基于半監(jiān)督深度學(xué)習(xí)的網(wǎng)絡(luò)惡意加密流量識別方法

中國互聯(lián)網(wǎng)信息中心發(fā)布的第49次《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，截至2021年12月，中國互聯(lián)網(wǎng)普及率達(dá)73.0%?；ヂ?lián)網(wǎng)中采用加密的流量呈逐年攀升的趨勢。在全球主要國家與地區(qū)，這一數(shù)據(jù)更是已經(jīng)超過了90%。由數(shù)據(jù)統(tǒng)計機(jī)構(gòu)Netmarketshare發(fā)布的統(tǒng)計數(shù)據(jù)可知，截至2019年10月2日，超文本傳輸安全協(xié)議（HyperTextTransferProtocoloverSecureSocketsLayer，HTTPS）加密萬維網(wǎng)（WorldWideWeb，WWW）流量在全球范圍內(nèi)被使用的比例已經(jīng)超過90%；2019年12月，谷歌宣稱80%的Android應(yīng)用程序默認(rèn)使用傳輸層安全協(xié)議（TransportLayerSecurity，TLS）加密所有流量，且這一比例還會隨著時間的推移而繼續(xù)增大。越來越多的惡意軟件隱匿在加密TLS流量中來傳輸惡意信息，對用戶、企業(yè)和國家的通信安全造成威脅。因此，對TLS惡意加密流量進(jìn)行高效識別對網(wǎng)絡(luò)監(jiān)管和打擊犯罪有著重要意義。

目前，已經(jīng)有國內(nèi)外研究人員對網(wǎng)絡(luò)惡意加密流量進(jìn)行研究，并且取得了一定的成就。提出對加密流量進(jìn)行深度包檢測（DeepPacketInspection，DPI）而無需解密的技術(shù)，但在設(shè)置階段需要大量的計算和較長的檢測時間。提出了一種TLS指紋識別系統(tǒng)，該系統(tǒng)利用目標(biāo)地址、端口和服務(wù)器名精心構(gòu)造的指紋串。近年來，半監(jiān)督學(xué)習(xí)在圖像識別、自然語言處理等領(lǐng)域也取得了顯著成績。提出了一種半監(jiān)督檢測模型，首先在大型未標(biāo)記數(shù)據(jù)集上訓(xùn)練，然后使用少量標(biāo)記數(shù)據(jù)集重新訓(xùn)練模型。谷歌的研發(fā)隊(duì)伍提出了MixMatch和FixMatch技術(shù)，利用集成方法，提高了模型準(zhǔn)確率。為解決網(wǎng)絡(luò)惡意加密流量識別方法中大量標(biāo)記樣本獲取困難問題，本文提出一種基于FixMatch的網(wǎng)絡(luò)惡意加密流量識別方法。通過借助網(wǎng)絡(luò)流量圖片化方法將PCAP格式的原始流量數(shù)據(jù)以流為單位進(jìn)行切分、填充、映射到灰度圖片中，構(gòu)建FixMatch模型并對惡意加密流量進(jìn)行分類，在公開數(shù)據(jù)集上進(jìn)行驗(yàn)證，實(shí)驗(yàn)證明識別效果優(yōu)于現(xiàn)有方法。1相關(guān)知識1.1卷積神經(jīng)網(wǎng)絡(luò)卷積神經(jīng)網(wǎng)絡(luò)（ConvolutionalNeuralNetworks，CNN）是一種人工神經(jīng)網(wǎng)絡(luò)，目前已成為語音分析和圖像識別領(lǐng)域的研究熱點(diǎn)，廣泛應(yīng)用于人臉識別、疾病分析、圖像處理等領(lǐng)域。CNN一般由輸入層、卷積層、池化層、全連接層以及輸出層構(gòu)成。其中卷積層可從輸入數(shù)據(jù)中快速精準(zhǔn)地提取樣本特征。池化層有2個典型特性：一是可以大幅度加快模型的訓(xùn)練速度，對提取的特征信息進(jìn)行降維處理，降低訓(xùn)練量。二是防止模型訓(xùn)練結(jié)果過擬合。實(shí)際的操作中，常在兩個相鄰的卷積層之間加入一層池化層。全連接層的特性之一是能將當(dāng)前訓(xùn)練所提取的特征和保留的樣本特征進(jìn)行組合。正是由于CNN擁有局部連接和權(quán)值共享的特性，使得CNN可以精準(zhǔn)高效地從輸入數(shù)據(jù)中挖掘潛在的特征。1.2一致性正則化一致性正則化是當(dāng)前最先進(jìn)的半監(jiān)督學(xué)習(xí)算法的一個重要組成部分。一致性正則化利用未標(biāo)記的數(shù)據(jù)，它依賴于這樣一個假設(shè)：當(dāng)輸入相同圖像的擾動版本時，模型應(yīng)該輸出相似的預(yù)測。該想法首次在LearningwithPseudo－Ensembles中提出，其中模型通過標(biāo)準(zhǔn)監(jiān)督分類損失和損失函數(shù)對未標(biāo)記數(shù)據(jù)進(jìn)行訓(xùn)練。式中：為一批標(biāo)記的樣本，為訓(xùn)練樣本，為one-hot標(biāo)簽。設(shè)為一批未標(biāo)記的樣本，其中u是確定X和U相對大小的超參數(shù)。設(shè)為模型對輸入X產(chǎn)生的預(yù)測類分布。1.3相關(guān)半監(jiān)督深度學(xué)習(xí)算法1.3.1偽標(biāo)簽（PseudoLabel）偽標(biāo)簽是一種簡單有效的深度神經(jīng)網(wǎng)絡(luò)半監(jiān)督方法。其在監(jiān)督的方式下訓(xùn)練有標(biāo)簽的樣本，對于無標(biāo)記樣本通過偽標(biāo)簽的方法選擇出該數(shù)據(jù)具有的最大概率預(yù)測類，把這個預(yù)測出的標(biāo)簽作為實(shí)際標(biāo)簽使用。偽標(biāo)簽利用模型本身的思想為未標(biāo)記的數(shù)據(jù)獲取人工標(biāo)簽。具體來說，這指的是用“硬”標(biāo)簽（即模型輸出的參數(shù)最大值），并且只保留最大類概率高于預(yù)定義閾值的人工標(biāo)簽。令偽標(biāo)記使用以下?lián)p失函數(shù)：式中：τ為閾值，兩個概率分布p和q之間的交叉熵為1.3.2MixMatchMixMatch是一種整體方法，它結(jié)合了半監(jiān)督學(xué)習(xí)主流范例中的思想。給定一組標(biāo)注實(shí)例X及其對應(yīng)的one-hot目標(biāo)（代表L個可能標(biāo)簽中的一個）和一批大小相同的未標(biāo)記示例U，MixMatch將生成一批經(jīng)過處理的增強(qiáng)標(biāo)記示例X'和一批猜測標(biāo)簽U'的增強(qiáng)未標(biāo)記示例。然后分別使用U'和X'計算單獨(dú)的標(biāo)記和未標(biāo)記損失項(xiàng)。半監(jiān)督學(xué)習(xí)的組合損失L如下：式中：H(p,q)為分布p與分布q間的交叉熵；T，K，α，為超參數(shù)。模型對參數(shù)為θ的輸入x產(chǎn)生類標(biāo)簽y上的分布。1.3.3ICT插值一致性訓(xùn)練（InterpolationConsistencyTraining，ICT）鼓勵對于無標(biāo)記樣本點(diǎn)的插值的預(yù)測和這些樣本的預(yù)測的插值保持一致。ICT可以將決策邊界移動到數(shù)據(jù)分布的低密度區(qū)域，如果兩個樣本在輸入分布中屬于同一個聚類或簇，它們很可能屬于同一個類別，這被稱為聚類假設(shè)，這也表明好的決策邊界應(yīng)當(dāng)位于數(shù)據(jù)分布的低密度區(qū)域。不同的一致性正則化技術(shù)的區(qū)別在于如何選擇對未標(biāo)記數(shù)據(jù)的擾動，常規(guī)的做法是使用隨機(jī)擾動，但是在高維情況下只有很小比例的隨機(jī)擾動能夠?qū)Q策邊界推到低密度區(qū)域，對此，ICT提出了一種簡單但是有效的基于插值一致性的方法：式中：為ICT的訓(xùn)練分類器，θ'為θ的滑動平均。為參數(shù)為λ的線性插值函數(shù)：1.3.4FixMatch在一致性正則化和偽標(biāo)記方法基礎(chǔ)上，將它們相結(jié)合，提出了新的一些具有更高準(zhǔn)確率的方法。在2020年提出了FixMatch，該方法結(jié)合了偽標(biāo)簽和一致性正則化的思想，盡管FixMatch的整個環(huán)節(jié)較簡單，但其在多個標(biāo)準(zhǔn)數(shù)據(jù)集上都得到了目前的最好結(jié)果。FixMatch利用了兩種增強(qiáng)：“弱”和“強(qiáng)”。FixMatch中使用的弱增強(qiáng)分為平移和翻轉(zhuǎn)兩類，數(shù)據(jù)增強(qiáng)前后，圖片變化不大。平移是基于空間上的變換，表現(xiàn)為上、下、左、右的平行移動。翻轉(zhuǎn)表現(xiàn)為對圖片進(jìn)行水平、垂直翻轉(zhuǎn)。FixMatch中使用的強(qiáng)增強(qiáng)包含Cutout、CTAugment和RandAugment。Cutout是一種模擬遮擋的方法，表現(xiàn)為對圖像的部分區(qū)域進(jìn)行遮擋。AutoAugment是一種能夠利用搜索算法，自動檢索合適的數(shù)據(jù)增強(qiáng)策略的方法。RandAugment是AutoAugment的變體，它給定了一個可以選擇的數(shù)據(jù)增強(qiáng)方法的列表，并給定了一些可能的數(shù)據(jù)增強(qiáng)幅度?？梢詮倪@幾個列表中選擇N個增強(qiáng)方法，然后隨機(jī)選擇一個數(shù)據(jù)增強(qiáng)幅度上限M，使得這N個數(shù)據(jù)增強(qiáng)方法的幅度不能超過給定的幅度上限M，然后將這一系列增強(qiáng)方法用于圖片。CTAugment通過控制理論的思想解決了RandAugment中對于數(shù)據(jù)增強(qiáng)策略的學(xué)習(xí)需求，動態(tài)學(xué)習(xí)了每個變換的幅度。對于每一個有標(biāo)簽樣本，用交叉熵?fù)p失訓(xùn)練一個有監(jiān)督模型。對于每一個無標(biāo)簽樣本，采用弱增強(qiáng)得到一幅圖像，將該圖像傳遞給模型，得到一個預(yù)測結(jié)果，該模型會設(shè)定一個閾值，如果這個預(yù)測結(jié)果最高的類別的置信度高于閾值，那么，該類別就會作為這張圖片的標(biāo)簽。此時，運(yùn)用了自訓(xùn)練的思想，即偽標(biāo)簽。然后，強(qiáng)增強(qiáng)后的圖片通過模型進(jìn)行一個分類的預(yù)測，此時會得到另一個預(yù)測結(jié)果，對模型的輸出施加交叉熵?fù)p失。根據(jù)一致性正則化的思想，模型希望弱增強(qiáng)和強(qiáng)增強(qiáng)這兩種數(shù)據(jù)增強(qiáng)方法后的圖片的預(yù)測結(jié)果盡可能一致。最后，有標(biāo)簽樣本損失和無標(biāo)簽樣本損失的加權(quán)當(dāng)作模型總損失，以總損失最小為目標(biāo)優(yōu)化模型。FixMatch的處理流程如圖1所示。圖1FixMatch的處理流程2基于FixMatch的TLS網(wǎng)絡(luò)惡意流量識別方法2.1網(wǎng)絡(luò)流量圖片化基于文獻(xiàn)[19]對數(shù)據(jù)處理的經(jīng)驗(yàn)，本節(jié)的網(wǎng)絡(luò)流量圖片化主要是使用工具集USTCTK2016將原始流量數(shù)據(jù)（PCAP）處理成cifar10數(shù)據(jù)集格式（便于更好地遷移到多數(shù)模型）。（1）流量切分：按照流量表示形式將原始PCAP文件按照數(shù)據(jù)流形式切分為多個PCAP文件，本數(shù)據(jù)流是具有相同五元組信息的數(shù)據(jù)包的時間排序集合。（2）圖片生成：將處理過的文件按照784字節(jié)進(jìn)行統(tǒng)一長度處理，即保留文件前784字節(jié)數(shù)據(jù)，舍棄文件785字節(jié)及以后的所有信息，如果長度少于784字節(jié)，則在文件后面補(bǔ)充0x00；統(tǒng)一長度后的文件按照二進(jìn)制形式轉(zhuǎn)換為灰度圖片，即一個字節(jié)對應(yīng)灰度像素值，如0x00對應(yīng)黑色，0xff對應(yīng)白色，輸出格式為PNG。在公開數(shù)據(jù)集上對網(wǎng)絡(luò)流量進(jìn)行圖片化處理后的效果如圖2、圖3所示。圖3USTC-TFC2016數(shù)據(jù)集下流量圖片化展示2.2構(gòu)建FixMatch的TLS網(wǎng)絡(luò)惡意流量識別模型2.2.1數(shù)據(jù)增強(qiáng)根據(jù)FixMatch模型中的弱增強(qiáng)和強(qiáng)增強(qiáng)方法對轉(zhuǎn)換成圖片的數(shù)據(jù)進(jìn)行數(shù)據(jù)增強(qiáng)處理。本文采用的弱增強(qiáng)為50%的概率對圖片進(jìn)行水平翻轉(zhuǎn)，利用reflect的方式進(jìn)行填充，然后進(jìn)行隨機(jī)裁剪和數(shù)據(jù)歸一化處理；本文采用RandAugment方法進(jìn)行數(shù)據(jù)強(qiáng)增強(qiáng)，規(guī)定從RandAugment給定的數(shù)據(jù)增強(qiáng)方法列表N中隨機(jī)選擇增強(qiáng)方法，從1到10之間隨機(jī)選擇一個數(shù)據(jù)增強(qiáng)幅度上限M，使得這N個數(shù)據(jù)增強(qiáng)方法的幅度不能超過給定的幅度上限M。2.2.2FixMatch模型構(gòu)建FixMatch結(jié)合了偽標(biāo)簽和一致性正則化的思想，其損失函數(shù)由兩個交叉熵?fù)p失項(xiàng)組成：應(yīng)用于標(biāo)記數(shù)據(jù)的監(jiān)督損失和非監(jiān)督損失針對有標(biāo)簽樣本：使用交叉熵?fù)p失訓(xùn)練一個有監(jiān)督模型，得到有監(jiān)督樣本的損失函數(shù)針對無標(biāo)簽樣本：首先，在給定的無標(biāo)簽圖像的弱增強(qiáng)版本下計算模型的預(yù)測類分布如果得到的類別預(yù)測結(jié)果的最值大于預(yù)先給定的閾值，則該類別就是這個圖片的標(biāo)簽。其次，使用作為偽標(biāo)簽，該圖片再經(jīng)過強(qiáng)增強(qiáng)，得到強(qiáng)增強(qiáng)后的分類預(yù)測結(jié)果。這個結(jié)果與新生成的標(biāo)簽信息做交叉熵?fù)p失，得到無標(biāo)簽樣本的損失式中：τ為一個標(biāo)量超參數(shù)，表示閾值以上保留一個偽標(biāo)簽。有標(biāo)簽樣本損失和無標(biāo)簽樣本損失的加權(quán)當(dāng)作模型總損失，以總損失最小為目標(biāo)優(yōu)化模型，F(xiàn)ixMatch最小的損失函數(shù)為其中為一個固定的標(biāo)量超參數(shù)，表示未標(biāo)記損失的相對權(quán)重。FixMatch算法偽代碼如算法1所示。FixMatch模型的訓(xùn)練流程：對于每一個有標(biāo)簽的樣本，用交叉熵?fù)p失訓(xùn)練一個有監(jiān)督模型，得到一個有標(biāo)簽樣本的損失；對于每一個沒有標(biāo)簽的樣本，采用弱增強(qiáng)得到一幅圖像，將該圖像傳遞給模型，得到一個預(yù)測結(jié)果。比較模型與預(yù)先設(shè)定的閾值，如果這個預(yù)測結(jié)果最高的類別的置信度高于閾值，該類別就會作為這張圖片的標(biāo)簽，即偽標(biāo)簽。然后，強(qiáng)增強(qiáng)后的圖片也會通過模型進(jìn)行一個分類的預(yù)測，此時會得到另一個預(yù)測結(jié)果，對模型的輸出施加交叉熵?fù)p失。基于FixMatch的網(wǎng)絡(luò)惡意加密流量檢測系統(tǒng)架構(gòu)如圖4所示。圖4基于FixMatch的網(wǎng)絡(luò)惡意加密流量檢測系統(tǒng)架構(gòu)3實(shí)驗(yàn)結(jié)果及分析3.1實(shí)驗(yàn)環(huán)境與數(shù)據(jù)集本文實(shí)驗(yàn)在Windows10環(huán)境下運(yùn)行，處理器為AMDRyzen74800H，GPU為RTX2060，內(nèi)存為16GB。采用Pytorch1.8.0軟件框架實(shí)現(xiàn)基于FixMatch的網(wǎng)絡(luò)惡意加密流量識別。本實(shí)驗(yàn)選用的是開放數(shù)據(jù)集CTU-MalwareCapture和USTC-TFC2016中的部分?jǐn)?shù)據(jù)，數(shù)據(jù)由原始的PCAP文件組成。從CTU-MalwareCapture中選擇了Dridex，Dynamer，HTBot，Miuref，Zbot和Cerber6類使用TLS進(jìn)行加密通信的惡意應(yīng)用流量；從USTC-TFC2016中選擇了Neris，Shifu，Zeus，Virut和Htbot5類使用TLS進(jìn)行加密通信的惡意應(yīng)用流量。數(shù)據(jù)集構(gòu)成如表1和表2所示。表1CTU-Malware-Capture惡意家族樣本表2USTC-TFC2016數(shù)據(jù)集樣本3.2評價指標(biāo)本文采用查準(zhǔn)率（Precision）、召回率（Recall）、值（F1-score）和準(zhǔn)確率（Accuary）作為評價指標(biāo)來估計方法的分類效果，其定義如下：查準(zhǔn)率（Pre）：召回率（Rec）：準(zhǔn)確率（Acc）：式中：TP，TN，F(xiàn)P和FN分別為正確識別的目標(biāo)流量數(shù)、正確識別的其他流量數(shù)、錯誤識別的目標(biāo)流量數(shù)和錯誤識別為其他流量數(shù)的目標(biāo)流量數(shù)。3.3模型參數(shù)設(shè)置FixMatch模型訓(xùn)練時，選擇帶動量的隨機(jī)梯度下降算法（StochasticGradientDescent，SGD）作為優(yōu)化器，且動量的大小設(shè)置為0.9。批量大小（BatchSize）設(shè)置為100。本文參照FixMatch原論文的設(shè)定，將無監(jiān)督部分損失的系數(shù)設(shè)置為1，無標(biāo)簽數(shù)據(jù)批量倍數(shù)u設(shè)置為7。過濾低置信度的無標(biāo)簽樣本閾值τ設(shè)為0.95，學(xué)習(xí)率（LearningRate）設(shè)置為0.01，并且使用帶熱啟動（WarmUp）的余弦學(xué)習(xí)率衰減（CosineDecaySchedule）。本文使用的網(wǎng)絡(luò)惡意加密流量分類模型的骨干網(wǎng)絡(luò)是CNN，批量大小設(shè)置為50。將數(shù)據(jù)集打亂后，設(shè)定0.2為拆分閾值，選取20%做測試集，剩下的為訓(xùn)練集。本文將提出的基于FixMatch的TLS網(wǎng)絡(luò)惡意流量識別方法分別與近年來提出的半監(jiān)督學(xué)習(xí)方法MixMatch、ICT以及經(jīng)典半監(jiān)督學(xué)習(xí)方法PseudoLabel進(jìn)行對比。在進(jìn)行實(shí)驗(yàn)前，對上述3種模型的超參數(shù)進(jìn)行設(shè)置，根據(jù)此前研究者們提供的參考值并結(jié)合實(shí)驗(yàn)結(jié)果，對實(shí)驗(yàn)參數(shù)進(jìn)行多次調(diào)整，設(shè)置參數(shù)值如表3所示。表3半監(jiān)督模型超參數(shù)3.4實(shí)驗(yàn)結(jié)果及分析3.4.1不同標(biāo)記樣本占比的結(jié)果對比將本文構(gòu)建的FixMatch模型與其他3種半監(jiān)督模型在不同少標(biāo)記樣本下進(jìn)行實(shí)驗(yàn)，在數(shù)據(jù)集和USTC-TFC2016下多分類結(jié)果如圖5、圖6所示。（a）不同標(biāo)記占比下的準(zhǔn)確率對比（b）不同標(biāo)記占比下的查準(zhǔn)率對比（c）不同標(biāo)記占比下的召回率對比（d）不同標(biāo)記占比下的F1對比圖5CTU-Malware-Capture在不同標(biāo)記樣本占比下的多分類結(jié)果對比

值逐漸趨于穩(wěn)定。（a）不同標(biāo)記占比下的準(zhǔn)確率對比（b）不同標(biāo)記占比下的查準(zhǔn)率對比（c）不同標(biāo)記占比下的召回率對比（d）不同標(biāo)記占比下的F1對比圖6USTC-TFC2016在不同標(biāo)記樣本占比下的多分類結(jié)果對比由圖5、圖6可知，在20%標(biāo)記樣本下，本文使用的所有半監(jiān)督模型都達(dá)到0.9以上的水平，這說明使用20%的標(biāo)記數(shù)據(jù)集，大部分模型都可以準(zhǔn)確識別惡意流量類型。隨著標(biāo)記樣本量的減少和未標(biāo)記樣本占比的上升，F(xiàn)ixMatch模型逐漸顯示出更好的分類效果。當(dāng)標(biāo)記樣本占比下降到10%時，除FixMatch模型各項(xiàng)指標(biāo)依然保持較高水平外，其他模型指標(biāo)都有明顯下降，說明FixMatch模型整體效果要優(yōu)于其他半監(jiān)督模型。在CTU-Malware-Capture數(shù)據(jù)集下，當(dāng)標(biāo)記樣本占比下降到0.3%時，與PseudoLabe算法相比，F(xiàn)ixMatch模型的查準(zhǔn)率、召回率、值分別提高了4.56%，3.26%和3.93%。在USTC-TFC2016數(shù)據(jù)集下，當(dāng)標(biāo)記樣本占比下降到0.5%時，與ICT相比，F(xiàn)ixMatch模型的查準(zhǔn)率、召回率、值分別提高了3.11%，3.47%和3.29%。該實(shí)驗(yàn)說明，標(biāo)記樣本占比逐漸減少對FixMatch模型造成的影響相對較小，尤其是標(biāo)記樣本占比極小時，F(xiàn)ixMatch模型的優(yōu)勢更加明顯。3.4.2不同算法性能對比隨著樣本數(shù)量的增加，F(xiàn)ixMatch的準(zhǔn)確率有穩(wěn)定上升的趨勢，在相同的樣本總數(shù)下，只需要少量標(biāo)記樣本就能達(dá)到其他半監(jiān)督學(xué)習(xí)模型的識別效果，這大大減少了在網(wǎng)絡(luò)流量識別中需要準(zhǔn)確標(biāo)記所有訓(xùn)練樣本的人力、物力和時間成本。同時，在樣本數(shù)量不斷增加時，模型的準(zhǔn)確率、查準(zhǔn)率、召回率和

值逐漸趨于穩(wěn)定。通過上述實(shí)驗(yàn)可以看到，在CTU-MalwareCapture和USTC-TFC2016數(shù)據(jù)集下，F(xiàn)ixMatch在20%的標(biāo)記樣本數(shù)時，能達(dá)到很好的識別效果。表4詳細(xì)記錄了FixMatch模型與MixMatch、ICT和PseudoLabel3種半監(jiān)督模型的對比結(jié)果。從表4可以看出，在CTU-Malware-Captu