引用 

隨著移動(dòng)網(wǎng)絡(luò)的飛速發(fā)展，移動(dòng)通信給人類社會(huì)帶來了巨大的變革，一部手機(jī)幾乎涵蓋了人們?nèi)粘Ｉ畹姆椒矫婷妫缫苿?dòng)支付、網(wǎng)購、外賣、打車、導(dǎo)航等應(yīng)用，這導(dǎo)致了移動(dòng)業(yè)務(wù)流量的爆發(fā)式增長，所以在過去的幾十年里，移動(dòng)網(wǎng)絡(luò)流量分類一直是移動(dòng)網(wǎng)絡(luò)管理、安全檢測領(lǐng)域的研究熱點(diǎn)。但在人們享受移動(dòng)網(wǎng)絡(luò)帶來便利的同時(shí)，移動(dòng)終端面臨的安全問題也日益嚴(yán)峻，推銷電話和垃圾短信日益猖獗，網(wǎng)絡(luò)詐騙時(shí)有發(fā)生，手機(jī)病毒、木馬植入、竊聽竊照事件層出不窮，手機(jī)用戶的隱私和財(cái)產(chǎn)安全受到了嚴(yán)峻威脅。

為應(yīng)對(duì)安全風(fēng)險(xiǎn)，越來越多的移動(dòng)服務(wù)采用加密技術(shù)，將數(shù)據(jù)封裝在加密隧道中進(jìn)行傳輸，這在一定程度上解決了目前遇到的部分移動(dòng)網(wǎng)絡(luò)安全問題。但隨著網(wǎng)絡(luò)加密技術(shù)的應(yīng)用，網(wǎng)絡(luò)攻擊手段更具有隱蔽性，攻擊數(shù)據(jù)往往隱藏在加密數(shù)據(jù)中，這給移動(dòng)網(wǎng)絡(luò)流量分類帶來了不小的挑戰(zhàn)。雖然經(jīng)典的機(jī)器學(xué)習(xí)方法可以解決基于端口和有效載荷方法不能解決的很多問題，但其仍然存在一定的局限。比如，機(jī)器學(xué)習(xí)需要人工提取特征，這個(gè)過程十分耗時(shí)耗力，并且隨著特征更新越來越頻繁，加重了人工提取的工作量。而在加密流量識(shí)別中，以往的基于深度包檢測和機(jī)器學(xué)習(xí)方法的預(yù)處理準(zhǔn)確率大大降低。數(shù)據(jù)包加密后原來的特征發(fā)生改變，傳統(tǒng)的端到端的檢測方法在加密流量識(shí)別檢測時(shí)失效。深度學(xué)習(xí)具有良好的自動(dòng)特征學(xué)習(xí)的能力，無疑成為了移動(dòng)網(wǎng)絡(luò)流量分類，特別是加密流量分類的理想辦法。如何對(duì)移動(dòng)加密流量進(jìn)行快速準(zhǔn)確及強(qiáng)魯棒性的分類，以及在加密流量中如何有效地識(shí)別出惡意加密流量，已經(jīng)成為目前移動(dòng)通信安全領(lǐng)域急需解決的問題。

一、網(wǎng)絡(luò)流量分類

a)一般流量分類

近年來，學(xué)術(shù)界和工業(yè)界對(duì)網(wǎng)絡(luò)流量分類方法開展了大量的研究，并取得了豐碩的成果。按照使用技術(shù)的不同，傳統(tǒng)的針對(duì)非加密網(wǎng)絡(luò)的流量識(shí)別技術(shù)主要包括：端口識(shí)別技術(shù)、數(shù)據(jù)包深度檢測技術(shù)、基于機(jī)器學(xué)習(xí)的流量識(shí)別技術(shù)和基于行為特征的流量識(shí)別技術(shù)等。

b)加密流量分類

按照所在ISO/OSI協(xié)議層的不同，流量加密分為應(yīng)用層加密、傳輸層加密和網(wǎng)絡(luò)層加密。應(yīng)用層加密是指網(wǎng)絡(luò)應(yīng)用在應(yīng)用層實(shí)現(xiàn)專用的加密傳輸協(xié)議，例如BitTorrent和Skype。傳輸層加密和網(wǎng)路層加密是指在各自協(xié)議層對(duì)上層數(shù)據(jù)包進(jìn)行整體加密，代表技術(shù)分別為TLS和IPsec。

如圖1所示，針對(duì)加密網(wǎng)絡(luò)的流量識(shí)別技術(shù)主要包括[1-2]：基于明文數(shù)據(jù)有效負(fù)載檢測的技術(shù)[3]、基于負(fù)載隨機(jī)性的技術(shù)[4]、基于機(jī)器學(xué)習(xí)的技術(shù)[5]、基于主機(jī)行為的識(shí)別技術(shù)[6]、基于數(shù)據(jù)分組大小分布的技術(shù)[7]和基于多策略融合的方法[8]等。

按照具體業(yè)務(wù)需求不同，加密流量分類結(jié)果主要有三種：

-加密流量識(shí)別：將流量分為未加密流量和加密流量。

-流量特征刻畫：將加密流量分為各種應(yīng)用類型，例如視頻、音頻、聊天等。

-將加密流量分類至具體的某個(gè)網(wǎng)絡(luò)應(yīng)用。

其中，流量特征刻畫是目前大部分研究的方向。

圖1 加密流量識(shí)別研究進(jìn)展

上述幾類加密流量識(shí)別中，大多是基于某一個(gè)或者某幾個(gè)特征拓展開來：

-基于有效負(fù)載的方法，從加密協(xié)議協(xié)商初期中未加密的數(shù)據(jù)流中提取有用的信息來識(shí)別協(xié)議或應(yīng)用，該方法準(zhǔn)確性高，但實(shí)時(shí)性較差；

-基于負(fù)載隨機(jī)性的識(shí)別技術(shù)，需要依據(jù)數(shù)據(jù)分組中的一些相同特征字段的隨機(jī)性來識(shí)別加密流量，該方法兼容性強(qiáng)，但實(shí)時(shí)性較差；

-基于機(jī)器學(xué)習(xí)的識(shí)別技術(shù)，以流統(tǒng)計(jì)為特征，受加密影響相對(duì)較小，該方法識(shí)別速度較快、實(shí)時(shí)性較高，但兼容性和穩(wěn)健性較差；

-基于主機(jī)行為的方法，從主機(jī)的角度粗粒度地分析不同應(yīng)用的行為特征，識(shí)別速度較快、識(shí)別粒度高，但兼容性較差；

-基于數(shù)據(jù)分組大小分布的方法，根據(jù)數(shù)據(jù)分組大小分布的差異性來識(shí)別，該方法受加密影響較小，識(shí)別速度較快、實(shí)時(shí)性和識(shí)別粒度較高，但兼容性較差；

-基于多策略融合的方法，將多種識(shí)別方法結(jié)合以實(shí)現(xiàn)高效識(shí)別，但大部分方法只對(duì)指定加密協(xié)議有效，且實(shí)時(shí)性較差[1-2]。

二、異常加密流量分類

隨著移動(dòng)通信網(wǎng)絡(luò)安全問題越來越突出，如何對(duì)網(wǎng)絡(luò)攻擊造成的移動(dòng)通信流量異常實(shí)施快速有效的檢測，成為目前相關(guān)研究者十分關(guān)注的方向。目前常用的網(wǎng)絡(luò)流量異常檢測的方法主要分為四類[9]：基于分類的方法、基于統(tǒng)計(jì)的方法、基于聚類的方法和基于信息論的方法。

a. 基于分類的網(wǎng)絡(luò)流量異常檢測的方法[10]，是指根據(jù)有監(jiān)督的機(jī)器學(xué)習(xí)的方式，采用基于網(wǎng)絡(luò)流量分類的方法進(jìn)行檢測。具體又包括：支持向量機(jī)SVM、貝葉斯網(wǎng)絡(luò)、神經(jīng)網(wǎng)絡(luò)等具體方法。

b. 基于統(tǒng)計(jì)的方法基本思想是假設(shè)給出的數(shù)據(jù)服從某種概率分布[11]，然后根據(jù)相應(yīng)的模型并通過不一致性驗(yàn)證來發(fā)現(xiàn)異常數(shù)據(jù)，其中可以利用各種數(shù)理統(tǒng)計(jì)相關(guān)的方法技術(shù)，例如混合模型方法、信號(hào)處理方法、主成分分析方法等。

c. 基于聚類的方法是一種無監(jiān)督的檢測方法[12]，最大的優(yōu)勢(shì)是無需標(biāo)注數(shù)據(jù)，而標(biāo)注數(shù)據(jù)在實(shí)際應(yīng)用中往往很難獲取。

d. 基于信息論的方法，信息論中許多概念可以解釋網(wǎng)絡(luò)流量數(shù)據(jù)集的特征[13]，例如熵、條件熵、相對(duì)熵、信息增益等，利用信息論的方法建立相應(yīng)的網(wǎng)絡(luò)流量異常檢測的模型來達(dá)到異常網(wǎng)絡(luò)流量探測的目的。

三、總結(jié)與展望

盡管移動(dòng)通信加密流量識(shí)別已經(jīng)取得了一定的成果，但仍面臨著許多挑戰(zhàn)。例如，加密流量的動(dòng)態(tài)性和變化性使得準(zhǔn)確識(shí)別變得更加困難；同時(shí)，隨著技術(shù)的發(fā)展，新的加密協(xié)議和算法不斷出現(xiàn)，需要不斷更新和改進(jìn)識(shí)別方法以適應(yīng)新的需求。隨著5G、物聯(lián)網(wǎng)、人工智能等技術(shù)的快速發(fā)展，移動(dòng)通信加密流量的識(shí)別將迎來更多的發(fā)展機(jī)遇。未來的研究將更加注重方法的通用性和可擴(kuò)展性，以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境和多樣化的應(yīng)用需求。同時(shí)，隨著安全需求的不斷提升，移動(dòng)通信加密流量的識(shí)別技術(shù)將在網(wǎng)絡(luò)安全、國家安全等方面發(fā)揮更大的作用。

綜上所述，移動(dòng)通信加密流量識(shí)別是一個(gè)充滿挑戰(zhàn)和機(jī)遇的研究領(lǐng)域。未來的研究需要不斷探索新的方法和手段，以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境和多樣化的應(yīng)用需求，為移動(dòng)通信的安全和發(fā)展做出更大的貢獻(xiàn)。

參考文獻(xiàn)

[1]陳良臣,高曙,劉寶旭等.網(wǎng)絡(luò)加密流量識(shí)別研究進(jìn)展及發(fā)展趨勢(shì)[J].信息網(wǎng)絡(luò)安全, 2019.19(3):19-25.

[2]藩吳斌,程光,郭曉軍,黃順翔. 網(wǎng)絡(luò)加密流量識(shí)別研究綜述及展望[J].通信學(xué)報(bào), 2016,37(9):154-167.

[3] MA Ruolong. Research and Implementation of Unknown and Encrypted Traffic Identification Based on Convolutional Neural Network[D]. Beijing: Beijing University of Posts and Telecommunications,2018.

[4]李光松,李文清,李青. 基于隨機(jī)性特征的加密和壓縮流量分類[J],吉林大學(xué)學(xué)報(bào)(工學(xué)版),2020.09.

[5] Alshammari R, Zincir-Heywood A N. Machine Learning-based Encrypted Traffic Classification: Identifying SSH and Skype[C]//IEEE.2019 IEEE Symposium on Computational Intelligence for Security and Defense Applications, July 8-10,2009, Ottawa, ON, Canada. NJ: IEEE.2009:1-8.

[6] Wright C V, Monrose F, Masson G M. Using Visual Motifs to Classify Encrypted Traffic[C]//ACM. The 3rd International Workshop on Visualization for Computer Security, November 3, 2006, Alexandria, Virginia, USA. New York: ACM, 2006:41- 50.

[7] Gao Changxi, Wu Yabiao, Wang Cong. Encrypted Traffic Classification Based on Packet Length Distribution of Sampling Sequence[J]. Journal on Communications, 2015.36 (9):65-75.

[8]孫中軍,翟江濤, 戴躍偉. 一種基于DPI和負(fù)載隨機(jī)性的加密流量識(shí)別方法[J].應(yīng)用科學(xué)學(xué)報(bào),2019.9(05)

[9]王偉.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測方法研究[D].中國科學(xué)技術(shù)大學(xué),2018.

[10] Yanmiao Li, Hao Guo, Jiangang Hou, et al. A Survey of Encrypted Malicious Traffic Detection. 2021 International Conference on Communications, Cybersecurity, and Informatics (CCCI), 2021. 9583191.

[11] Chen Tieming, Jin Chengqiang, Liu Mingqi, Zhu Tiantian. Intelligent detection method on network malicious traffic based on sample enhancement[J]. Journal on Communications, 2020,41(06):128-138

[12] Hwang R, Peng M, Huang C, et al. An unsupervised deep learning model for early network traffic anomaly detection[J]. IEEE Access,2020,8:30387-30399.

[13] Dai Rui, Gao Chuan, Lang Bo. SSL Malicious Traffic Detection Based On Multi-view Features. Proceedings of the 2019 the 9th International Conference on Communication and Network Security[C]. New York, NY, USA:ACM,2019.40-46.