基于数据包的加密流量分类系统

作     者：丁杰 

作者单位：广州大学 

学位级别：硕士

导师姓名：仇晶

授予年度：2022年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：加密流量分类 数据包 机器学习 用户隐私 

摘      要：随着互联网的不断发展,网络上的应用和协议层出不穷,为了保障用户数据在网络传输过程中的安全,对报文进行加密的技术应运而生。虽然不断迭代升级的加密协议保障了网络通信的安全,但是在另一方面,它也保护了黑客用于恶意攻击的流量不被网络入侵防御系统发现。由于解密用户流量这一行为与加密协议设计的初衷相悖,如何在不解密加密流量的情况下,对加密流量进行分类的研究技术受到了不断关注。加密流量分类技术是一种能够自动识别并分类加密流量,同时不依赖解密行为的新技术。加密流量研究主要分为两部分内容,首先是对加密协议的分析,其次是对加密流量自身特征的解析。加密流量分类方法主要分为基于传统机器学习的方法和基于深度学习的方法,两种方法各有异同。共同之处在于两种方法都依赖于对加密流量特征的提取,如何优化特征提高分类准确率是目前加密流量分类领域亟需解决的问题。区别在于传统机器学习方法需要人工提取特征,依赖于研究人员的专业经验,而深度学习方法则不需要。综合考虑上述特点,为了网络空间通信的安全性以及保障用户的隐私,本文实现了识别恶意行为的加密流量分类系统。主要包括以下工作:1.针对加密协议迭代升级导致旧版本加密流量分类系统不再可用的问题,本文提出基于数据包的加密流量分类器,内容包括:为了挖掘负载特征,该模型根据不同版本的加密协议进行分析并提取。由于流量的基本构成单位是数据包,流量分类研究主要集中于对流或者会话作为单位进行分析,忽略了数据包行为对于加密流量分类的影响。正常流量也会存在恶意行为的数据包,恶意流量也会存在正常行为的数据包。基于数据包的加密流量分类器通过对数据包行为进行聚类,引入了数据包特征,对加密流量进行分类。实验结果显示该模型可以充分学习到加密流量数据包行为特征,并检测出正常流量和恶意流量。2.针对深度学习在加密流量分类领域的发展,本文提出基时空特征的加密流量分类器。该研究设计使用工具切分原始流量包,以流或者会话两种不同的流量单位,将数据集进行特征转换。和常规用深度学习模型做加密流量任务研究不同,本文引入了数据包的时序关系,结合加密流量时间和空间上的特征做分类任务,时空特征的引入能够有效提升模型对加密流量的分类性能。实验结果显示基于时空特征的加密流量分类器能够同时提取加密流量时间和空间特征,并进行加密流量分类任务。3.本文设计并实现了一个可以在线上传流量数据并进行分类的系统。这个系统综合了上述两种分类器,实现了识别流量数据是否存在恶意行为的功能,并通过前端页面展示给用户系统模型训练过程、分类进度,展示流量数据最终分类结果。