移动加密流量分类识别研究

引用 

随着移动网络的飞速发展，移动通信给人类社会带来了巨大的变革，一部手机几乎涵盖了人们日常生活的方方面面，如移动支付、网购、外卖、打车、导航等应用，这导致了移动业务流量的爆发式增长，所以在过去的几十年里，移动网络流量分类一直是移动网络管理、安全检测领域的研究热点。但在人们享受移动网络带来便利的同时，移动终端面临的安全问题也日益严峻，推销电话和垃圾短信日益猖獗，网络诈骗时有发生，手机病毒、木马植入、窃听窃照事件层出不穷，手机用户的隐私和财产安全受到了严峻威胁。

为应对安全风险，越来越多的移动服务采用加密技术，将数据封装在加密隧道中进行传输，这在一定程度上解决了目前遇到的部分移动网络安全问题。但随着网络加密技术的应用，网络攻击手段更具有隐蔽性，攻击数据往往隐藏在加密数据中，这给移动网络流量分类带来了不小的挑战。虽然经典的机器学习方法可以解决基于端口和有效载荷方法不能解决的很多问题，但其仍然存在一定的局限。比如，机器学习需要人工提取特征，这个过程十分耗时耗力，并且随着特征更新越来越频繁，加重了人工提取的工作量。而在加密流量识别中，以往的基于深度包检测和机器学习方法的预处理准确率大大降低。数据包加密后原来的特征发生改变，传统的端到端的检测方法在加密流量识别检测时失效。深度学习具有良好的自动特征学习的能力，无疑成为了移动网络流量分类，特别是加密流量分类的理想办法。如何对移动加密流量进行快速准确及强鲁棒性的分类，以及在加密流量中如何有效地识别出恶意加密流量，已经成为目前移动通信安全领域急需解决的问题。

一、网络流量分类

a)一般流量分类

近年来，学术界和工业界对网络流量分类方法开展了大量的研究，并取得了丰硕的成果。按照使用技术的不同，传统的针对非加密网络的流量识别技术主要包括：端口识别技术、数据包深度检测技术、基于机器学习的流量识别技术和基于行为特征的流量识别技术等。

b)加密流量分类

按照所在ISO/OSI协议层的不同，流量加密分为应用层加密、传输层加密和网络层加密。应用层加密是指网络应用在应用层实现专用的加密传输协议，例如BitTorrent和Skype。传输层加密和网路层加密是指在各自协议层对上层数据包进行整体加密，代表技术分别为TLS和IPsec。

如图1所示，针对加密网络的流量识别技术主要包括[1-2]：基于明文数据有效负载检测的技术[3]、基于负载随机性的技术[4]、基于机器学习的技术[5]、基于主机行为的识别技术[6]、基于数据分组大小分布的技术[7]和基于多策略融合的方法[8]等。

按照具体业务需求不同，加密流量分类结果主要有三种：

-加密流量识别：将流量分为未加密流量和加密流量。

-流量特征刻画：将加密流量分为各种应用类型，例如视频、音频、聊天等。

-将加密流量分类至具体的某个网络应用。

其中，流量特征刻画是目前大部分研究的方向。

图1 加密流量识别研究进展

上述几类加密流量识别中，大多是基于某一个或者某几个特征拓展开来：

-基于有效负载的方法，从加密协议协商初期中未加密的数据流中提取有用的信息来识别协议或应用，该方法准确性高，但实时性较差；

-基于负载随机性的识别技术，需要依据数据分组中的一些相同特征字段的随机性来识别加密流量，该方法兼容性强，但实时性较差；

-基于机器学习的识别技术，以流统计为特征，受加密影响相对较小，该方法识别速度较快、实时性较高，但兼容性和稳健性较差；

-基于主机行为的方法，从主机的角度粗粒度地分析不同应用的行为特征，识别速度较快、识别粒度高，但兼容性较差；

-基于数据分组大小分布的方法，根据数据分组大小分布的差异性来识别，该方法受加密影响较小，识别速度较快、实时性和识别粒度较高，但兼容性较差；

-基于多策略融合的方法，将多种识别方法结合以实现高效识别，但大部分方法只对指定加密协议有效，且实时性较差[1-2]。

二、异常加密流量分类

随着移动通信网络安全问题越来越突出，如何对网络攻击造成的移动通信流量异常实施快速有效的检测，成为目前相关研究者十分关注的方向。目前常用的网络流量异常检测的方法主要分为四类[9]：基于分类的方法、基于统计的方法、基于聚类的方法和基于信息论的方法。

a. 基于分类的网络流量异常检测的方法[10]，是指根据有监督的机器学习的方式，采用基于网络流量分类的方法进行检测。具体又包括：支持向量机SVM、贝叶斯网络、神经网络等具体方法。

b. 基于统计的方法基本思想是假设给出的数据服从某种概率分布[11]，然后根据相应的模型并通过不一致性验证来发现异常数据，其中可以利用各种数理统计相关的方法技术，例如混合模型方法、信号处理方法、主成分分析方法等。

c. 基于聚类的方法是一种无监督的检测方法[12]，最大的优势是无需标注数据，而标注数据在实际应用中往往很难获取。

d. 基于信息论的方法，信息论中许多概念可以解释网络流量数据集的特征[13]，例如熵、条件熵、相对熵、信息增益等，利用信息论的方法建立相应的网络流量异常检测的模型来达到异常网络流量探测的目的。

三、总结与展望

尽管移动通信加密流量识别已经取得了一定的成果，但仍面临着许多挑战。例如，加密流量的动态性和变化性使得准确识别变得更加困难；同时，随着技术的发展，新的加密协议和算法不断出现，需要不断更新和改进识别方法以适应新的需求。随着5G、物联网、人工智能等技术的快速发展，移动通信加密流量的识别将迎来更多的发展机遇。未来的研究将更加注重方法的通用性和可扩展性，以适应不断变化的网络环境和多样化的应用需求。同时，随着安全需求的不断提升，移动通信加密流量的识别技术将在网络安全、国家安全等方面发挥更大的作用。

综上所述，移动通信加密流量识别是一个充满挑战和机遇的研究领域。未来的研究需要不断探索新的方法和手段，以适应不断变化的网络环境和多样化的应用需求，为移动通信的安全和发展做出更大的贡献。

参考文献

[1]陈良臣,高曙,刘宝旭等.网络加密流量识别研究进展及发展趋势[J].信息网络安全, 2019.19(3):19-25.

[2]藩吴斌,程光,郭晓军,黄顺翔. 网络加密流量识别研究综述及展望[J].通信学报, 2016,37(9):154-167.

[3] MA Ruolong. Research and Implementation of Unknown and Encrypted Traffic Identification Based on Convolutional Neural Network[D]. Beijing: Beijing University of Posts and Telecommunications,2018.

[4]李光松,李文清,李青. 基于随机性特征的加密和压缩流量分类[J],吉林大学学报(工学版),2020.09.

[5] Alshammari R, Zincir-Heywood A N. Machine Learning-based Encrypted Traffic Classification: Identifying SSH and Skype[C]//IEEE.2019 IEEE Symposium on Computational Intelligence for Security and Defense Applications, July 8-10,2009, Ottawa, ON, Canada. NJ: IEEE.2009:1-8.

[6] Wright C V, Monrose F, Masson G M. Using Visual Motifs to Classify Encrypted Traffic[C]//ACM. The 3rd International Workshop on Visualization for Computer Security, November 3, 2006, Alexandria, Virginia, USA. New York: ACM, 2006:41- 50.

[7] Gao Changxi, Wu Yabiao, Wang Cong. Encrypted Traffic Classification Based on Packet Length Distribution of Sampling Sequence[J]. Journal on Communications, 2015.36 (9):65-75.

[8]孙中军,翟江涛, 戴跃伟. 一种基于DPI和负载随机性的加密流量识别方法[J].应用科学学报,2019.9(05)

[9]王伟.基于深度学习的网络流量分类及异常检测方法研究[D].中国科学技术大学,2018.

[10] Yanmiao Li, Hao Guo, Jiangang Hou, et al. A Survey of Encrypted Malicious Traffic Detection. 2021 International Conference on Communications, Cybersecurity, and Informatics (CCCI), 2021. 9583191.

[11] Chen Tieming, Jin Chengqiang, Liu Mingqi, Zhu Tiantian. Intelligent detection method on network malicious traffic based on sample enhancement[J]. Journal on Communications, 2020,41(06):128-138

[12] Hwang R, Peng M, Huang C, et al. An unsupervised deep learning model for early network traffic anomaly detection[J]. IEEE Access,2020,8:30387-30399.

[13] Dai Rui, Gao Chuan, Lang Bo. SSL Malicious Traffic Detection Based On Multi-view Features. Proceedings of the 2019 the 9th International Conference on Communication and Network Security[C]. New York, NY, USA:ACM,2019.40-46.