基于混合神經網絡的惡意加密流量識別方法*

張 靜 苗水清 吳曉暉

(延安大學西安創新學院 陜西西安 710100)

隨著網絡技術的快速發展，越來越多的應用程序被開發出來，尤其是在網絡安全領域的應用[1]。但是，加密技術也為惡意流量的攻擊提供了便利。過去黑客主要利用防火墻、IDS、SSL等技術來進行入侵檢測，但這并不能保證網絡數據的安全[2]。隨著技術的進步，黑客在攻擊過程中，也加密了自身的惡意攻擊流量，使得攻擊行為越來越隱蔽。因此，惡意加密流量識別對于網絡安全有著重要的意義。對于提高網絡安全性來說，惡意流量識別可以幫助網絡安全廠商識別和阻斷非法訪問，從而提高網絡的安全性[3]。惡意流量識別可以幫助網絡安全廠商識別遠程訪問的請求，從而避免遠程入侵的風險。不僅如此，惡意流量識別可以幫助網絡安全廠商監測各種網絡活動，例如入侵檢測、反病毒軟件等[4]，通過識別惡意流量，網絡安全廠商可以防止黑客攻擊，保護用戶的數據和隱私安全。

針對這種惡意加密流量來說，如何有效識別惡意加密流量成為了當前網絡安全領域研究的一個重要方向，一般都是將加密流量和正常流量進行混合訓練。而對于惡意流量分類，在實際的識別過程中，針對網絡惡意加密流量識別方法在實際應用中，受到人為經驗干預較大，影響惡意加密流量識別的結果。因此，文章提出了一種基于混合神經網絡的惡意加密流量識別方法，能夠有效識別各種加密方式的網絡流量。

1惡意加密流量識別方法研究

1.1流量數據預處理

在對惡意加密流量進行識別的過程中，首先需要截取一個時間段內的全部流量，并從中進行篩選。流量數據包是網絡活動中的基本傳輸單元，流量數據在實際使用中，不同類型的格式都是相對固定的[5]。在日常網絡中的數據交互過程中，對產生的流量數據進行預處理，能夠保證通信過程中的數據不會丟失，進一步保證雙方的對話數據流中交互信息的完整性。流量數據的預處理主要包括對網絡數據包進行提取、將數據包按照時間戳進行分組、將數據包按照端口號進行分組。下面以端口號為例，對網絡流量的預處理進行介紹。會話表示如下：

P=

(1)

式(1)中，p1…pn表示網絡數據傳輸交互過程按照時間排序的數據包，bi表示網絡流分層結構的五元組信息，li表示分層結構數據包的長度和，ti表示時間。端口號是指一個數據包的主機地址的相關編號，同時也能夠作為防火墻在判定網絡流量是否合法的主要依據[6]。在對網絡流量進行預處理時，對端口號進行提取是一種較為常用的方法，其主要流程如圖1所示。

圖1 流量預處理流程

通過圖1可以看出，網絡流量的端口號與 IP地址之間存在著較強的相關性，因此文章通過統計端口號與 IP地址之間的關系來識別惡意流量。在對網絡流量進行分類時，還需要考慮其他因素對端口號與 IP地址之間關系的影響[7]。其中最重要的因素是對 IP地址進行分組時所采用的“二進制”方式。針對于 IP地址和端口號之間存在著較強相關性這一問題，文章提出了一種基于“二進制”方式對其進行分組的方法，“二進制”方式即為將 IP地址與端口號按照“1-9”的順序分組。通過以上步驟，文章對網絡流量數據包進行了預處理，使得網絡數據包中可以包含更多信息，從而提高了網絡流量分類任務的準確性。此外，這種方法還可以避免對正常流量進行分類時出現的重復分組問題。至此完成流量數據的預處理。

1.2建立基于混合神經的網絡模型

在對惡意加密流量進行分類時，需要從網絡數據流中提取出有效特征，以實現惡意加密流量的識別，而這一過程中最重要的就是特征的選取[8]。在傳統的機器學習過程中，內置算法沒有足夠的空間進行自學。文章建立的基于混合神經網絡的識別模型如圖2所示。

圖2 混合神經網絡模型

如圖2所示，文章使用混合神經建立網絡模型，其層次從功能上進行劃分，第一層能提取出惡意加密流量的特征，第二層能在流量數據集中對惡意加密流量進行識別。在文章建立的模型中，第一層的功能主要是進行惡意加密流量的特征提取[9]。惡意加密流量特征可以劃分為協議狀態序列特征、數據包長度序列特征、協議擴展字段特征等。文章以PCAP網絡加密流的文件形式為例進行分析，其格式如圖3所示。

圖3 PCAP網絡加密流格式分析

從圖3可以看出，經過預處理之后的數據集能夠更好地代表特征空間。具體來說，通過網絡模型能夠提取出以下三個方面的特征：①第一個特征是數據包在整個網絡中的傳輸時間。通過該特征可以判斷網絡流量是否存在異常情況；②第二個特征是數據包在整個網絡中傳輸的位置[10]。通過該特征可以判斷出網絡流量是否來自于內網；③第三個特征是加密類型。將文章所設計的混合神經網絡模型，根據功能的不同進行分層。模型共兩層，其中第一層采用VGG16架構，主要負責提取出流量數據集中的相關特征；第二層采用PyTorch架構，將提取到的特征進行輸入，經過算法計算，完成惡意加密流量的識別。至此完成基于混合神經網絡模型的設計。

1.3惡意流量識別算法優化

針對傳統神經網絡的局限性，文章提出了一種基于混合神經網絡的惡意流量識別方法，并在此基礎上進行了算法優化。文章將數據集按照流量大小分為三個子集：小數據集、中等數據集和大數據集，分別采用不同的混合神經網絡模型對網絡流量進行分類識別。具體算法優化流程如下：

(1)采用機器學習和深度學習相結合的方法對網絡流量進行分類識別，對于小數據集和中等數據集，使用機器學習模型進行分類識別；混合神經網絡在訓練過程中主要是基于梯度，采用代價函數來計算偏導數進行參數的更新。其中代價函數表示為：

(2)

(2)在小數據集中，采用基于傳統機器學習的方法進行分類識別；在中等數據集中采用基于深度學習的方法進行分類識別；在大數據集中采用機器學習和深度學習相結合的方法進行分類識別。在此過程中，梯度會隨機產生變化。為了防止梯度消失，造成識別出現誤差，選擇引入激活函數來控制梯度差：

ReLu：f(x)=max(0，x)

(3)

式(3)中，混合神經網絡中的輸出層神經元的激活函數能夠代替均方誤差函數。

(3)對于網絡流量樣本集，在訓練前將網絡流量樣本分為惡意加密流量、惡意正常流量、非惡意加密流量、非惡意正常流量。對于不同類型的流量，在進行混合神經網絡的訓練過程中，需要采用不同的機器學習模型對其進行訓練。并且按照上述的流量進行劃分，得到適用于模型的訓練集和測試集，在不同的數據集中搭建不同功能的網絡模型進行訓練。

(4)對于加密流量和非加密流量的分類識別問題，文章將兩者分別訓練一個神經網絡模型。在訓練過程中，將加密流量和非加密流量分別作為輸入，通過混合神經網絡模型對其進行分類識別。

(5)對于混合神經網絡模型中的學習率、正則化系數、交叉熵損失函數等參數設置問題，文章將采用遺傳算法對其進行優化。根據優化后的網絡模型對不同加密方式的網絡流量樣本集進行分類識別。實驗結果表明：優化后的混合神經網絡模型具有更好的性能表現。

在以上的識別流程中，在混合神經網絡結構中使用相關的函數進行求解和訓練，能夠減小神經網絡的體積，避免在識別過程中發過度擬合。至此完成基于混合神經網絡的惡意加密流量識別方法的設計。

2方法性能驗證

2.1實驗設置

文章主要研究的是基于混合神經網絡的惡意加密流量識別方法的有效性，根據完整的信息數據交流過程，實驗步驟主要設計為兩部分：數據預處理和特征整合。選擇一套簡單的請求響應程序，包含大部分惡意流量，組成一個樣本惡意數據集。系統結構如圖4所示。

圖4 文章識別流程

實驗結果選用響召回應準確率、召回率、召回準確率調和平均數來評定，準確率具體公式如下：

(4)

式(4)中，TP為正確預測為惡意加密數量，FN為錯誤預判為惡意加密數量。另一指標召回率的具體公式如下：

(5)

式(5)中，FP為錯誤預判為非惡意加密數量。

(6)

(7)

式(6)中，TN為正確預測為非惡意的非加密數量。在以上的指標計算下，分別使用文章設計的基于混合神經網絡的惡意加密流量識別方法和傳統的流量識別方法共同進行測試，并將實驗結果進行對比與分析。

2.2實驗結果對比

在以上的實驗條件下，使用文章設計的基于混神經網絡的惡意加密流量識別方法、基于序列監測的識別方法、基于端口檢測的識別方法、基于特征檢測的識別方法得到的檢測準確率如圖5所示。

(1)基于序列檢測的識別準確率

實驗使用收集到的數據集進行不同方式驗證，對比精確率、召回率、F和檢測時間，試驗結果如圖6所示。

圖6 惡意加密流量識別方法的實驗結果

經過對4種不同試驗結果進行分析發現，文章設計的基于混合神經網絡的惡意加密流量識別方法，具有較好的檢測性能，精確率和召回率都遠遠高于其他檢測方式，F值也一直保持98%的檢測精度，穩定性更高。

3結語

文章提出了一種基于混合神經網絡的惡意加密流量分類方法。首先在訓練數據集上訓練模型，然后將模型應用到測試數據集中進行測試，最后將測試數據集作為訓練數據集，使用經過預處理過的加密流量樣本作為模型的輸入數據進行訓練。通過實驗驗證，文章提出的模型相比于傳統的機器學習模型和深度學習模型，在實際應用中表現出了較好的識別性能。同時，文章提出的混合神經網絡模型還具有一定的可解釋性，這在一定程度上保證了系統在實際應用中的魯棒性。但是，由于文章所提出的方法是針對加密流量進行識別，因此在未來的工作中還需要進一步考慮如何提高識別準確率。此外，文章提出的模型仍有一些不足之處，未來還需進一步改進。