,对训练模型进行评价.网址 http:/|727学 术 论 文Research Papers3 实验与分析3.1 实验数据集目前暂无公开的加密代理流量相关的数据集,因此本文采用自主部署、自主采集的方法获取原始的流量.经过广泛的调研,选择了S h a d o w s o c k s(以下简称S S),S h a d

29、o w s o c k s R(以下简称S S R),V 2 R a y,T r o j a n这4款主流的加密代理软件.同时作为对比,加入了普通加密流量H t t p s流量,以便更好地对比分析.本文的实验数据采集环境如图4所示,样本数如表3所示.图4 原始流量采集表3 数据集样本数数据标签训练样本验证样本测试样本H t t p s2 8 8 64 1 28 2 6S h a d o w s o c k s3 5 9 85 1 41 0 2 8S h a d o w s o c k s R4 2 7 06 1 01 2 2 0V 2 R a y4 3 1 46 1 61 2 3 4T r o

30、 j a n3 0 2 94 3 28 6 7合计1 8 0 9 72 5 8 45 1 7 53.2 实验评价标准本文使用分类准确率和模型构建时间开销作为分类效果的评价标准,并通过混淆矩阵(c o n f u-s i o nm a t r i x)计算准确率.混淆矩阵是一个NN的矩阵,其中每列代表预测类别,每行代表数据的真实归属类别,如表4所示:表4 混淆矩阵预测值真实值正样本负样本预测正例T P(t r u ep o s i t i v e)F P(f a l s ep o s i t i v e)预测负例FN(f a l s en e g a t i v e)TN(t r u en e

31、g a t i v e)准确率表示所有的预测正确(正类和负类)占总体样本的比重:A c c u r a c y=T P+TNT P+TN+F P+FN.3.3 实验结果分析为了验证本文方法的可行性,本文进行了一系列的实验.重点关注2个纬度对识别效果的影响,分别是:不同的前N个数据包和不同的包长选取策略L.图5 数据包载荷长度分布1条数据流本质上是一系列数据包的有序组合,理论上选取的数据包个数越多,能够表征的信息也越多.当选取该流全部的数据包时,则能够完整地表征该数据流.但是出于性能和实时性的考虑,本文仅选取前N个数据包进行训练.同时,后续的数据包可能会导致训练的模型过拟合,降低模型的普适性.在

32、本实验中分别选取N为1,2,4,8这4种情况进行模型训练.通过分析数据流的包长分布(如图5所示),728|信 息 安 全 研 究Journal of Information Security Research第 9 卷 第 8 期 2023 年 8 月Vol.9 No.8 Aug.2023本文将载荷长度分成4个区间,分别为0,1 0 0),1 0 0,4 0 0),4 0 0,9 0 0),9 0 0,1 6 0 0).因此,选择4种包长截取策略:1 01 0,2 02 0,3 03 0和4 04 0.当选取1 01 0流特征图生成策略时,会导致大部分数据包发生截断;选取4 04 0时,则全部

33、数据包均需进行 x 0 0填充;选取2 02 0和3 03 0时,部分载荷截断、部分填充,介于以上两者之间.3.3.1 分类准确率本文的实验结果如表5所示.可以看出,当N=1时,识别准确率显著低于其他情况.这是由于数据包过少导致模型欠拟合.当N=4,L=4 04 0时,识别准确率最高,达9 9.3 8%.此后,当N增长到8时,准确率有所下降,可见当N增长到一定值后,N的增长会导致模型的过拟合.表5 不同N,L组合的准确率%载荷长度L前N个包12481 01 08 1.5 18 1.1 28 2.9 88 4.2 22 02 08 1.4 38 3.0 68 1.5 18 6.3 83 03 0

34、9 5.6 49 5.2 19 8.5 39 7.8 34 04 09 5.2 49 6.1 09 9.3 89 8.6 9图6 典型流特征图(N=4,L=4 04 0)图6所示为N=4,L=4 04 0时生成的典型流特征.模型训练过程中训练集、验证集的损失函数值、准确率变化趋势,以及最终的分类混淆矩阵分别如图7和图8所示.从图7可知,经过8轮的迭代训练之后,该模型的损失函数值及准确率趋于稳定.由此表明,该方法具有极快的收敛速度.图7 损失函数和准确率图8 测试集混淆矩阵3.3.2 时间开销在追求高准确率的同时,也应关注模型构建的时间开销.不同前N个包和载荷长度L组合在训练模型时的时间开销如表

35、6所示.可以看出,随着N和L的增加,模型构建的时间开销显著增长.表6 不同N,L组合的模型构建时间开销s载荷长度L前N个包12481 01 05 0.5 95 2.0 15 6.1 66 8.3 12 02 01 0 7.4 41 1 3.5 51 3 2.9 91 5 7.3 53 03 03 1 2.8 13 5 4.4 73 7 9.0 44 3 5.7 34 04 05 2 1.3 75 8 1.7 36 2 5.7 37 1 5.0 0如果将识别准确率阈值设为9 8%,那么在N=4,L=3 03 0时,能够达到建模性能与识别效果之间较好的平衡.网址 http:/|729学 术 论 文

36、Research Papers3.3.3 同类方法对比为了更好地评估本文提出的分类方法,选取参考文献中典型分类方法与其对比,如表7所示.可以看出,在分类准确率方面,本文方法具有一定的优势.表7 同类方法对比方法来源方法模型分类对象准确率%文献61 D-C NN与L S TM融合加密恶意流量9 9.0 1文献1 1载荷字节矩阵(C NN)加密流量9 8.3 4文献1 4表征学习(C NN)恶意流量9 7.4 1文献1 7多流特征(L S TM)S S L加密流量9 9.5 0文献1 8层次聚类(S VM)异常流量9 9.0 0本文方法流特征图(C NN)加密代理流量9 9.3 84 结 语本文提

37、出了一种基于卷积神经网络的加密代理流量识别方法,并在真实捕获的流量数据集上验证了该方法的有效性.实验结果表明,在N=4,L=4 04 0的情况下,本文方法的准确率能够达到9 9.3 8%.该方法能够实现加密代理流量的精准识别工作,并为后续针对非法代理流量的监测、阻断、回溯等提供依据.下一步的工作将围绕以下2点展开:1)探索该方法在大流量、高速率核心节点的实时应用;2)由于目前缺乏公开的加密代理流量数据集,实验结果高度依赖自采流量,方法的适用性有待更加广泛和标准的数据集进行验证;3)考虑到1条数据流是一系列有序数据包的集合,存在一定的时序特征,未来尝试使用L S TM循环神经网络充分利用该特性,

38、以提高识别的准确率1 9.参考文献1 吕英豪,陈嘉耕.一种新的轻量级安全代理协议J.信息安全学报,2 0 2 1,6(3):1 0 61 2 42 张正旭,许源.网络监管下的上网代理类插件分析与研究J.网络空间安全,2 0 2 0,1 1(6):4 34 93 潘吴斌,程光,郭晓军,等.网络加密流量识别研究综述及展望J.通信学报,2 0 1 6,3 7(9):1 5 41 6 74 何杭松.基于X g b o o s t算法的S h a d o w s o c k s流量识别研究J.软件导刊,2 0 1 8,1 7(1 2):2 0 02 0 35 鲁刚,张宏莉,叶麟.P 2 P流量识别J.软

39、件学报,2 0 1 1,2 2(6):1 2 8 11 2 9 86 翟明芳,张兴明,赵博.基于深度学习的加密恶意流量检测研究J.网络与信息安全学报,2 0 2 0,6(3):6 67 77 赵双,陈曙晖.基于机器学习的流量识别技术综述与展望J.计算机工程与科学,2 0 1 8,4 0(1 0):1 7 4 61 7 5 68 李勤,师维,孙界平,等.基于卷积神经网络的网络流量识别技术研究J.四川大学 学报:自然 科学版,2 0 1 7,5 4(5):9 5 99 6 49 王勇,周慧怡,俸皓,等.基于深度卷积神经网络的网络流量分类方法J.通信学报,2 0 1 8,3 9(1):1 42 31

40、 0 王伟.基于深度学习的网络流量分类及异常检测方法研究D.合肥:中国科学技术大学,2 0 1 81 1 陈雪娇,王攀,俞家辉.基于卷积神经网络的加密流量识别方法J.南京邮电大学 学报:自然 科学版,2 0 1 8,3 8(6):3 64 11 2L i m H K,K i mJB,H e oJS,e t a l.P a c k e t-b a s e dn e t w o r kt r a f f i cc l a s s i f i c a t i o nu s i n gd e e p l e a r n i n gC P r o co f2 0 1 9I n t C o n f o n

41、 A r t i f i c i a lI n t e l l i g e n c ei n I n f o r m a t i o n a n dC o mm u n i c a t i o n(I C A I I C).P i s c a t a w a y,N J:I E E E,2 0 1 9:4 65 11 3R a nJ,C h e n Y,L iS.T h r e e-d i m e n s i o n a lc o n v o l u t i o n a ln e u r a ln e t w o r k b a s e d t r a f f i c c l a s s i

42、f i c a t i o n f o r w i r e l e s sc o mm u n i c a t i o n sC P r o co f2 0 1 8I E E E G l o b a lC o n fo nS i g n a l a n dI n f o r m a t i o nP r o c e s s i n g(G l o b a l S I P).P i s c a t a w a y,N J:I E E E,2 0 1 8:7 1 27 1 71 4W e i W,M i n g Z,Z e n g X,e t a l.M a l w a r e t r a f f

43、 i cc l a s s i f i c a t i o n u s i n g c o n v o l u t i o n a l n e u r a l n e t w o r k f o rr e p r e s e n t a t i o nl e a r n i n gC P r o co f2 0 1 7I n tC o n fo nI n f o r m a t i o nN e t w o r k i n g(I C O I N).P i s c a t a w a y,N J:I E E E,2 0 1 7:2 5 72 6 51 5L i b n i d s(L i b

44、r a r y n e t w o r k i n t u s i o n d e t e c t i o n s y s t e m)E B O L.2 0 2 2-0 9-1 3.h t t p:l i b n i d s.s o u r c e f o r g e.n e t 1 6P y T o r c hE B O L.2 0 2 2-0 9-1 3.h t t p s:p y t o r c h.o r g 1 7 于海东,邢明.基于机器学习多模型的S S L加密威胁检测技术研究和应用J.信息安全研究,2 0 2 1,7(增刊1):1 5 11 5 71 8 蹇诗婕,卢志刚,姜波,等.基于层次聚类方法的流量异常检测J.信息安全研究,2 0 2 0,6(6):4 7 44 8 11 9 邹源,张甲,江滨.基于L S TM循环神经网络的恶意加密流量检测J.计算机应用与软件,2 0 2 0,3 7(2):3 0 83 1 2李 敬硕士,工程师.主要研究方向为信息安全、高性能计算.j i n g.l i i a t.c n