引用
隨著移動(dòng)網(wǎng)絡(luò)的飛速發(fā)展,移動(dòng)通信給人類社會(huì)帶來(lái)了巨大的變革,一部手機(jī)幾乎涵蓋了人們?nèi)粘I畹姆椒矫婷妫缫苿?dòng)支付、網(wǎng)購(gòu)、外賣、打車、導(dǎo)航等應(yīng)用,這導(dǎo)致了移動(dòng)業(yè)務(wù)流量的爆發(fā)式增長(zhǎng),所以在過(guò)去的幾十年里,移動(dòng)網(wǎng)絡(luò)流量分類一直是移動(dòng)網(wǎng)絡(luò)管理、安全檢測(cè)領(lǐng)域的研究熱點(diǎn)。但在人們享受移動(dòng)網(wǎng)絡(luò)帶來(lái)便利的同時(shí),移動(dòng)終端面臨的安全問(wèn)題也日益嚴(yán)峻,推銷電話和垃圾短信日益猖獗,網(wǎng)絡(luò)詐騙時(shí)有發(fā)生,手機(jī)病毒、木馬植入、竊聽(tīng)竊照事件層出不窮,手機(jī)用戶的隱私和財(cái)產(chǎn)安全受到了嚴(yán)峻威脅。
為應(yīng)對(duì)安全風(fēng)險(xiǎn),越來(lái)越多的移動(dòng)服務(wù)采用加密技術(shù),將數(shù)據(jù)封裝在加密隧道中進(jìn)行傳輸,這在一定程度上解決了目前遇到的部分移動(dòng)網(wǎng)絡(luò)安全問(wèn)題。但隨著網(wǎng)絡(luò)加密技術(shù)的應(yīng)用,網(wǎng)絡(luò)攻擊手段更具有隱蔽性,攻擊數(shù)據(jù)往往隱藏在加密數(shù)據(jù)中,這給移動(dòng)網(wǎng)絡(luò)流量分類帶來(lái)了不小的挑戰(zhàn)。雖然經(jīng)典的機(jī)器學(xué)習(xí)方法可以解決基于端口和有效載荷方法不能解決的很多問(wèn)題,但其仍然存在一定的局限。比如,機(jī)器學(xué)習(xí)需要人工提取特征,這個(gè)過(guò)程十分耗時(shí)耗力,并且隨著特征更新越來(lái)越頻繁,加重了人工提取的工作量。而在加密流量識(shí)別中,以往的基于深度包檢測(cè)和機(jī)器學(xué)習(xí)方法的預(yù)處理準(zhǔn)確率大大降低。數(shù)據(jù)包加密后原來(lái)的特征發(fā)生改變,傳統(tǒng)的端到端的檢測(cè)方法在加密流量識(shí)別檢測(cè)時(shí)失效。深度學(xué)習(xí)具有良好的自動(dòng)特征學(xué)習(xí)的能力,無(wú)疑成為了移動(dòng)網(wǎng)絡(luò)流量分類,特別是加密流量分類的理想辦法。如何對(duì)移動(dòng)加密流量進(jìn)行快速準(zhǔn)確及強(qiáng)魯棒性的分類,以及在加密流量中如何有效地識(shí)別出惡意加密流量,已經(jīng)成為目前移動(dòng)通信安全領(lǐng)域急需解決的問(wèn)題。
一、網(wǎng)絡(luò)流量分類
a)一般流量分類
近年來(lái),學(xué)術(shù)界和工業(yè)界對(duì)網(wǎng)絡(luò)流量分類方法開(kāi)展了大量的研究,并取得了豐碩的成果。按照使用技術(shù)的不同,傳統(tǒng)的針對(duì)非加密網(wǎng)絡(luò)的流量識(shí)別技術(shù)主要包括:端口識(shí)別技術(shù)、數(shù)據(jù)包深度檢測(cè)技術(shù)、基于機(jī)器學(xué)習(xí)的流量識(shí)別技術(shù)和基于行為特征的流量識(shí)別技術(shù)等。
b)加密流量分類
按照所在ISO/OSI協(xié)議層的不同,流量加密分為應(yīng)用層加密、傳輸層加密和網(wǎng)絡(luò)層加密。應(yīng)用層加密是指網(wǎng)絡(luò)應(yīng)用在應(yīng)用層實(shí)現(xiàn)專用的加密傳輸協(xié)議,例如BitTorrent和Skype。傳輸層加密和網(wǎng)路層加密是指在各自協(xié)議層對(duì)上層數(shù)據(jù)包進(jìn)行整體加密,代表技術(shù)分別為T(mén)LS和IPsec。
如圖1所示,針對(duì)加密網(wǎng)絡(luò)的流量識(shí)別技術(shù)主要包括[1-2]:基于明文數(shù)據(jù)有效負(fù)載檢測(cè)的技術(shù)[3]、基于負(fù)載隨機(jī)性的技術(shù)[4]、基于機(jī)器學(xué)習(xí)的技術(shù)[5]、基于主機(jī)行為的識(shí)別技術(shù)[6]、基于數(shù)據(jù)分組大小分布的技術(shù)[7]和基于多策略融合的方法[8]等。
按照具體業(yè)務(wù)需求不同,加密流量分類結(jié)果主要有三種:
-加密流量識(shí)別:將流量分為未加密流量和加密流量。
-流量特征刻畫(huà):將加密流量分為各種應(yīng)用類型,例如視頻、音頻、聊天等。
-將加密流量分類至具體的某個(gè)網(wǎng)絡(luò)應(yīng)用。
其中,流量特征刻畫(huà)是目前大部分研究的方向。
圖1 加密流量識(shí)別研究進(jìn)展
上述幾類加密流量識(shí)別中,大多是基于某一個(gè)或者某幾個(gè)特征拓展開(kāi)來(lái):
-基于有效負(fù)載的方法,從加密協(xié)議協(xié)商初期中未加密的數(shù)據(jù)流中提取有用的信息來(lái)識(shí)別協(xié)議或應(yīng)用,該方法準(zhǔn)確性高,但實(shí)時(shí)性較差;
-基于負(fù)載隨機(jī)性的識(shí)別技術(shù),需要依據(jù)數(shù)據(jù)分組中的一些相同特征字段的隨機(jī)性來(lái)識(shí)別加密流量,該方法兼容性強(qiáng),但實(shí)時(shí)性較差;
-基于機(jī)器學(xué)習(xí)的識(shí)別技術(shù),以流統(tǒng)計(jì)為特征,受加密影響相對(duì)較小,該方法識(shí)別速度較快、實(shí)時(shí)性較高,但兼容性和穩(wěn)健性較差;
-基于主機(jī)行為的方法,從主機(jī)的角度粗粒度地分析不同應(yīng)用的行為特征,識(shí)別速度較快、識(shí)別粒度高,但兼容性較差;
-基于數(shù)據(jù)分組大小分布的方法,根據(jù)數(shù)據(jù)分組大小分布的差異性來(lái)識(shí)別,該方法受加密影響較小,識(shí)別速度較快、實(shí)時(shí)性和識(shí)別粒度較高,但兼容性較差;
-基于多策略融合的方法,將多種識(shí)別方法結(jié)合以實(shí)現(xiàn)高效識(shí)別,但大部分方法只對(duì)指定加密協(xié)議有效,且實(shí)時(shí)性較差[1-2]。
二、異常加密流量分類
隨著移動(dòng)通信網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出,如何對(duì)網(wǎng)絡(luò)攻擊造成的移動(dòng)通信流量異常實(shí)施快速有效的檢測(cè),成為目前相關(guān)研究者十分關(guān)注的方向。目前常用的網(wǎng)絡(luò)流量異常檢測(cè)的方法主要分為四類[9]:基于分類的方法、基于統(tǒng)計(jì)的方法、基于聚類的方法和基于信息論的方法。
a. 基于分類的網(wǎng)絡(luò)流量異常檢測(cè)的方法[10],是指根據(jù)有監(jiān)督的機(jī)器學(xué)習(xí)的方式,采用基于網(wǎng)絡(luò)流量分類的方法進(jìn)行檢測(cè)。具體又包括:支持向量機(jī)SVM、貝葉斯網(wǎng)絡(luò)、神經(jīng)網(wǎng)絡(luò)等具體方法。
b. 基于統(tǒng)計(jì)的方法基本思想是假設(shè)給出的數(shù)據(jù)服從某種概率分布[11],然后根據(jù)相應(yīng)的模型并通過(guò)不一致性驗(yàn)證來(lái)發(fā)現(xiàn)異常數(shù)據(jù),其中可以利用各種數(shù)理統(tǒng)計(jì)相關(guān)的方法技術(shù),例如混合模型方法、信號(hào)處理方法、主成分分析方法等。
c. 基于聚類的方法是一種無(wú)監(jiān)督的檢測(cè)方法[12],最大的優(yōu)勢(shì)是無(wú)需標(biāo)注數(shù)據(jù),而標(biāo)注數(shù)據(jù)在實(shí)際應(yīng)用中往往很難獲取。
d. 基于信息論的方法,信息論中許多概念可以解釋網(wǎng)絡(luò)流量數(shù)據(jù)集的特征[13],例如熵、條件熵、相對(duì)熵、信息增益等,利用信息論的方法建立相應(yīng)的網(wǎng)絡(luò)流量異常檢測(cè)的模型來(lái)達(dá)到異常網(wǎng)絡(luò)流量探測(cè)的目的。
三、總結(jié)與展望
盡管移動(dòng)通信加密流量識(shí)別已經(jīng)取得了一定的成果,但仍面臨著許多挑戰(zhàn)。例如,加密流量的動(dòng)態(tài)性和變化性使得準(zhǔn)確識(shí)別變得更加困難;同時(shí),隨著技術(shù)的發(fā)展,新的加密協(xié)議和算法不斷出現(xiàn),需要不斷更新和改進(jìn)識(shí)別方法以適應(yīng)新的需求。隨著5G、物聯(lián)網(wǎng)、人工智能等技術(shù)的快速發(fā)展,移動(dòng)通信加密流量的識(shí)別將迎來(lái)更多的發(fā)展機(jī)遇。未來(lái)的研究將更加注重方法的通用性和可擴(kuò)展性,以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境和多樣化的應(yīng)用需求。同時(shí),隨著安全需求的不斷提升,移動(dòng)通信加密流量的識(shí)別技術(shù)將在網(wǎng)絡(luò)安全、國(guó)家安全等方面發(fā)揮更大的作用。
綜上所述,移動(dòng)通信加密流量識(shí)別是一個(gè)充滿挑戰(zhàn)和機(jī)遇的研究領(lǐng)域。未來(lái)的研究需要不斷探索新的方法和手段,以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境和多樣化的應(yīng)用需求,為移動(dòng)通信的安全和發(fā)展做出更大的貢獻(xiàn)。
參考文獻(xiàn)
[1]陳良臣,高曙,劉寶旭等.網(wǎng)絡(luò)加密流量識(shí)別研究進(jìn)展及發(fā)展趨勢(shì)[J].信息網(wǎng)絡(luò)安全, 2019.19(3):19-25.
[2]藩吳斌,程光,郭曉軍,黃順翔. 網(wǎng)絡(luò)加密流量識(shí)別研究綜述及展望[J].通信學(xué)報(bào), 2016,37(9):154-167.
[3] MA Ruolong. Research and Implementation of Unknown and Encrypted Traffic Identification Based on Convolutional Neural Network[D]. Beijing: Beijing University of Posts and Telecommunications,2018.
[4]李光松,李文清,李青. 基于隨機(jī)性特征的加密和壓縮流量分類[J],吉林大學(xué)學(xué)報(bào)(工學(xué)版),2020.09.
[5] Alshammari R, Zincir-Heywood A N. Machine Learning-based Encrypted Traffic Classification: Identifying SSH and Skype[C]//IEEE.2019 IEEE Symposium on Computational Intelligence for Security and Defense Applications, July 8-10,2009, Ottawa, ON, Canada. NJ: IEEE.2009:1-8.
[6] Wright C V, Monrose F, Masson G M. Using Visual Motifs to Classify Encrypted Traffic[C]//ACM. The 3rd International Workshop on Visualization for Computer Security, November 3, 2006, Alexandria, Virginia, USA. New York: ACM, 2006:41- 50.
[7] Gao Changxi, Wu Yabiao, Wang Cong. Encrypted Traffic Classification Based on Packet Length Distribution of Sampling Sequence[J]. Journal on Communications, 2015.36 (9):65-75.
[8]孫中軍,翟江濤, 戴躍偉. 一種基于DPI和負(fù)載隨機(jī)性的加密流量識(shí)別方法[J].應(yīng)用科學(xué)學(xué)報(bào),2019.9(05)
[9]王偉.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測(cè)方法研究[D].中國(guó)科學(xué)技術(shù)大學(xué),2018.
[10] Yanmiao Li, Hao Guo, Jiangang Hou, et al. A Survey of Encrypted Malicious Traffic Detection. 2021 International Conference on Communications, Cybersecurity, and Informatics (CCCI), 2021. 9583191.
[11] Chen Tieming, Jin Chengqiang, Liu Mingqi, Zhu Tiantian. Intelligent detection method on network malicious traffic based on sample enhancement[J]. Journal on Communications, 2020,41(06):128-138
[12] Hwang R, Peng M, Huang C, et al. An unsupervised deep learning model for early network traffic anomaly detection[J]. IEEE Access,2020,8:30387-30399.
[13] Dai Rui, Gao Chuan, Lang Bo. SSL Malicious Traffic Detection Based On Multi-view Features. Proceedings of the 2019 the 9th International Conference on Communication and Network Security[C]. New York, NY, USA:ACM,2019.40-46.
