基于多阶段神经网络的加密流量分类

随着加密技术的普及，准确分类加密流量对于识别匿名网络应用程序和防止网络犯罪至关重要。现有方法局限于专家经验或局部数据包信息，无法理解数据包之间的依赖关系。为解决这个问题，提出了多阶段神经网络流量分类器(MSNTC)，使用卷积神经网络(CNN)将会话图像拆分为数据包序列，长短时记忆网络(LSTM)获取流量上下文嵌入，自我注意力机制获得多通道特征图，再利用多尺度卷积神经网络聚合全局信息。在ISCX-VPN和ISCX-Tor数据集上对MSNTC模型进行评估，并与其他方法对比。实验结果表明，MSNTC模型在网络流量分类任务中展现出更好性能，验证了其优越性和通用性。

随着互联网和信息技术的快速发展，网络已经渗透到各个方面。然而，网络安全面临多种风险和威胁， 如黑客攻击、数据泄露和网络间谍活动[1]。为了保护数据的机密性和完整性，在网络数据传输中采用流量加密技术成为一种重要手段。然而，加密技术也被恶意分子滥用，成为网络安全的新威胁[2]。为了及时识别网络安全风险并采取措施，网络管理员需要准确分类流量，尤其是判断是否存在恶意加密流量[3]。为了应对不断变化的网络安全威胁，需要持续研究新技术，例如基于机器学习和深度学习的加密流量分类方法，以及面向加密流量的安全防护方案[4]。这些技术的研究和应用有助于提升网络安全水平，确保网络正常运行。

流量分类技术现在已经有了显著的进展。最初的方法是使用端口号进行分类，通过检测网络数据包中的源和目标端口号来识别不同种类的网络流量。这种方法简单易用，但是，越来越多的应用程序使用动态或非标准端口，使得基于端口的方法变得越来越不可靠[5]。为了提高准确性，深度数据包检查方法则是尝试分析网络数据包的内容，以识别其类型。它比基于端口的方法更精确，但只适用于未加密的流量，并且计算开销较大[6]。相比于解析流量数据的有效载荷，机器学习方法通过捕捉流量的行为特征或统计特征来完成分类任务，例如数据包传输频率、包的大小以及流的持续时间等[7]。因此，它可以应对网络变化和应用更新，并且不受加密算法的影响，能够有效地对加密流量进行分类。这些方法通常依赖于网络流的统计特征，如AppScanner [8]、BIND [9]等方法。然而，这些方法的性能取决于人工设计的特征，因此限制了它们的泛化能力。

深度学习技术具有自动提取特征的能力，避免了繁琐的特征工程步骤，并在大规模数据处理方面表现出色，可更准确、更快速地识别流量类型[10]。与传统方法相比，深度学习模型能够高效自动地提取原始流量数据的特征，并完成端到端的加密流量分类任务。Wang [11] [12]等人使用一维卷积神经网络(1D-CNN)和二维卷积神经网络(2D-CNN)将原始流量数据转换为灰度图像以实现流量识别， 并成功地实现了加密流量的端到端分类。然而，该方法存在缺陷，仅取网络流前768 个字节将其转换为图像，未考虑到以数据包为单位进行转换为图像的方法。因此，在卷积操作中会导致不同时间段的数据包图像信息错