本文是一篇计算机软件论文,本文首先对网络流量分类的研究背景以及研究意义进行了介绍,并对当前的网络现状进行了分析,以此来证明在网络检测中进行网络流量分类的必要性。鉴于早期的网络流量分类方法效率低下且工作繁琐,本文使用深度学习的方式进行流量分类实现端到端的流量分类,极大的节省了人工成本,提高了分类识别的效率。
第1章 绪论
1.1 研究背景及意义
中国互联网络信息中心发布了第50次《中国互联网络发展状况统计报告》[1]显示,我国网民规模为10.51亿,普及率达到74.4%。随着网民规模的持续增长,网络的接入方式也变得更加多元化,农村的网络基础设施逐渐实现覆盖,我国的现有行政村已实现宽带的覆盖,互联网普及率在农村地区达到58.8%,使用手机上网的比例达到99.6%,人均上网时长达到29.5个小时。除此之外,各大通信公司加大对5G的建设投入,5G的普及率也将随之增加。随着网络设施、上网设备、上网人数的增加,智能化家电以及网络应用不断走进千家万户,网络流量也随之呈现爆发式的增长,这无疑给网络的运行管理和网络安全防控带来巨大的挑战,各种网络攻击导致个人身份信息泄露,各类电信诈骗层出不穷。针对这些现象国家有关部门颁布了信息安全的相关法律法规,以打击网络安全有关的违法犯罪。因此对于网络的管理者,如何在提供更好服务的同时提升网络的管理水平,改善服务的质量,保证网络安全可靠的运行成为当下需要关注的问题。
网络安全是一个国家的隐形防线,在我国网络安全已经上升到国家战略级别。当下网络空间安全面临着严峻的挑战[2],随着越来越多的软件以及网络应用使用加密技术,如套接字(SSL/TLS),以及高校常用的虚拟专用网络(VPN)等,研究表明将近一半的流量通过SSL/TLS等协议进行了加密。加密技术是一把双刃剑,在网络的数据信息传输中,它起到保护数据的安全传输。但与此同时,恶意软件利用加密协议对恶意流量进行封装,以达到绕过网络防火墙以及躲避入侵检测软件的目的。
1.2 国内外研究现状
从上世纪开始,人们便开始对网络流量分类技术进行了大量的研究,Dainotti[5]等研究者们总结了网络流量分类技术的发展过程。1992年基于端口匹配的流量分类技术开始发展,由于端口匹配的流量分类检测存在明显的缺陷,1998年基于负载的深度报文检测(Deep Packet Inspection ,DPI)流量分类方法出现,取得了较好的成绩,并得到普遍使用。但随着网络加密以及地址变化技术的发展,上述两种流量分类技术已经难以满足当下检测的实际需要,早期的网络流量分类技术面临了挑战。直到2005年,Karagiannis等[6]提出了一种基于传输层的流量分类方法,这一状况才得以改善。近些年随着大数据、云计算技术,以及计算机硬件的快速发展,机器学习、深度学习技术得以应用到其中。
1.2.1 基于端口的流量识别分类的方法
基于端口号的网络流量分类技术是最早的网络流量分类识别方法,在互联网发展的初期,网络应用种类较少。在上世纪90年代,随着互联网应用的端口标号逐渐变得规范化后,网络应用使用固定的端口号,例如常见超文本传输协议HTTP对应的80端口,MySQL对应的3306端口,SSH对应的2端口,FTP应用协议对应的21端口。在获取流量数据的基础之上,不需要额外的硬件支持,根据数据包存储的端口号和应用的协议对应关系来区分不同网络应用所属的类型,并与互联网数据分配机构所公布的端口号进行比对。传统简单的网络环境下,端口号的变化不多,识别准确,因此在互联网发展的早期,这种分类方法复杂度低,准确性高,例如Cheng[7]提出了一种基于端口号连接模式的流量分类方法,用于区分不同服务器上的应用流量。
第2章 网络流量分类理论及深度学习技术
2.1 网络流量分类基础
2.1.1 网络流量
网络流量(Network Traffic)[41]是网络中的应用程序根据当前的网络协议所产生的具体行为,事实上是真实环境中的人使用网络中的应用进行的网络活动,网络流量由此产生,如图2-1所示。本论文的研究主要是基于TCP\IP(Internet Protocol, IP)协议所产生的互联网流量。数据要实现端到端的传输,实际上是以数据包的形式建立连接,而网络流量则是对其封装的高度抽象。互联网的标准架构为OSI(Open System Interconnect Reference Model, OSI)七层模型,OSI模型分别为:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。不同的是TCP\IP采用简化的四层架构模式,从上往下依次是:网络接口层、网络层、传输层、应用层。如表2-1所示。
网络接口层主要对应的是底层的网络设备包括网卡、网口等所需要的网络数据,并对相关的网络介质的传输和访问进行控制。网络层主要负责转发网络中的数据包,以达到各个网络主机之间的通信,其中为代表的是IP、ICMP等协议。传输层中代表的协议是TCP、UDP协议,负责应用程序之间的数据通信。应用层位于传输层之上,负责应用程序之间的交互,主要包括HTTP、FTP等协议。
2.2 深度学习技术概念及历史介绍
机器学习是实现人工智能的一种技术,国内知名研究者周志华教授认为,机器学习就是让计算机来学习经验数据生成算法模型,在面对情况时能做出有效判断[42]。深度学习属于机器学习的子部分,让计算机从数据经验中提高识别的技术。深度学习的第一次浪潮起源于McCulloch等[43]提出的对于任何满足某些条件的逻辑表达人们可以找到一个以它所描述的行事方式的神经元模型,该模型能做到两种分类的识别。第二次浪潮的到来源于分布式概念提出,以及Rumelhart等[44]提出的反向传播算法,成功将含有两个隐藏层的网络模型进行了训练,但随着计算机硬件技术的制约,神经网络的研究又再一次陷入低谷,直到使用网络预训练来训练深度学习网络的提出,第三次浪潮才正式开启。
深度学习技术的核心是随着神经网络的深入进行学习,对比传统的机器学习技术的浅层研究算法,机器学习技术在很多方面具有局限性。当需要表达复杂度较高的函数,例如复杂的非线性函数,在训练样本数据规模较小的情况下,泛化能力受到制约。深层次学习技术却可以很好的解决上述问题,例如,单隐藏层神经网络模型就可以对高维复杂度的函数进行解答。深层次的神经网络由更多的网络层数以及多样的网络结构构成,这使得对复杂函数的拟合能力得到了提升。如今,网络结构的层数已经超越了百层,微软使用的残差网路模型ResNet已经达到152层[45]。
第3章 基于深度残差收缩网络的恶意流量分类模型 ........................ 20
3.1 流量分类处理流程 .............................. 20
3.2 本章方法介绍 .............................. 21
第4章 基于注意力机制的 CNN-GRU 加密流量分类模型 .............. 32
4.1 引言 ............................ 32
4.2 本章方法介绍 .................................... 32
第5章 总结与展望 ............................ 43
5.1 工作总结 ........................ 43
5.2 工作展望 ..................................... 43
第4章 基于注意力机制的CNN-GRU加密流量分类模型
4.1 引言
随着网络安全技术的提升,网络程序大多使用了加密技术,网络流量加密逐渐成为一种标准,例如早期的web端服务使用的都是未经过加密的HTTP服务,只要使用抓包软件对数据进行抓取并分析即可获取用户与服务器的交互数据,这使得用户的密码等敏感数据被暴露。现在大多数互联网公司采用HTTPS加密协议,这使得抓取到的数据不再有明文,保障了一定的安全性,但大部分的恶意程序为了逃避入侵检测系统的监测,采用TLS技术对流量加密进行逃避,这增加了加密流量的分类检测难度。
根据网络协议层的不同,流量数据的加密类型一般分为传输层或称为表示层加密、应用层加密以及网络层加密[50]。网络层加密是指:为了保证数据包在网络中正确的传递。传输层加密是指:在网络应用传输数据时对上层数据包使用了SSL/TLS加密协议,两个协议的原理基本相同,在流量进行传输之前,先在应用客户端和服务器端进行握手的安全验证,这个过程中对密钥、加密方式以及证书进行交换,并且对双方的身份进行认证。SSL/TLS协议一般包括记录协议、握手协议和应用数据协议。应用数据协议的作用是:将上层传来的数据传到下层的记录协议中。握手协议是对双方使用的协议版本进行协商,以及双方的身份进行验证,主要包括警告协议和密码的变更协议:警告协议是对会话状态的变更和错误进行报告;密码变更协议主要是对加密策略的变更进行通知。
第5章 总结与展望
5.1 工作总结
本文首先对网络流量分类的研究背景以及研究意义进行了介绍,并对当前的网络现状进行了分析,以此来证明在网络检测中进行网络流量分类的必要性。鉴于早期的网络流量分类方法效率低下且工作繁琐,本文使用深度学习的方式进行流量分类实现端到端的流量分类,极大的节省了人工成本,提高了分类识别的效率。本文的主要工作如下。
(1)提出了基于深度残差收缩网络的恶意流量分类模型,该模型用于解决目前基于深度学习恶意流量分类研究中的流量特征提取不足的问题。本模型对预处理后的数据集进行训练,并与二维CNN模型进行了十分类、二十分类的对比实验。此外,为了更进一步证明软阈值和注意力机制的作
