插播一篇流量分类的论文arxiv 2022 6月论文论文标题：Open-Source Framework for Encryp144摘要互联网流量分类在网络可见性、服务质量(QoS)、入侵检测、体验质量(QoE)和流量趋势剖析中起着关键作用。为了进步隐私性、完好性、机密性和协议混淆性，当时的流量根据加密协议，例如SSL/TLS，跟着文献中越来越多地运用机器学习(ML)和深度学习(DL)模型，因为缺少规范化的结构，不同模型和办法之间的比较变得繁琐和困难。在本文中，咱们提出了一个名为OSFEIMTC的开源结构，它能够供给学习进程的完好管道，从众所周知的数据集到提取新的和众所周知的特征，它供给了众所周知的ML和DL模型的完结(来自流量分类文献)以及评价。这样的结构能够促进流量分类范畴的研讨，使其具有更强的可重复性和可重复性，更易于履行，并将已知和新颖的特征和模型进行更准确的比较。作为结构评价的一部分，咱们展现了结构能够运用的各种情况，运用多个数据集、模型和特性集，咱们展现了对揭露可用数据集的剖析，并邀请社区运用OSF-EIMTC参加咱们的揭露应战。1介绍互联网流量分类作业从不同的办法(如根据有用载荷和根据行为)来处理互联网流量分类问题，并对数据表明办法进行了不同的分类。例如，核算特征取自网络流，经典的机器学习模型已被证明适用于互联网流量分类规划，最近的一些著作运用了自然语言处理(NLP)技能，例如将流通换为一种语言，以运用词特征。最近，互联网流量发生了巨大的改动，引入了新的网络协议，如QUIC、HTTP/2、HTTP/3和新的隐私相关协议，如TLS 1.3和DoH。因而，根据DPI、ML和DL分类体系的闻名处理计划的才能将受到影响，需求进行广泛的研讨。关于任何根据ML/DL管道的网络分类问题，研讨人员都必须处理几个重要的问题:从应该运用哪个数据集开端，怎么提取一组特征，怎么构建新模型，以及怎么将新模型与已知模型进行比较。因为缺少一个通用的网络流量分类共享结构，上述使命是困难和令人厌倦的。例如，在运用网络流分类使命中，研讨人员期望运用相同的结构比较它们的特征和模型，特别是在运用相同特征子集的体系中(例如，流的784有用负载字节)和模型中的细小改动，如相似CNN架构。因而，本作业的奉献如下:咱们介绍了一个新的加密互联网和歹意流量分类开源结构(OSF-EIMTC)。OSF-EIMTC供给了一个完好的ML/DL管道，如图1所示，该管道能够经过以下阶段进行描绘:数据集挑选、特征提取、模型挑选和评价。在数据集挑选阶段，结构答应拜访闻名数据集(例如，ISCXVPN2016, Ariel)，在特征提取阶段，结构能够提取最新的特搜集(例如，流和数据包有用负载字节)，并具有增加新特搜集的才能(经过插件)，在模型挑选阶段，结构还答应拜访规范的ML分类器(例如，RF, SVM)，并供给了最先进的深度学习分类模型(例如，MalDIST)的完结，在评价阶段，结构完结规范模型评价目标(例如，准确性，召回率)，该结构能够作为研讨人员的基准渠道，经过综合已知的特征和处理计划来评价他们的办法。此外，研讨人员能够运用新的特性和模型来扩展结构渠道，以便为研讨社区做出奉献，咱们运用该结构来评价不同数据集上的不同模型，展现了该结构的优势。咱们还运用该结构剖析了几个公共的最先进的数据集，并供给了关于数据集的一些风趣的见地。本文的其余部分安排如下，第二部分介绍了相关作业，第3节评论结构完结，第4节介绍了各种数据集及其剖析，第5节介绍了结构评价的运转，第6节介绍了在线应战，第7节总结并评论了未来的作业。2 .相关作业近年来，深度学习模型已成为网络流量分类的杰出办法，一些运用深度学习的著作，乃至运用流有用载荷的原始数据来供给深度学习算法，然后证明手工制作功用并不总是需求的。运用深度学习的作业跨过多个规划和范畴，其间的作业侧重于操作体系、浏览器和运用程序等级的分类;手机运用识别;乃至网页指纹。一些著作将网络流通换为图画，以运用图画处理技能和等效的深度学习(DL)架构，较新的作业将常微分方程网络(ODENet)纳入DL体系结构，对单向网络流进行分类，假如咱们将重点转移到网络范畴，许多作业都是处理歹意软件网络流量检测和分类的使命。除了检测或分类办法外，所运用的数据也非常重要，在著作的文献中广泛运用了一些揭露可用的数据集，如ISCXVPN2016，著作采用数据集根据其封装类型(是否经过VPN地道)、流量类型(例如，视频/音频/谈天)和运用程序(例如，Skype/Netflix)对网络流进行分类。但是，数据集包含很多的背景噪声，例如不相关的BlueStacks和Dropbox网络流量，研讨人员在运用数据之前或许需求清理和预处理数据，因而，在一个当地拜访几个洁净的数据集对研讨人员来说是一个优势，此外，运用闻名的数据集编译了他们的数据集，用于歹意软件检测和运用程序类型分类。因为许多作业都企图处理相似的使命，研讨人员或许期望将自己的模型和特征与其他拟议的流量分类办法进行比较，作为评价进程的一部分，NetML便是这样一个结构，它从揭露来源供给了自己编译的数据文件，其间的特性现已提取出来并能够运用。在正常和歹意网络流量使命中，研讨人员都需求完结自己的模型，并在运用相同的特征文件时与他人进行比较，运用Intel的加速特征提取库进行特征提取。但是，对库和用于特征提取意图的代码的拜访不会被给予或共享，这使得用另一个数据集仿制相同功用和办法的才能变得复杂，此外，NetML没有完结任何最先进的深度学习(DL)模型。nPrint是另一个东西，它将每个包的表明统一为一个规范表明，合适表明学习，尽管nPrint被指定为自动化机器学习管道的进程，但它并没有提出提取自定义特征的选项，尽管nPrint集成了AutoML库(AutoGluon-Tabular)，但它不支撑用户定义的模型，例如深度学习神经网络(例如M1CNN， MalDIST)。3 结构咱们的结构是一个开源的，能够比较网络和歹意软件流量分类的多个新的和众所周知的特性和最先进的模型。提出的结构答应研讨人员以最少的时刻和精力获得一个完好的ML/DL管道，作为比较他们的新想法的基准，并作为插件新功用和模型的渠道，ML/DL管道的预期流程如图1所示，展现了结构创立完好管道计划的才能，作业流共包含5部分:1)数据:网络流量数据文件与研讨者要处理的使命相匹配，无论是VPN检测、运用网络分类仍是歹意流量识别。数据是研讨和试验中最重要的组成部分之一，以在实际场景中获得令人满意的成果,咱们的结构以有安排的办法供给了对一些闻名数据集的拜访，一些关于闻名数据源的细节能够在第3.1节中找到，而它们的剖析能够在第4节和附录中找到。2)特征提取:之前的许多著作都运用了不同的东西进行特征提取，其间一些东西并没有揭露，缺少对特征提取东西的公共拜访会影响相同特征的再现性，此外，不同东西的存在使特征提取进程变得复杂，并且很难将不同东西的不同特搜集组合起来。此外，现在将新功用与旧功用结合起来是一项复杂的使命，该结构能够提取各种众所周知的特征，例如根据流和与数据包巨细相关的特征(例如，流的数据包巨细的最小值、最大值和均匀值)，该结构还能够提取TLS相关的特征，如TLS记载巨细和方向，此外，该结构还能提取出闻名著作的闻名全特搜集，如DeepMAL payload bytes per packet, FlowPic images， DISTILLER和MalDIST的形状特征。考虑到提取独立特性(例如TLS特性)和完好特性集(例如FlowPic)的才能，有助于创立由闻名独立特性组合而成的新特性集，并增加新特性，关于特征提取的更多细节在3.2节中供给。3)贴标办法:每个样品应有相应的标签，从样本中提取的每个特搜集都应该有相同的标签，标签部分为每个样本提取特征，并将其与各自的标签兼并，经过供给规则或命名计划，能够自动地将从流/包(或任何其他网络示例)创立的任何特搜集与其标签关联起来，各自的符号能够经过几种办法完结，例如将它们与原始文件或目录关联，该结构答应运用合适的命名计划配置符号办法。示例拜见3.3节。4)模型挑选:存在经典机器学习、深度学习神经网络等多种模型，应该对任何新模型(能够根据旧模型)进行比较。因而，该结构供给了经典的ML/DL模型和最先进的深度学习架构的完结，如用于歹意软件检测和分类的MalDIST和用于运用程序分类的M1CNN，这些模型将在第3.4节中具体评论。5)评价:在特定的使命中，为了确认一个模型及其供给的特征的功用并猜测其稳健性和有用性，需求准确的评价办法，各种模型的比较关于研讨作业的质量至关重要，为了使新的评价或模型比较进程更简略，结构中供给了常用的评价目标(如准确度、召回率、精密度和F1-score)。在接下来的章节中，咱们将具体介绍结构管道的中心部分，包含数据集、特征提取、符号办法和模型挑选。3.1数据集该结构供给了一个易于拜访的数据集目录，在本节中，咱们将描绘所选数据集的内容，咱们在第4节中剖析了一些数据集。3.1.1 USTC2016该数据集包含10个歹意软件宗族和10种良性流量•歹意软件类别是:Cridex (Dridex)， Geodo (Emotet)， Htbot, Miuref, Neris, Nsis-a, Shifu, Tinba, Virut, Zeus。良性类有:BitTorrent, Facetime, FTP, Gmail, MySQL, Outlook, Skype, SMB，微博，魔兽世界。3.1.2 StratosphereIPS数据集由良性流量、歹意流量和混合流量三部分组成，数据集是由同温层试验室生成的，同温层试验室是捷克共和国布拉格CTU大学的一部分，附加信息，如捕获的行为描绘，有助于符号进程。3.1.3 MT A (Malware T raffic Analysis)数据源是一个网站(博客)，其间包含许多类型的歹意软件感染流量进行剖析，该网站包含许多类型的歹意软件，如勒索软件和运用东西包，从2013年至今，该博客每天都会更新相关歹意软件流量，不断向数据会集增加更多样本，运用入侵检测体系(IDS)和防病毒软件，pcap中的每个二进制文件都被确认为歹意文件。3.1.4 ISCX2016 (ISCXVPN2016)该数据集包含150个不同类型的流量和运用的PCAP文件，每个PCAP文件都有一个运用类别(如Spotify、Facebook、YouTube等)、一个流量类型类别(如流媒体、VoIP、谈天等)和一个封装标签(非VPN/VPN)。请留意，数据包含很多噪声，例如不相关的BlueStacks流量、Dropbox流量和后台流量，著作只从每个PCAP文件中提取相关流，无论是Skype的音频流仍是Netflix的视频流，许多著作因为缺少足够准确的符号而丢弃了浏览器流量文件，而p2p流量(如BitTorrent)则因为缺少对应的非封装流量。3.1.5 Ariel (BOA2016)此数据集来自一篇论文，其间作者在他们的试验室中运用selenium网络爬虫对浏览器流量收集了两个多月的数据，数据集包含运用程序的流量，如YouTube和Facebook，它们被符号为浏览器流量，Dropbox和TeamViewer被符号为非浏览器流量，该数据集包含超越2万个会话，会话的均匀持续时刻为518秒，均匀每个会话有520个转发报文(均匀转发流量巨细为261K字节)和637个向后报文(均匀向后流量巨细为615K字节)，简直一切的流量都是TLS加密的。3.1.6 MAppGraph数据集(2021)作者收集了谷歌Play中盛行的101个移动运用程序的流量，关于每个运用程序，收集了超越30个小时的流量，导致超越600gb的流量存储在PCAP文件中，但是，作者发布了数据集的一部分，这相当于81个运用程序，约为500gb，一些运用程序包含但不限于:Facebook, Twitch, Instagram, Skype, Spotify，谷歌Meet, Soundcloud和Zoom。3.2特征提取特征是机器学习模型成功的关键组成部分之一，功用有很多规划;咱们能够从数据包中提取特征(例如巨细和时刻)、协议/报头(例如类型和信息)、单向流(例如上传或下载的字节数)、双向流(例如均匀数据包巨细)或时刻窗口，结构的特征提取用于从报文/流/会话中提取特征。因而，咱们也能够从单向流和双向流中提取特征，在本节中，咱们将介绍结构支撑的一些独立特性和特性集，请留意，该结构供给了增加恣意特征或特搜集的灵敏性，这些特征或特搜集能够从样本中定义和获取。咱们的特征提取组件根据NFStream包，NFStream是一个Python结构，它供给了一个快速、灵敏和富有体现力的数据结构，旨在使运用PCAP文件既简略又直观，nDPI是一个敞开的、可扩展的深度包检测库，它的一些特性被集成到NFStream中，并供给额定的流信息，如指纹、请求服务器称号和运用程序类别检测，为了进一步丰富提取的特征类型，咱们运用TShark作为后nfstream东西，以每个流提取TLS相关的特征。咱们开发了新的插件来提取最先进的功用及其预处理阶段，以便更简略地比较不同的模型和扩展，然后轻松地完结新的研讨方向。因为在“插件”中供给了特征挑选，人们能够挑选一组具有各种特搜集的插件来提取和组装所需的终究特征数据文件，用户能够经过开发自己的插件来扩展组件。咱们预计，更多的研讨人员将运用这些插件发布他们的代码，使试验更简略重现，然后更简略地促进它们在不同场景中的运用。最先进的功用插件:尽管结构有许多不同的插件，但咱们只评论作为功用提取组件的一部分开发的插件的子集。•ASN info(自治体系信息):该插件提取并附加ASN相关信息，如ASN号，ASN国家代码和ASN描绘到每个流程。例如，源IP地址为131.202.240.87，意图IP地址为178.237.19.228的biflow会附加如下ASN信息:[num, code, description] [num=611, code=CA, description= nbpeieducation - computer - network University of Toronto]关于源IP， [num=47764, code=RU, description=MAILRU-AS MailRu]表明意图地。请留意，该信息是从根据文件的本地DB中提取的，或许需求不时地下载和更新该DB。•DNS:歹意行为者运用域名服务(DNS)上的指令与操控(C2)通讯通道，在某些情况下，乃至运用该协议盗取数据，歹意行为者还经过DNS将歹意数据/有用载荷渗透到受害者的体系。歹意软件运用DNS作为绕过C2服务器IP地址堵塞的一种办法，当它知道IP地址被泄露或用于歹意意图时，当歹意软件更改其IP地址时，DNS和C2服务器的域名答应歹意软件与其C2服务器通讯，一些处理加密歹意软件流量检测的作业，运用了DNS流量的特征，如DNS呼应返回的IP地址数量、DNS呼应中的数字数量、TTL值和域名长度，该插件提取了各式各样的dns相关特性，例如每种类型的答案数量，Time-To-Live值，以及答案部分中根据字符的计数器，例如数字计数、连字符计数、点计数等等。等其他作业运用DNS参数来处理NAT后的用户分类，作为互联网流量分类的一部分。•前期原始字节有用载荷(n个字节):这个插件提取流有用载荷的前n个字节，它能够跨过上传和下载链接中的多个数据包，一些著作运用流量原始数据对歹意软件宗族进行网络流量检测和分类，一些等著作运用流量原始数据进行加密的网络流量分类使命。•字节频率:这个插件提取出现在前N个数据包的有用载荷中的每个字节值([0-255])的频率。•小包比:的核算特征其间#small packets为负载较小的包数(≤阈值)，Hung和Sun采用小包比进行僵尸网络检测体系。•协议头:该插件从流的前n个数据包中提取巨细，IAT(抵达时刻)，方向和TCP win-size，形成(n, 4)巨细矩阵。Lopez-Martin等人提出运用n = 20，关于时刻紧迫的使命(如检测歹意流量)，能够运用较少数量的数据包。Lopez-Martin等人剖析了一个特定的深度学习模型在练习进程中给定不同数量的数据包时的功用，用于区别物联网服务的使命，并表明即使只要6个数据包，对模型的功用也没有显著影响。在另一篇论文中，Rezaei等运用流的6个第一个数据包来识别移动运用程序，TLS流中的第一个数据包是普通的，包含有意义的信息。•子流/块:这个插件为每个方向提取块/子流相关的特征，它将一个会话的报文聚组成簇(或子流)，其间簇/子流是一个或多个接连的相同方向的报文的组。然后，它提取关于这些簇的数据，如簇巨细的最小值、最大值和均匀值(一个簇中的数据包数量)和簇长度(字节数)，以及簇内部数据，如包长度的最小值、最大值和均匀值，以及抵达时刻等。这种分组背面的基本原理是运用程序流量涣散在几个数据包中，作为TCP分段进程的一部分。Mohammadreza等运用了聚块办法来下降数据的维数，比较之下，Hong-Yen等人将这种团块命名为子流，并声称它们的特征能够使机器学习模型更准确地区别流中不同类型的部分，一起企图检测经过VPN加密流量切换运用程序的改动点。•TLS特性:跟着近年来在网络流量中运用加密现已变得盛行，根据TLS的特功用够有利于加密流的分类，TLS协议建立在牢靠的传输协议(如TCP或QUIC)之上。数据以TLS记载的形式传输，其间流中的第一个记载是从客户端到服务器的“客户端Hello”类型，然后服务器呼应它自己的“服务器Hello”记载;这些记载没有加密(没有eSNI, ECH，直到TLS 1.3)，并包含很多的流配置数据，如暗码套件，运用层协议等等。一些著作如运用客户端供给的暗码套件的类型和数量来检测歹意软件主张的TLS流量，因为不同的TLS客户端运用或支撑不同的默认或预定义的暗码套件集。非加密记载中的信息(如可用的紧缩办法列表、可用的TLS扩展列表和可用的暗码套件列表)可用于生成客户端指纹。其间一种指纹识别办法是JA3，其他作业运用SNI字段对Twitter和Youtube等服务/运用程序的网络流进行分类和符号，提取了14种不同的TLS特征来对网络进犯、运用程序和流量类型进行分类，经过运用TShark作为特征提取进程中的一个过程，将TLS记载巨细、类型和TLS块等TLS特征提取嵌入到结构中。3.3常用标识办法的施行提出的结构答应运用两种根据闻名称号的符号办法，根据文件名的符号和根据目录的符号，灵感来自TensorFlow的内置实用程序函数，从目录加载图画数据集。1)根据文件名的符号办法:公共数据集(如ISCX2016)运用根据文件名的符号，如PCAP文件，其间文件名为“vpn facebook audio2.txt”。“Pcap”有如下标签:封装类型= vpn，流量类型=音频，运用程序= facebook，文件/目录结构的示例如下:2)根据目录的符号:灵感来自TensorFlow加载图画数据集的实用函数(tf.keras.utils)来自目录的图画数据集。PCAP文件能够被安排到目录中，其间目录名决议了其间一切文件的标签，当每个标签的数据太大，无法包含在单个文件中或跨过许多不同的文件时，这很有用，文件/目录结构的一个比如是:3.4最新模型尽管用户能够运用提取的特征数据进行任何经典机器学习模型(例如，K-Nearest-Neighbors (KNN)， Support-V ector-Machine (SVM)和随机森林(RF))的练习，但咱们也供给了最先进的深度学习模型。•DeepMAL : Marin等人提出了歹意软件网络流量检测的两种变体，一种是根据数据包的，另一种是根据流的。根据数据包的变体练习和猜测从单个数据包中提取的数据，而根据流的变体需求来自同一流的多个数据包。DeepMAL原始流模型(根据流的变体)在会话的前m个数据包的每个数据包的n个有用负载字节的输入上进行练习，每个实例的输入巨细为(m, n)，插件提取(m, n)每个会话的特征作为一个矩阵，其间每个字节表明为[0,255]的十进制值。•M2CNN : Wang等人提出了一个自定义的LeNet5神经网络架构，用于歹意软件网络流量检测和分类，经过运用二维卷积层的才能来识别不同的图画样形式，经过输入咱们命名为M2CNN的模型，运用矩阵形状的字节输入(8位灰色图画)。M2CNN在流的第n个有用负载字节上进行练习，M2CNN将字节数作为巨细(√n，√n)的矩阵，n字节插件提取会话的前n个有用负载字节(n个特征)，其间每个字节都表明为[0,255]的十进制值。•M1CNN : Wang等人提出将字节视为接连的时刻序列，而不是图画，因而作者将字节表明为一个长度为784的单个数组，并运用1D卷积层而不是2D，旨在处理正常网络流量分类的使命，M1CNN在流的第n个有用负载字节上进行练习，M1CNN将字节作为一个巨细为(1,n)的单个数组，n字节插件提取会话的前n个有用负载字节(n个特征)，其间每个字节表明为[0,255]的十进制值。•FlowPic: Shapira和Shavitt运用了定制的LeNet-5神经网络架构，FlowPic是IP数据包巨细和相对抵达时刻的2d直方图图画，该插件为会话中每个定义的时刻窗口创立一个FlowPic，并将其保存在文件体系中作为一个紧缩NumPy文件(.npz)，假如会话有多个时刻窗口，能够创立多个FlowPic。•DISTILLER: Aceto等人提出了一种多使命多模态深度学习模型，用于网络流量分类，模型的输入巨细为912，其间前784个特征是流的784个有用负载字节，后128个特征是Lopez-Martin等人提出的前32个数据包的[size, IAT, direction, TCP win-size]的特征。•MalDIST:作者提出了一个根据蒸馏器的变体，用于歹意软件检测和分类，该变体具有第三种新颖的形状(5,14)，灵感来自STNN模型，导致总数为982个特征，在第三种形式中，每个流中的数据包被分为5个类别，然后从每个类别中提取14个核算特征，然后将每个类别的特征排成一行，得到形状为(5,14)的图画。•定制的蒸馏器变体:人们或许期望构建一个定制的蒸馏器变体，具有新的和/或不同的形式，因为该模型是一个多使命模型，即猜测同一流的多个分类，因而也能够配置模型所针对的使命数量。关于每一个最先进的模型，咱们都能够独自运用模型，结构还供给了从原始PCAP文件中提取所需特征的插件，以及在将其输入模型进行练习和猜测之前需求履行的必要预处理过程。4 .结构数据集剖析在本节中，咱们将重点介绍一些最先进的揭露可用数据集，咱们剖析了每个数据集的一些深入的特征，并得出定论，数据集在它们的域上有所不同，从歹意软件流量到vpntunnel流量。咱们决议在这里展现一个数据集剖析(USTC2016)，而其他三个能够在附录中找到，运用该结构剖析数据集的首要原因是阐明晰闻名数据集的缺陷，答应科学界在运用它们时考虑到这些见地，此外，咱们鼓舞社区发布新的更新和多样化的数据集。USTC数据集的核算数据和特征如图2所示。图2b显现，在BitTorrent、Facetime、Outlook和Skype等类中，每个单向流的均匀数据包数为1(其间Facetime底子没有下行数据包)，这导致无法核算流持续时刻(图2d)，因为这样的核算至少需求2个数据包。相似地，在图2e中，无法从许多归于良性类的流中核算Inter-Arrival Time核算量，在这些与时刻相关的特征图中，良性和歹意软件流量的价值散布之间的巨大差异是清楚明了的，人们能够运用模型中的这些核算特征来区别良性和歹意软件流量，此外，图2f中的协议散布表明，良性流量中运用UDP协议的不同类的数量相当少，而其余的运用TCP。其他协议，如ICMPv6、ICMP和IGMP，只能在歹意软件流量中找到，尽管数量很少，图2g显现，与良性流比较，有很多歹意流没有成功完结TCP协议中要求的三次握手，然后才能在两个端点之间交流数据，只要Tinba破例，它简直彻底包含根据udp的流。4.1数据集缺陷任何用于研讨的数据集都会对从中发生的成果和定论发生巨大影响，并且在野外揭露可用的数据集存在一些问题。当考虑到ML/DL管道中的其他组件依赖于它时，例如从数据中提取的特征，数据集的重要性就变得愈加杰出。•质量:供给的网络捕获文件(pcap)质量较低，例如USTC-TFC2016数据集，在对其进行的一切修正(如匿名化、清洗和预处理)中，这些修正会进一步下降数据的质量，或许会导致不准确的、不具代表性的实际场景样本，尽管数据集包含MySQL和Facetime等风趣运用程序的网络流量捕获，但在此数据集上评价模型或许无法彻底显现其实在的猜测功用。•格式:一些数据集不包含原始流量捕获文件(pcap)，而是包含一组现已提取的特征或每个流的截断二进制表明，这需求特别留意和非规范处理，当企图从多个源编译数据集时，这就成为一个问题，假如没有原始文件，就不或许运用规范东西提取新特性。•日期:数据集相当旧，例如ISCXVPN2016、USTC-TFC2016和Ariel (BOA2016)数据集是2016年的，尽管如此，这些数据集仍然是最先进的，运用程序跟着时刻的推移而改动，简直每个网络流量都采用加密技能，例如，2016年Skype或Netflix的网络流量或许与2021年Skype或Netflix的网络流量体现不同。•规划:学术界的研讨与此类立异在行业中的实际施行和运用之间存在一些脱节，与工业化处理计划所需的更大规划比较，这些数据集具有更低的类种类，而工业化处理计划有时需求运用成千上万个不同的类，缺少足够数量的不同类，使得不或许在运用很多类的场景中评价模型和特征，例如模型的功用和练习/猜测时刻。5 .结构评价在本节中，咱们将演示怎么在多个场景中运用结构:I.咱们在仿制之前作业成果(Shapira和Shavitt FlowPic)的简略情况下评价了咱们的结构。2咱们在两个不同的数据集(ISCX2016和Ariel)上运用了一组三种不同的模型(即M1CNN、MalDIST和RF)来演示该结构轻松地将相同的试验设计(模型和特征)转移到新数据集的才能。3咱们供给了一个示例，阐明怎么运用结构中供给的插件来增强模型的特性集，在这三个场景中，咱们的首要方针是展现咱们的结构答应人们挑选数据集、特搜集和要练习的模型，一起仿制曾经的著作，或将曾经的著作转移到新的数据集和/或新的特搜集和模型。如上所述，咱们开端运用咱们的结构仿制曾经的作业，咱们在ISCX2016数据集上运转了FlowPic的模型(运用与作者在评价中运用的相同流程)，以验证其特征提取和结构中供给的模型的完结，咱们从履行结构供给的从数据到评价的学习管道开端。包含，挑选数据集，从数据会集提取FlowPic图画作为特征，挑选匹配的深度学习模型，然后对其进行评价，在对VPN或非VPN流量按流量类型(音频/视频/谈天等)进行分类的使命中，该模型经过咱们的测验集获得了95%以上的准确率。然后，咱们经过评价一组模型及其在不同数据集上的各自特征来测验另一个结构功用，数据集为ISCX2016和Ariel。咱们运用原始数据集，在提取特征之前没有任何预处理过程，以显现结构的适用性，咱们还包含了第三个根据ISCX2016数据会集选定的数据集，FlowPic的作者与咱们共享了该数据集，用于高度准确的根据流量的符号，从每个数据会集，咱们提取了前784个有用负载字节(运用n字节插件)，Lopez-Martin的协议头字段的特征(运用协议头插件)，STNN启示的特征(运用STNN插件)，以及数据包和TLS记载块特征。鉴于这两个数据集都现已运用了根据文件名的数据符号，咱们运用了根据文件名的符号办法(结构中包含了该办法)。咱们挑选M1CNN, MalDIST和随机森林(RF)作为咱们的评价模型，关于随机森林模型，咱们挑选了数据包和TLS记载的24个根据簇的特征，成果如图3所示，运用Ariel数据集，模型在操作体系和浏览器分类使命中的一切目标都体现出色，得分超越95%，另一方面，模型显现了经过封装(VPN或非VPN)和流量类型(例如，视频、音频、谈天或文件传输)与ISCX2016数据集对流进行分类的一些困难，在这次运转中，结构减轻了在不同数据集上评价模型的进程，当深度学习模型(如M1CNN和MalDIST)被输入它们提出的特征(运用它们各自的插件提取)时，咱们为随机森林分类器精心挑选了24个特征。学习管道的首要部分之一是特性工程阶段，因而，关于最后一个场景，咱们经过为深度学习架构供给不同的输入巨细和特征来演示结构插件的才能，关于M1CNN，咱们运用278个特征的输入巨细，其间前200个特征是作者主张的(即，主张的784个有用负载字节中的流的前200个有用负载字节)，70个stnn启示的特征平整数组的特征，以及一共8个其他制作的核算特征(由PacketRelativeTime, SmallPacketPayloadRatio和ResReqDiffTime插件生成)。咱们重复了第二个场景的试验，只是做了一些改动，咱们为M1CNN模型供给1296个特征，包含作者主张的784个有用负载字节，以及前6个数据包中额定的512个字节频率特征(运用NPacketsByteFrequency插件)，即流的每个方向有256个特征(字节值在[0,255]中)。WLOG，咱们在Ariel数据集上评价模型，挑选浏览器分类使命，如图4所示，M1CNN (278 feat)模型对一切目标的评价成果为91%，这比咱们在前一段中具体试验的M1CNN在默认输入巨细和特征下发生的成果略低(即对一切目标的评价成果为96%，见图3)，图4表明，在M1CNN (1296 feat)的情况下，对一切目标的评价成果为98%，超越了其他一切目标。这个M1CNN(1296feat)的成果引起了咱们的爱好，咱们决议在形式(输入)和使命(输出)方面运用带有定制插件组件的DISTILLER体系结构，因而，咱们构建了一个变体的DISTILLER，它包含两种形式和两个使命(OS和浏览器)。第一种形式将流的前784个有用负载字节作为输入，而第二种形式将字节频率(与馈送到最后一个M1CNN的特征相同)作为输入，这个定制的DISTILLER变体在浏览器分类使命的一切目标上都获得了97%的分数，如图4所示。该图显现了咱们的结构供给了在已知模型上运用新特性的才能，留意，在某些情况下，这能够进步成果(例如，M1CNN - 1296feat)，而在其他情况下(例如，M1CNN - 278feat)，它或许会下降它们。咱们鼓舞研讨人员试验结构的特征工程才能，这是简略和简略的，一起要意识到不是每一个转化都是有益的在路途的止境。6 在线应战在本节中，咱们将介绍由EvalAI主办的在线应战，EvalAI是一个用于大规划评价和比较机器学习模型的开源渠道，咱们在歹意软件流量检测和分类范畴发明了三个应战。这三个应战如下:1)歹意软件流量检测(二进制):区别良性和歹意软件流量。2)歹意软件流量分类(多类):对已知的歹意软件宗族流量进行分类。3)Zero-day检测(二进制):检测未知的歹意软件宗族流量。咱们运用的公共数据集包含:•良性:ISCX2016， StratosphereIPS，以及USTC2016的良性子集。•歹意软件:MTA和USTC2016的歹意软件子集。关于每个应战，咱们为练习和测验集供给PCAP文件，因为前两个应战的测验集的类别不平衡，咱们决议运用f1分数作为领先目标，排行榜将遵循它来确认最佳成果，关于第三个应战，Zero-day检测，咱们决议运用检测率的目标，由真阳性率(TPR)和假警报率(FAR)表明，也称为假阳性率，这一应战的首要目标是两者的结合:其间TPR和FAR值由公式核算:具体应战的描绘能够在GitHub的应战页面上找到:https:/Challenge，咱们鼓舞参加者在尝试处理提出的应战时运用咱们的结构。7总结一旦隐私相关和加密协议(如DoH和QUIC)的采用将增加，加密流量的分类问题将变得愈加盛行和重要，这需求广泛的研讨和合作，经过开发和扩展具有完好ML/DL管道的结构来处理不同范畴的新协议和其他使命，因而，本文提出了一个完好的管道结构，该结构为新研讨者进入流量分类范畴发明了一个软着陆。经过为最先进的深度学习模型供给对数据集、特征提取和完结的有安排的拜访，该结构答应研讨人员轻松地比较许多模型和特搜集，生成各种处理计划的丰富比较。研讨人员还能够扩展咱们的结构，以支撑新的功用规划，如时刻窗口和根据主机的功用，经过对结构的奉献，运用特性集的新插件或新提出的模型的完结，研讨集体将能够在评价进程和应战，便于更准确的比较，并使可重复的试验，具有很多类和规范化格式(例如PCAP和PCAPNG)的新质量数据集，特别是针对新的和即将到来的协议，如QUIC和TLS 1.3，需求进步研讨质量和提出的处理计划的评价质量，任何研讨人员都能够运用主张结构中供给的相同插件和东西，轻松运用新的高质量数据集，咱们期望咱们在第6节中描绘的在线应战将经过对结构的奉献促进研讨界的合作。

版权免责声明: 本站内容部分来源于网络，请自行鉴定真假。如有侵权，违法，恶意广告，虚假欺骗行为等以上问题联系我们删除。
本文地址：https://81396.com/article/173.html