基于深度學(xué)習(xí)的加密流量分類與入侵檢測(cè)

陳 廣,韓衛(wèi)占,張文志

(中國(guó)電子科技集團(tuán)公司 第五十四研究所，石家莊 050081)

0 引言

網(wǎng)絡(luò)流量分類是對(duì)網(wǎng)絡(luò)資源進(jìn)行管理控制的基礎(chǔ)性步驟。以往的流量分類方法，比如基于端口號(hào)和基于數(shù)據(jù)包檢測(cè)(deep packet inspection, DPI)的流量分類方法[1]，不能處理加密流量，已經(jīng)很難適應(yīng)現(xiàn)在的流量環(huán)境。當(dāng)下流行的方法是基于流量統(tǒng)計(jì)和機(jī)器學(xué)習(xí)(machine learning, ML)來對(duì)流量進(jìn)行分類，它既能處理加密流量，又能處理常規(guī)流量，例如決策樹(decision tree, DT)、和K近鄰算法(k-nearest neighbor, KNN)[2]。然而，基于ML方法的性能在很大程度上依賴于人工設(shè)計(jì)的特征和流量中的隱私信息，因此限制了這種方法的通用性和準(zhǔn)確性。除此之外，基于ML的分類方法通常需要很高的存儲(chǔ)和計(jì)算資源，限制了它在資源受限節(jié)點(diǎn)[3](如車輛、家庭網(wǎng)關(guān)和移動(dòng)電話)中的實(shí)現(xiàn)。進(jìn)行實(shí)時(shí)準(zhǔn)確的網(wǎng)絡(luò)流量分類是網(wǎng)絡(luò)管理任務(wù)和入侵檢測(cè)系統(tǒng)的基礎(chǔ)，因此迫切需要一種新的流量分類方法。

近年來，深度學(xué)習(xí)在圖像識(shí)別、語音識(shí)別和自然語言處理等各大領(lǐng)域均有應(yīng)用并取得了很好的成績(jī)。本文提出了一種基于深度學(xué)習(xí)(Deep Learning, DL)算法的流量分類與檢測(cè)架構(gòu)，得益于深度學(xué)習(xí)，該架構(gòu)能夠通過多隱層的深層結(jié)構(gòu)來構(gòu)造特征空間[4]，對(duì)大量數(shù)據(jù)的自主學(xué)習(xí)發(fā)現(xiàn)數(shù)據(jù)的特征，解決了特征子集選取的困難而且提高了分類效率，為網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)分類奠定了基礎(chǔ)。

該流量分類與檢測(cè)架構(gòu)采用了卷積神經(jīng)網(wǎng)絡(luò)(convolutional neural networks, CNN)[5]、長(zhǎng)短時(shí)記憶(long short term memory, LSTM)[6]和堆棧自編碼(stacked auto encoder, SAE)[7]3種深度學(xué)習(xí)算法。CNN用于學(xué)習(xí)流量在空間范圍的特征，LSTM用于學(xué)習(xí)流量與時(shí)間相關(guān)的特征，SAE用于從編碼特征中提取特征。將這3個(gè)算法相結(jié)合，便可以對(duì)原始輸入進(jìn)行全面深入的學(xué)習(xí)。因此DFR能夠在該框架內(nèi)對(duì)加密流量和惡意軟件流量進(jìn)行分類，而且無需人工干預(yù)和數(shù)據(jù)的隱私信息。本文所提出的DFR架構(gòu)只保存在當(dāng)前流量環(huán)境下最有效的分類模型，與之前的方法相比，明顯降低了對(duì)存儲(chǔ)資源的需求。

1 系統(tǒng)模型設(shè)計(jì)

1.1 DFR架構(gòu)

本節(jié)將詳細(xì)說明提出的網(wǎng)絡(luò)加密流量分類和檢測(cè)架構(gòu)。該架構(gòu)可分為兩個(gè)功能模塊，如圖1所示。預(yù)處理模塊、流量學(xué)習(xí)分類模塊。

圖1 流量分類與檢測(cè)架構(gòu)

表1 DFR中使用的符號(hào)和參數(shù)

符號(hào)/參數(shù)含義 T總的時(shí)間單元數(shù) J總的流圖像數(shù) RT時(shí)間單元 對(duì)應(yīng)的流, PT從流中捕獲的第 個(gè)包 G(j)第 個(gè)流圖像, Epoch需要訓(xùn)練的 數(shù)目 Minbatch步長(zhǎng) LR機(jī)器的學(xué)習(xí)速度 Keepp 過程持續(xù)的概率 N需要識(shí)別的類別總數(shù) Lambda 正則化的 參數(shù) EpochFin基于SAE的DFR微調(diào)過程中的 值 LambdaFin基于SAE的DFR微調(diào)過程中的 值 Gtrain訓(xùn)練數(shù)據(jù)集 Gtest測(cè)試數(shù)據(jù)集

1.1.1 預(yù)處理模塊

在這個(gè)模塊中，原始網(wǎng)絡(luò)流量數(shù)據(jù)將被轉(zhuǎn)換為IDX格式[8]，并作為下一過程中的輸入格式。對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理的原因有以下3個(gè)：第一，來自網(wǎng)絡(luò)的原始數(shù)據(jù)長(zhǎng)度不同，這對(duì)于DL模型來說并非理想的輸入格式。第二，原始數(shù)據(jù)會(huì)包含一些可能干擾分類結(jié)果的信息，比如端口號(hào)或MAC地址等。第三，統(tǒng)一的數(shù)據(jù)格式為以后DFR程序的維護(hù)、網(wǎng)絡(luò)應(yīng)用的添加等作好了鋪墊。圖2展示了預(yù)處理過程的概況，包括5個(gè)步驟。

圖2 預(yù)處理階段

數(shù)據(jù)包生成是通過包捕獲工具Wireshark分割原始流量數(shù)據(jù)并保存為PCAP格式文件的步驟。在包生成階段捕獲的是所有層的雙向流。Wang的論文[9]中指出，在基于DL的流量分類方法中，所有層的雙向流是最理想的流量表示。

流量?jī)艋翘蕹幸恍o關(guān)的數(shù)據(jù)信息，包括TCP或UDP頭和數(shù)據(jù)鏈路層中的一些以太網(wǎng)相關(guān)數(shù)據(jù)，例如MAC地址，因?yàn)樗粌H對(duì)接下來的過程沒有用處，甚至可能會(huì)影響分類的結(jié)果。

流量細(xì)化和數(shù)據(jù)長(zhǎng)度統(tǒng)一單元?jiǎng)h除重復(fù)數(shù)據(jù)包和空數(shù)據(jù)包，因?yàn)檫@些數(shù)據(jù)包會(huì)降低對(duì)特征的學(xué)習(xí)能力。并且通過縮減或補(bǔ)零的方式將數(shù)據(jù)包的長(zhǎng)度進(jìn)行統(tǒng)一為784字節(jié)。

IDX格式生成是將這些長(zhǎng)度統(tǒng)一的PCAP文件轉(zhuǎn)換為28*28的IDX二維格式文件，表示所構(gòu)造圖像的分辨率為28*28。IDX格式是深度學(xué)習(xí)領(lǐng)域[10]中的一種常見文件格式，如果將其映射到[0,1]，這些文件便為灰度圖像。

1.1.2 流量學(xué)習(xí)分類模塊

如圖1所示，流量分類模塊基于3個(gè)深度學(xué)習(xí)模型，分別是CNN，LSTM和SAE。我們?cè)谒心Ｐ椭胁捎肔1正則化[11]，原因是L1正則化能夠?qū)⒁恍?quán)重置為0，而L2正則化不能，這有助于DL模型了解并剔除與分類無關(guān)的特征，因此可以獲得更好的分類結(jié)果。在下一節(jié)中我們將基于實(shí)驗(yàn)結(jié)果更詳細(xì)地闡述選擇L1正則化的原因。

1)基于一維CNN的DFR分類器。

卷積神經(jīng)網(wǎng)絡(luò)的基本結(jié)構(gòu)由輸入層、卷積層、池化層、全連接層、輸出層構(gòu)成。一般會(huì)設(shè)計(jì)成若干個(gè)卷積層和池化層相交替的模型，全連接層常用于連接最后兩層節(jié)點(diǎn)，用于輸出最后結(jié)果。

到目前為止，CNN主要應(yīng)用于計(jì)算機(jī)視覺方面，如圖像分類、目標(biāo)檢測(cè)等。CNN具有很強(qiáng)的逐像素學(xué)習(xí)圖形的空間特征的能力。使用CNN來查找相應(yīng)特征從而幫助分類模型從空間范圍對(duì)流量進(jìn)行分類。我們之所以選擇一維 CNN而不是流行的二維CNN，是因?yàn)樵嫉牧髁扛袷绞且环N按層次結(jié)構(gòu)而不是圖像結(jié)構(gòu)組織的順序形式。在Wang等人基于CNN對(duì)流量進(jìn)行分類的相關(guān)工作[9]中，證明了一維CNN可以獲得比二維CNN更高的準(zhǔn)確率。

圖3 基于一維CNN的流量分類器

基于一維CNN的DFR分類器如圖3所示。它由兩個(gè)卷積層、兩個(gè)最大池化層、兩個(gè)局部響應(yīng)歸一化層(local response normalization, LRN)和一個(gè)全連接層組成。首先，把輸入的圖形數(shù)據(jù)重新構(gòu)造成IDX格式，其分類過程如下：

首先，第一個(gè)卷積層使用32個(gè)過濾器處理輸入數(shù)據(jù)，卷積核的大小為5*5*1。每個(gè)過濾器在經(jīng)過一次卷積運(yùn)算后移動(dòng)1步。卷積層的結(jié)果被輸入到激活函數(shù)中，在基于一維CNN的DFR分類器中采用了ReLU[12]激活函數(shù)。因?yàn)樵贑NN中，Sigmoid函數(shù)在反向傳播過程中容易發(fā)生梯度消失的問題，因?yàn)槠湓诮咏柡蛥^(qū)時(shí)，導(dǎo)數(shù)無限接近0，會(huì)引起信息的丟失。與之不同的是，ReLu函數(shù)可以形成網(wǎng)絡(luò)稀疏性，減少參數(shù)之間的相互依賴，避免出現(xiàn)過擬合的問題。

然后，通過最大池化層對(duì)結(jié)果進(jìn)行處理。該層主要作用是用來對(duì)圖像進(jìn)行壓縮并且減少模型的訓(xùn)練參數(shù)，同時(shí)增強(qiáng)模型的魯棒性。池化窗口大小設(shè)置為2*2在每一步中，最大池化層對(duì)一個(gè)2*1·輸入的處理如下：

MaxPooling[x1，x2，x3]=Max [x1，x2，x3]

(1)

在第一個(gè)卷積層的末尾，添加局部響應(yīng)歸一化層以懲罰那些異常的響應(yīng)或輸出，以便獲得更好的泛化性。然后輸出將通過第二個(gè)卷積層，進(jìn)行相同的運(yùn)算過程。第二個(gè)卷積層與第一個(gè)卷積層之間的唯一區(qū)別是它有64個(gè)卷積核。最后，數(shù)據(jù)將通過全連接層，由Softmax分類器輸出分類標(biāo)簽。Softmax分類器的定義如下：

(2)

2)基于LSTM的DFR分類器。

LSTM是遞歸神經(jīng)網(wǎng)絡(luò)(Recursive Neural Network, RNN)的一種變體，該算法解決了梯度消失的問題， LSTM的訓(xùn)練模型如圖4所示。LSTM利用時(shí)間維度和特征維度這兩個(gè)維度來進(jìn)行訓(xùn)練，同時(shí) LSTM利用時(shí)序特征向量和與LSTM內(nèi)部隱藏單元相關(guān)聯(lián)的兩個(gè)向量來迭代神經(jīng)網(wǎng)絡(luò)。LSTM單元的最終隱藏狀態(tài)就是神經(jīng)網(wǎng)絡(luò)的輸出值。 因此，LSTM層的輸出維數(shù)與其內(nèi)部LSTM單元的大小相同。LSTM算法能夠用于學(xué)習(xí)與時(shí)間相關(guān)的特征。

圖4 LSTM模型

以前，只有少數(shù)工作提到使用RNN對(duì)網(wǎng)絡(luò)流量進(jìn)行分類。Torres[14]將流量的字節(jié)數(shù)據(jù)轉(zhuǎn)換為字符數(shù)據(jù)，然后使用LSTM學(xué)習(xí)字符之間的相關(guān)性。不同的是，在本文提出的基于LSTM的流量分類器中，輸入的是圖像文件。圖5展示了基于LSTM的流量分類器的分類原理。

圖5 基于LSTM的流量分類器

如圖5所示，基于LSTM的流量分類器實(shí)際上由兩層LSTM模型組成。其中每一層各有512個(gè)LSTM單元。LSTM模型學(xué)習(xí)了與時(shí)間相關(guān)的特征后，數(shù)據(jù)將通過Softmax分類器進(jìn)行分類，如式(2)中所示。最后在分類結(jié)束時(shí)輸出結(jié)果標(biāo)簽。同樣，為了加快深度學(xué)習(xí)的運(yùn)算效率，在基于LSTM的流量分類器中也應(yīng)用了Adam優(yōu)化器[13]。在訓(xùn)練基于LSTM的流量分類器中同樣也使用了在基于一維 CNN的DFR分類器中相同的超參數(shù)，將其設(shè)置為{Epoch，Minbatch，LR，KeepP，N，Lambda}。

3)基于SAE的流量分類器。

最后一個(gè)流量分類器的核心是兩個(gè)SAE。一般來說，自動(dòng)編碼器是一種用于特征自動(dòng)提取的半監(jiān)督學(xué)習(xí)方法。SAE是自動(dòng)編碼器的變體之一，它具有逐字節(jié)掃描數(shù)據(jù)從而發(fā)現(xiàn)編碼特征的功能。圖6展示了基于SAE的流量分類器的概況。

圖6 基于SAE的流量分類器

第一步是將圖形重新構(gòu)造為1×784的形式，因此可以將輸入與第一個(gè)編碼器進(jìn)行完全連接。圖7展示了這兩個(gè)SAE的訓(xùn)練過程，從圖7可以看出，這兩個(gè)SAE是單獨(dú)訓(xùn)練的。第一個(gè)編碼器有1 000個(gè)神經(jīng)元，這1 000個(gè)神經(jīng)元與784個(gè)輸入和784個(gè)輸出緊密相連。訓(xùn)練編碼器1的目標(biāo)是獲得一個(gè)編碼器，它可以生成與784個(gè)輸入同樣具有最小方差的784個(gè)輸出。在編碼器1被訓(xùn)練之后，將它堆疊在SAE分類器中，并應(yīng)用Sigmoid[15]激活函數(shù)。編碼器2有1 500個(gè)神經(jīng)元，這1 500個(gè)神經(jīng)元將與編碼器1的輸出緊密相連，通過減小編碼器2 的輸入和輸出之間的方差來訓(xùn)練編碼器2，之后將編碼器2堆疊在SAE分類器中，同樣應(yīng)用Sigmoid激活函數(shù)。最后，數(shù)據(jù)經(jīng)過式(2)中定義的Softmax分類器，輸出結(jié)果。值得注意的是，在將這兩個(gè)SAE疊加到分類器之后，將開始一個(gè)精細(xì)的調(diào)優(yōu)訓(xùn)練過程，以獲得最終的模型。

圖7 編碼器的訓(xùn)練過程

由于SAE的兩個(gè)訓(xùn)練過程是分離的，因此某些超參數(shù)與CNN和LSTM不同。所有超參數(shù)都將設(shè)置為{Epoch、EpochFin、Lambda、LambdaFin}和Setsame = {Minbatch、LR、KeepP、N}，其中Setsame與CNN和LSTM有著相同的定義。其中Epoch不能設(shè)置為非常大的數(shù)，因?yàn)樵陔pSAE的訓(xùn)練過程中，大的Epoch會(huì)誤導(dǎo)模型與訓(xùn)練數(shù)據(jù)過度擬合。EpochFin是微調(diào)過程中的Epoch，這個(gè)值不受Epoch的限制。Lambda是雙SAE訓(xùn)練過程中L1正則化的Lambda參數(shù)，需要設(shè)置為一個(gè)比微調(diào)過程中L1正則化的Lambda參數(shù)大得多的值，即LambdaFin。因?yàn)橐粋€(gè)小的Lambda在雙SAE的訓(xùn)練過程中是無效的。

4)分類器的更新與保存。

在這三個(gè)分類模型與訓(xùn)練數(shù)據(jù)訓(xùn)練后，用測(cè)試數(shù)據(jù)對(duì)其進(jìn)行性能評(píng)估。擁有最高精度的分類模型即為最適合當(dāng)前流量環(huán)境的分類器。其中精度的定義如下：

(3)

其中:TP為真陽性，是指屬于類別C的流量被分類成類別C；FP是誤報(bào)，是指非類別C的流量而被分類成為類別C；FN為漏報(bào)，是指屬于類別C的流量而被分類成非類別C；TN為真陰性，是指非類別C的流量而被分成非類別C。

該流量分類與檢測(cè)架構(gòu)能夠根據(jù)不同的流量環(huán)境從CNN，LSTM和SAE這三個(gè)分類器中擇優(yōu)選擇。

2 仿真與分析

2.1 實(shí)驗(yàn)設(shè)置

本節(jié)將從加密流量分類性能、入侵檢測(cè)性能和存儲(chǔ)資源需求三個(gè)方面對(duì)流量分類架構(gòu)的性能進(jìn)行評(píng)估。

2.1.1 數(shù)據(jù)集的選擇

目前，尚未找到一個(gè)同時(shí)具有加密流量和惡意軟件流量的公共數(shù)據(jù)集，因此在本實(shí)驗(yàn)中使用了兩個(gè)選定的公共數(shù)據(jù)集ISCX VPN-non VPN[16]和ISCX 2012 IDS[17]來評(píng)估DFR框架。

表2 ISCX VPN-non VPN數(shù)據(jù)集

第一個(gè)數(shù)據(jù)集是由ISCX VPN-non VPN流量數(shù)據(jù)集[16]改造生成的，用來評(píng)估DFR對(duì)加密流量分類的有效性。ISCX VPN-non VPN數(shù)據(jù)集最初有7種類型的常規(guī)加密流量和7種協(xié)議封裝流量。因?yàn)橹饕u(píng)估的是加密流量的分類性能，所以可以舍棄協(xié)議封裝流量類型，只保留7種常規(guī)加密流量類型即可。同時(shí)，其它6種加密流量都與Web Browsing有關(guān)，因此同樣可以舍棄Web Browsing這類加密流量[9]。為了保證數(shù)據(jù)集的均衡性，在一定程度上減少了常見流量的數(shù)目。所選數(shù)據(jù)集的組成結(jié)構(gòu)如表2所示。應(yīng)用標(biāo)準(zhǔn)化后，每一類流量的數(shù)量約為10 000例。將該數(shù)據(jù)集按照9:1的比例自動(dòng)分為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。因此，訓(xùn)練數(shù)據(jù)集將有52 916例，測(cè)試數(shù)據(jù)集將有5 880例。

表3 ISCX 2012 IDS數(shù)據(jù)集

第二個(gè)數(shù)據(jù)集從ISCX 2012 IDS數(shù)據(jù)集[17]重新生成，以評(píng)估DFR對(duì)入侵檢測(cè)的有效性。該數(shù)據(jù)集包含七天內(nèi)的網(wǎng)絡(luò)流量，可分為5類，Normal, Brute Force SSH, DDoS, HttpDoS, 和Infltrating。由于惡意軟件流量與現(xiàn)實(shí)生活中的正常流量相比，其規(guī)模相對(duì)較小，因此沒有采用數(shù)據(jù)集的規(guī)范化方法。表3展示了所選數(shù)據(jù)集的結(jié)構(gòu)。最后，將該數(shù)據(jù)集同樣按照9:1的比例分為訓(xùn)練數(shù)據(jù)集和測(cè)試數(shù)據(jù)集。

2.1.2 實(shí)驗(yàn)環(huán)境搭建

軟件方面，Tensorflow為實(shí)驗(yàn)的仿真軟件，在Ubuntu 18.04 的64位操作系統(tǒng)上運(yùn)行。硬件方面，處理器是一個(gè)8核Intel I7-7700K CPU，內(nèi)存為32 GB，GPU加速器為兩塊Nvidia GeForceGTX 1080 Ti。 DFR訓(xùn)練過程中超參數(shù)的設(shè)置如表4所示。

表4 超參數(shù)的設(shè)置

2.1.3 評(píng)估指標(biāo)

利用式(3)中定義的精度選擇最優(yōu)DFR。同時(shí)利用3個(gè)指標(biāo)來評(píng)估DFR的性能，即準(zhǔn)確率、查全率、F1值，定義如下：

(4)

(5)

(6)

2.2 實(shí)驗(yàn)結(jié)果

首先評(píng)估了本文所提分類架構(gòu)對(duì)加密流量的分類性能，利用實(shí)驗(yàn)驗(yàn)結(jié)果解釋了采用L1正則化的原因。然后，評(píng)估了分類架構(gòu)對(duì)入侵檢測(cè)的性能。最后，對(duì)存儲(chǔ)資源的需求進(jìn)行了比較。

2.2.1 分類架構(gòu)對(duì)加密流量的分類性能

通過實(shí)驗(yàn)數(shù)據(jù)解釋了在該實(shí)驗(yàn)中應(yīng)用L1正則化的合理性。然后，將基于DFR的分類方法與另外兩種較先進(jìn)的分類方法的分類性能進(jìn)行了和評(píng)估比較。

表5 分類架構(gòu)在加密流量上的分類準(zhǔn)確率

從表5中可以看出，DL模型用L1正則化替代L2正則化后，平均精度提高了3.29%，驗(yàn)證了在第二節(jié)中關(guān)于應(yīng)用L1或L2正則化的分析。同時(shí)可以看出基于一維CNN的分類器的精度最高，為99.78%，因此們將該分類器作為當(dāng)前網(wǎng)絡(luò)流量環(huán)境下最優(yōu)的流量分類器。

我們將改進(jìn)的基于1D-CNN的分類方法與另外兩種比較先進(jìn)的分類方法在加密流量數(shù)據(jù)集上進(jìn)行了分類性能的評(píng)估。第一種方法來自工作[16]中提出的基于ML的C4.5 DT的分類方法，需要人為設(shè)計(jì)的特征。第二種方法是在工作[9]中提出的1D-CNN分類方法，與我們使用的1D-CNN模型類似，但是該方法中沒有應(yīng)用LRN和正則化方法。

如圖8所示，可以直觀的看出我們改進(jìn)的基于1D-CNN的分類方法可以獲得比基于ML的C4.5方法和傳統(tǒng)的基于1D-CNN方法更精確和穩(wěn)健的分類結(jié)果。我們所提出的分類方法在分類準(zhǔn)確率方面，相較于C4.5 DT和1D-CNN,改善程度分別為12.4%和15.2%；Recall值相較于C4.5和傳統(tǒng)1D-CNN分別平均有11.82%和14.93%的改善；F1值相較于C4.5和傳統(tǒng)1D-CNN也分別平均有12.6%和16.0%的改善。綜上所述，本文所提出的流量分類架構(gòu)能夠準(zhǔn)確地對(duì)加密流量進(jìn)行分類。

圖8 加密流量分類性能的比較

2.2.2 分類架構(gòu)的入侵檢測(cè)性能

對(duì)于數(shù)據(jù)集2，基于LSTM的D分類器的準(zhǔn)確率達(dá)到99.53%，是在本文所提出的流量分類與檢測(cè)架構(gòu)中最高的。將該方法與Atli的工作[2]中展示的兩種最先進(jìn)的基于ML的入侵檢測(cè)方法(分別為DT和KNN)進(jìn)行了比較。

圖9 入侵檢測(cè)性能的比較

如圖9所示，該架構(gòu)能夠?qū)阂廛浖髁勘３种鴥?yōu)異的檢測(cè)性能?；贚STM的入侵檢測(cè)方法與基于KNN和DT的入侵檢測(cè)方法相比，其F1值分別有14.18%和10.98%的改善。另外，本文提出的流量分類與檢測(cè)架構(gòu)在對(duì)HttpDoS的惡意流量方面保持著優(yōu)異的性能，與DT和KNN相比有了重大改進(jìn)。綜上所述，本文提出的流量分類與檢測(cè)架構(gòu)擁有較為優(yōu)異的入侵檢測(cè)性能。

2.2.3 存儲(chǔ)資源比較

基于改進(jìn)的1D-CNN的流量分類器的訓(xùn)練文件大小為1 659 kB，基于LSTM的流量分類器需要占據(jù)268 kB的存儲(chǔ)空間，基于SAE的流量分類器的訓(xùn)練文件大小為13 862 kB。與平均文件大小分別為78 954 kB和32 968 kB的KNN模型和DT模型相比，流量分類與檢測(cè)架構(gòu)對(duì)存儲(chǔ)資源的需求明顯降低。

3 結(jié)束語

本文提出了一種基于深度學(xué)習(xí)的流量分類和惡意軟件流量檢測(cè)架構(gòu)，該架構(gòu)與現(xiàn)有的基于機(jī)器學(xué)習(xí)的方法相比，避免了復(fù)雜的特征提取工作，同時(shí)在很大程度上保證了用戶的隱私安全。為了驗(yàn)證該架構(gòu)的可行性，在兩個(gè)有代表性的數(shù)據(jù)集進(jìn)行了實(shí)驗(yàn)分析，結(jié)果表明該流量分類與檢測(cè)架構(gòu)在對(duì)存儲(chǔ)資源需求較低的情況下，能夠獲得較為優(yōu)異的加密流量分類和入侵檢測(cè)性能。