惡意加密流量檢測(cè)中的特征提取與分類方法研究目錄 1 21.1研究背景與意義 21.2國(guó)內(nèi)外研究現(xiàn)狀 21.3本文的主要貢獻(xiàn)和創(chuàng)新 3 3第二章.相關(guān)基礎(chǔ)與原理 5 52.2網(wǎng)絡(luò)流量的識(shí)別方法 62.3深度學(xué)習(xí) 9第三章.基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法 3.1原始網(wǎng)絡(luò)流量的預(yù)處理 3.2雙向網(wǎng)絡(luò)流的特征向量化 3.3通信行為圖的構(gòu)造 3.4基于圖注意力神經(jīng)網(wǎng)絡(luò)的惡意流量識(shí)別算法 3.5基于圖注意力網(wǎng)絡(luò)的惡意流量識(shí)別算法流程描述 3.6實(shí)驗(yàn)結(jié)果及分析 21 264.1惡意加密流量檢測(cè)系統(tǒng)的基本架構(gòu)和設(shè)計(jì) 26 28 29 5.1全文總結(jié) 5.2后續(xù)工作展望 隨著加密協(xié)議的廣泛應(yīng)用，如何有效地檢測(cè)出惡意的加密流量成為一項(xiàng)挑戰(zhàn)。本文提出了一種基于圖注意力神經(jīng)網(wǎng)絡(luò)的惡意加密流量識(shí)別算法。傳統(tǒng)的惡意加密流量識(shí)別方案往往只關(guān)注網(wǎng)絡(luò)流量自身的特征，而忽略了主機(jī)之間的通信行為。2用圖注意力神經(jīng)網(wǎng)絡(luò)將惡意加密流量的識(shí)別問題抽象為圖分析任務(wù)中的節(jié)點(diǎn)分關(guān)鍵詞：加密流量惡意流量檢測(cè)深度學(xué)習(xí)圖注意力神經(jīng)網(wǎng)絡(luò)為了保證用戶的隱私和數(shù)據(jù)安全，以TLS/SSL為基礎(chǔ)的HTTPS加密流量在網(wǎng)絡(luò)流量中的占比越來越高(吳雨桐，徐梓軒，2022)。據(jù)谷歌透明度報(bào)告顯示，截止到2021年4月，所有Google產(chǎn)品和服務(wù)中的HTTPS加密流量占比已經(jīng)超過了95%,網(wǎng)站加密傳輸協(xié)議的使用在全球已近乎普及。量的檢測(cè)變得失效(余睿淵，沈詩(shī)涵，2021)。逐步引入至流量分析領(lǐng)域中(蘇明哲，曹君浩，2021)。許多研究通過提取流量移到深度學(xué)習(xí)模型中來完成惡意流量的識(shí)別。從前面的分析而言思科公司在[5]唐心怡，2024)。1.3本文的主要貢獻(xiàn)和創(chuàng)新量(閻志遠(yuǎn)，孟曉霞，2024)。1.4結(jié)構(gòu)安排第一章緒論。本章主要介紹了惡意加密流量的研究背景及惡意加密流量第二章相關(guān)預(yù)備知識(shí)。本章主要介紹了惡意流量識(shí)別的相關(guān)領(lǐng)域知識(shí)和第三章基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法。本章主要介紹了基4第四章惡意加密流量的檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。本章主要介紹了惡意加密流量的檢測(cè)系統(tǒng)的系統(tǒng)架構(gòu)設(shè)計(jì)與具體實(shí)現(xiàn)，并對(duì)系統(tǒng)的最終效果進(jìn)行了展第五章總結(jié)與展望?？偨Y(jié)了本文的研究工作，并分析了本文提出的惡意加密流量檢測(cè)方案的創(chuàng)新性，并對(duì)后續(xù)的研究方向進(jìn)行了展望。第二章.相關(guān)基礎(chǔ)與原理本章主要介紹了惡意加密流量檢測(cè)領(lǐng)域涉及的基礎(chǔ)知識(shí)和相關(guān)原理，包括HTTP(HyperTextTransferProtocol,超文本傳輸協(xié)議)是基于請(qǐng)求與響應(yīng)的無狀態(tài)的應(yīng)用層協(xié)議。HTTP基于TCP/IP協(xié)議來傳輸數(shù)據(jù)，是互聯(lián)網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。在這樣的趨勢(shì)之下由于HTTP協(xié)議采用明文的形式的風(fēng)險(xiǎn)，極易被惡意攻擊者利用(傅啟銘，梁博涵，2018)。加密對(duì)于保護(hù)最終為了解決HTTP協(xié)議明文傳輸存在的風(fēng)險(xiǎn)，就有了HTTPS協(xié)議的誕生。HTTPS中的S表示SSL/TLS,就是在HTTP協(xié)議的基礎(chǔ)上加上一層安全層的 6信息摘要進(jìn)行加密通信。由于不同的節(jié)點(diǎn)之間采用的對(duì)稱密鑰不同，這就保證了信息只能被通信雙方獲取(高志文，趙文博，2020)。TLS/SSL協(xié)議提供了客戶端對(duì)服務(wù)端的身份認(rèn)證，同時(shí)保證了交換數(shù)據(jù)的隱私性與完整性。經(jīng)TLS/SSL協(xié)議加密后，傳輸數(shù)據(jù)對(duì)中間者不是直接可見的，因此用戶的信息難以被中間人冒充或者篡改，規(guī)避了明文傳輸存在的風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)發(fā)展的早期，傳輸層不論使用TCP協(xié)議還是UDP協(xié)議，每一項(xiàng)應(yīng)用都會(huì)被分配一個(gè)固定的公開的端口號(hào)[1]。如FTP(FileTransferProtocol,文件傳輸協(xié)議)使用21號(hào)端口，SMTP(SimpleMailTransferProtocol,簡(jiǎn)單郵件傳輸協(xié)議)使用25號(hào)端口，HTTP協(xié)議使用80號(hào)端口。因此，從這一系列內(nèi)容中能看出只需檢測(cè)網(wǎng)絡(luò)流量的傳輸層的端口號(hào)，查詢常見的端口號(hào)對(duì)照應(yīng)用列表就能獲取對(duì)流量的類別，對(duì)流量進(jìn)行簡(jiǎn)單識(shí)別，判斷是否有非法流量入侵(曹文軒，吳瑾瑜，2018)。針對(duì)理論模型的驗(yàn)證和修訂，本文收集了豐富詳盡的數(shù)據(jù)。這些數(shù)據(jù)覆蓋了多種研究領(lǐng)域，跨越了不同時(shí)期和社會(huì)背景，為理論框架的全面檢驗(yàn)提供了強(qiáng)大的支持。通過應(yīng)用統(tǒng)計(jì)分析手段處理數(shù)據(jù)，可以準(zhǔn)確地檢查原始理論框架中的假設(shè)，并識(shí)別出需要改進(jìn)的地方。未來的探索可能會(huì)增加變量數(shù)目或擴(kuò)大樣本群體，以便增強(qiáng)理論框架的解釋力和預(yù)測(cè)精度。隨著計(jì)算機(jī)技術(shù)的發(fā)展，越多越來多的應(yīng)用在通信時(shí)普遍使用隨機(jī)端口，這就使得和互聯(lián)網(wǎng)應(yīng)用的端口號(hào)不再固定。除此之外，端口映射技術(shù)的出現(xiàn)也降低了端口識(shí)別方法的準(zhǔn)確性。端口映射技術(shù)將一臺(tái)外網(wǎng)主機(jī)的多個(gè)端口映射到內(nèi)網(wǎng)不同主機(jī)上的不同端口上。這些因素都使得依靠固定端口識(shí)別流量的方法變得不基于深度報(bào)文檢測(cè)的識(shí)別方法[10]的基本原理是惡意流量中通常包含某種特定的字符串或字符串模式。根據(jù)惡意流量的這一特點(diǎn)，深層報(bào)文檢測(cè)技術(shù)通過依次檢查每個(gè)數(shù)據(jù)包攜帶的信息，來匹配特定的字符串模式，從而判斷流量是否由于深度報(bào)文檢測(cè)方法會(huì)逐個(gè)檢測(cè)數(shù)據(jù)包的所有內(nèi)容，因此當(dāng)數(shù)據(jù)量非常龐深度報(bào)文探測(cè)方法除了對(duì)網(wǎng)絡(luò)層、傳輸層的數(shù)據(jù)包報(bào)文進(jìn)行解析以外，也需要對(duì)應(yīng)用層的報(bào)文進(jìn)行分析。經(jīng)TLS/SSL協(xié)議對(duì)HTTP流量加密之后，應(yīng)用層的內(nèi)容將以密文形式呈現(xiàn)。因此，如果想使用基于深度報(bào)文檢測(cè)的方法來識(shí)別惡意流量，首先需要對(duì)應(yīng)用層數(shù)據(jù)包的內(nèi)容進(jìn)行解密。解密流量的行為違反了加密通信的初衷。在業(yè)界，在此類設(shè)置中某些機(jī)構(gòu)會(huì)使用解密流量的方法檢測(cè)是否有惡意流量入侵。即使檢測(cè)系統(tǒng)對(duì)加密流量進(jìn)行解密后立刻在安全設(shè)備上對(duì)流量重新加密，解密后的信息也可能通過日志文件、臨時(shí)文件等泄漏，這就給了惡意攻擊者可乘之機(jī)，違背了HTTPS協(xié)議保護(hù)用戶隱其次，對(duì)加密流量進(jìn)行解密的行為計(jì)算成本非常高，將會(huì)消耗大量的計(jì)算時(shí)間和計(jì)算資源，從而降低惡意流量檢測(cè)系統(tǒng)的總體性能，吞吐量、網(wǎng)絡(luò)延遲等都會(huì)受到影響(吳志豪，錢思瀾，2019)。因此，這在某種程度上說明使用基于深度報(bào)文的檢測(cè)方法來識(shí)別惡意的加密流量在現(xiàn)實(shí)場(chǎng)景下幾乎不可行。2.2.3基于流量特征的識(shí)別方法為了解決基于端口號(hào)的識(shí)別方案和基于深度報(bào)文的檢測(cè)方案存在的缺陷，研究人員開始尋求新的解決辦法。隨著機(jī)器學(xué)習(xí)的興起，研究者提出了基于流量特征的識(shí)別方法，其原理在于正常流量和惡意流量的特性存在差異(秦子凡，梁思遠(yuǎn)，對(duì)于加密流量，TLS相關(guān)的加密特征也非常值得關(guān)注。TLS協(xié)議在初始握手階段是不加密的，因此，這在一定程度上透露了我們能夠直接觀測(cè)到加密流量中的TLS握手相關(guān)信息。根據(jù)思科公司對(duì)部分惡意軟件行為的研究[5],惡意流量雖然會(huì)利用加密協(xié)議來隱藏部分信息，但它與正常的加密流量之間仍然存在明顯的差異，如表2-1所示。表2-1正常流量與惡意流量的TLS信息差異正常流量通常使用最新的密碼套件，如0x002f、0x0035惡意流量往往會(huì)傾向于選擇一些過時(shí)的密碼套件，如0x000a、0x0005、0x0004等。正常的流量使用的TLS擴(kuò)展更豐富、更具多樣性，大部分的正常流量最多可使用9個(gè)擴(kuò)展。其中0x0005、的擴(kuò)展8四個(gè)擴(kuò)展經(jīng)常在正常流量中被觀測(cè)到公鑰長(zhǎng)度正常的流量使用512位(ECDHE_RSA)公鑰(DHE_RSA)公鑰證書很少使用自簽名自簽名1.密碼套件：正常的加密流量通常使用較新的密碼套件；而惡意流量往往會(huì)傾向于選擇一些過時(shí)的密碼套件。盡管正常流量也會(huì)提供這些密碼套件，但其頻率遠(yuǎn)遠(yuǎn)低于惡意流量。2.TLS擴(kuò)展：惡意流量選用的TLS擴(kuò)展和正常流量有明顯的差異：正常的流量使用的TLS擴(kuò)展更豐富、更具多樣性。惡意流量幾乎都只使用0x000d的擴(kuò)3.加密密鑰：惡意流量與正常流量選用的公鑰長(zhǎng)度不同。4.證書簽名：惡意流量通常會(huì)使用自簽名?？梢?，惡意流量與正常流量在很多方面都存在顯著的特性差異?；诹髁刻卣鞯淖R(shí)別方法的具體操作流程如下：首先對(duì)原始網(wǎng)絡(luò)流量中的數(shù)據(jù)包信息、網(wǎng)絡(luò)流信息、上下文流量信息或TLS加密相關(guān)信息等進(jìn)行特征提取，然后基于提取出的特征集選擇合適的機(jī)器學(xué)習(xí)或深度學(xué)習(xí)分類器模型進(jìn)行訓(xùn)練，如決策樹、支持向量機(jī)、隨機(jī)森林等。訓(xùn)練完成后，即可使用訓(xùn)練好的分類器模型對(duì)待測(cè)試的流量數(shù)據(jù)進(jìn)行識(shí)別(孫志偉，高雅婷，2展出一種新框架結(jié)構(gòu)，在信息交換和數(shù)據(jù)分析手段上不僅傳承了前人的智慧結(jié)晶，還進(jìn)行了創(chuàng)造性的拓展。特別是在信息流架構(gòu)的設(shè)計(jì)上，本文采納了權(quán)威的信息處理原理，以確保信息從收集到分析的整個(gè)過程既高效又精確。通過對(duì)數(shù)據(jù)來源的精挑細(xì)選和標(biāo)準(zhǔn)化的數(shù)據(jù)加工流程，確保了信息的高水準(zhǔn)，從而更好地維護(hù)了信息流的透明度和可跟蹤性?；谔卣鞯淖R(shí)別方法，不需要逐字節(jié)檢查數(shù)據(jù)包內(nèi)容，相比基于深層報(bào)文檢測(cè)的方法而言，計(jì)算復(fù)雜度低，開銷小。另一方面，基于特征的方法不需要對(duì)加密流量進(jìn)行解密，可以應(yīng)用于加密流量，且能夠利用機(jī)器學(xué)習(xí)的泛化能力在復(fù)雜的流量識(shí)別場(chǎng)景取得較好的識(shí)別效果(張昕怡，李景瑞，2022)。隨著機(jī)器學(xué)習(xí)度學(xué)習(xí)算法不斷地更迭演進(jìn)，該方案的識(shí)別速度和識(shí)別精度同時(shí)也在不斷優(yōu)化。2.3深度學(xué)習(xí)深度學(xué)習(xí)(DeepLearning)是機(jī)器學(xué)習(xí)(MachineLearning)領(lǐng)域中一個(gè)新的狀況范圍內(nèi)可以推知其可能結(jié)果從而代替人工去解決一些現(xiàn)實(shí)場(chǎng)景下的特定問一個(gè)神經(jīng)元可以同時(shí)接受多個(gè)輸入信號(hào)xi,我們用權(quán)重值w;的大小來模擬神為正表示輸入信號(hào)對(duì)神經(jīng)元起興奮作用權(quán)值為負(fù)表示信號(hào)對(duì)神經(jīng)元起抑制作用經(jīng)元激活與否取決于某一閾值，對(duì)全部輸入信號(hào)的作用程度進(jìn)行累加求和，即regression,LR)、決策樹(DecisionTree)等，本質(zhì)上都是淺層結(jié)構(gòu)模型。淺層結(jié)構(gòu)學(xué)習(xí)模型通常只采用1層或2層簡(jiǎn)單結(jié)構(gòu)將原始輸入特征轉(zhuǎn)換到特定問題的特征空間中(王俊杰，何梓豪，2022)。由于時(shí)間前面提及的結(jié)論展開詳細(xì)驗(yàn)證?？茖W(xué)研究是一個(gè)漸進(jìn)的過程，尤其在處理復(fù)雜課題或進(jìn)入未曾涉足的領(lǐng)域時(shí)，需要投入大量時(shí)間用于觀測(cè)、數(shù)據(jù)分析及最終結(jié)論的確立。盡管當(dāng)前研究已取得一定進(jìn)展，但要全面驗(yàn)證每個(gè)結(jié)論，還需進(jìn)一步延長(zhǎng)研究周期并進(jìn)行多次實(shí)驗(yàn)。如此一來，不僅能避免偶然因素的誤導(dǎo)，還能增加研究成果的可靠性與通用性。再者，科技發(fā)展水平同樣制約著結(jié)論驗(yàn)證的方式，新技術(shù)的誕生為科研工作者提供了更多的驗(yàn)證途徑。從前面的分析而言在樣本和計(jì)算單元有限的情況下，淺層模型對(duì)于復(fù)雜的非線性函數(shù)的表示能力有限，泛化能力受到制約。因此，對(duì)于復(fù)雜的自然信號(hào)處理問題，例如人類語(yǔ)音和自然圖像等，傳統(tǒng)的機(jī)器學(xué)習(xí)模型往往表現(xiàn)很差。深度神經(jīng)網(wǎng)絡(luò)中的代表性網(wǎng)絡(luò)，諸如卷積神經(jīng)網(wǎng)絡(luò)(ConvolutionalNeuralNetwork,CNN)和循環(huán)神經(jīng)網(wǎng)絡(luò)(RecurrentNeuralNetwork,RNN)在模式識(shí)別，語(yǔ)義分割或機(jī)器翻譯等領(lǐng)域都取得了不錯(cuò)的成果；其中CNN主要用于圖像類數(shù)據(jù)的處理，循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)主要用于時(shí)序類數(shù)據(jù)的處理。CNN和RNN等傳統(tǒng)的深度學(xué)習(xí)模型在提取歐氏空間數(shù)據(jù)的特征方面取得了巨大的成功，但許多實(shí)際應(yīng)用場(chǎng)景中的數(shù)據(jù)從非歐式空間生成的，而傳統(tǒng)的深第三章.基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法在網(wǎng)絡(luò)中捕獲到的原始流量通常以PCAP包的形式存儲(chǔ)。其中，數(shù)據(jù)包是網(wǎng)絡(luò)流量基本傳輸?shù)膯卧總€(gè)數(shù)據(jù)包由具有固定格式的數(shù)據(jù)包頭部字節(jié)和有效負(fù)載字節(jié)組成，因此網(wǎng)絡(luò)流具有“網(wǎng)絡(luò)流-數(shù)據(jù)包-字節(jié)”的分層結(jié)構(gòu)[2]。根據(jù)網(wǎng)絡(luò)流量的不同切分粒度，原始的網(wǎng)絡(luò)流量可以被切分為數(shù)據(jù)包、網(wǎng)絡(luò)流和雙向網(wǎng)絡(luò)1.數(shù)據(jù)包：設(shè)原始網(wǎng)絡(luò)流量中數(shù)據(jù)包表示為pi。每個(gè)數(shù)據(jù)包都具有五元組信息：源IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議字段。單個(gè)的數(shù)據(jù)包表示如下：其中key;表示數(shù)據(jù)包的五元組信息，t;表示數(shù)據(jù)包被捕獲的時(shí)間。2.網(wǎng)絡(luò)流：網(wǎng)絡(luò)流flow;,可以視為在一定時(shí)間段內(nèi)，按照捕獲時(shí)間戳t;的先后順序排列的有序數(shù)據(jù)包序列。在網(wǎng)絡(luò)流中，所有的數(shù)據(jù)包都具有相同的五元組flowi={p?=(key,t?),p?=(key,t?),…,p;=(顧名思義，在雙向網(wǎng)絡(luò)流中，源IP地址、源端口號(hào)和目的IP地址、目的端口號(hào)是可以互換的。因此，在這樣的趨勢(shì)之下雙向網(wǎng)絡(luò)流可以視為上行網(wǎng)絡(luò)流flowout與下行網(wǎng)絡(luò)流flowin的交集。其中上行網(wǎng)絡(luò)流表示主機(jī)向外發(fā)送的流量，下行網(wǎng)絡(luò)流表示主機(jī)從外部接收到的流量(胡志豪，陳雅婷，2020)。Biflow=flowinUflowout單個(gè)的數(shù)據(jù)包所包涵的數(shù)據(jù)量非常小，不足以從中獲得足夠的信息。因此很難將單個(gè)數(shù)據(jù)包作為實(shí)際網(wǎng)絡(luò)流量識(shí)別方法的基本研究對(duì)象。網(wǎng)絡(luò)流作為一定時(shí)間段內(nèi)所有數(shù)據(jù)包內(nèi)容的集合，具有足夠的數(shù)據(jù)可以用于流量的分析，因此網(wǎng)絡(luò)流量分析領(lǐng)域通常以網(wǎng)絡(luò)流作為網(wǎng)絡(luò)流量識(shí)別方法的基本研究對(duì)象(趙明和，李婉如，2020)。在確定數(shù)據(jù)分析的方法時(shí)，傳統(tǒng)的統(tǒng)計(jì)分析法，如描述性統(tǒng)計(jì)和回歸分析，還引入了最新的數(shù)據(jù)挖掘技術(shù)及算法。例如通過聚類分析探索數(shù)據(jù)中的未知模式，或使用決策樹算法預(yù)測(cè)未來的動(dòng)態(tài)變化。這些先進(jìn)的技術(shù)手段極大地促進(jìn)了對(duì)復(fù)雜現(xiàn)象的理解，并揭示了龐大數(shù)據(jù)庫(kù)中不易察覺的關(guān)系。此外，本研究提倡將定量分析與定性分析相結(jié)合，從而達(dá)到更深入的研究效果。雙向網(wǎng)絡(luò)流同時(shí)涵蓋了網(wǎng)絡(luò)通信中的上行流量信息和下行流量信息，能夠?qū)νㄐ烹p方在TLS加密協(xié)議交互過程中的產(chǎn)生握手信息、密鑰協(xié)商信息等進(jìn)行更好地描述。這里可看分明由于本文中的研究對(duì)象是以TLS/SSL為基礎(chǔ)的加密流量，因此以雙向網(wǎng)絡(luò)流的方式來描述網(wǎng)絡(luò)流量較為合適。因此，本文選擇按照雙3.2雙向網(wǎng)絡(luò)流的特征向量化除了源端口、目的端口、協(xié)議字段等基本信息外，在2.2.3小節(jié)中提到，網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征如數(shù)據(jù)包的長(zhǎng)度、流的長(zhǎng)度、流的持續(xù)時(shí)間以及數(shù)據(jù)包到達(dá)的時(shí)間間隔等信息，從這一系列內(nèi)容中能看出能夠?qū)用軔阂饬髁孔R(shí)別的準(zhǔn)確度起到幫助的作用。TLS/SSL協(xié)議的握手階段客戶端與服務(wù)端產(chǎn)生的TLS加密協(xié)商信息，如加密協(xié)議采用的TLS版本、密碼套件、密鑰信息、TLS擴(kuò)展選項(xiàng)等，也能夠提升惡意流量識(shí)別的精確性。上述的TLS協(xié)商信息是明文傳輸?shù)?，?duì)用戶直接可見，因此不需要解密即可獲得這類加密相關(guān)數(shù)據(jù)。本文選擇的特征具體特征類別具體描述TLS特征供的密碼套件、服務(wù)端選擇的密碼套件、TLS擴(kuò)展、公鑰長(zhǎng)度?？臻g序列特征數(shù)據(jù)包的長(zhǎng)度序列時(shí)間序列特征數(shù)據(jù)包的到達(dá)時(shí)間間隔序列(1)元數(shù)據(jù)特征：源端口、目的端口、上行包數(shù)、下行包數(shù)、上行字節(jié)數(shù)、下行字節(jié)數(shù)、流的持續(xù)時(shí)間7類信息各占一，共7維；(2)TLS特征：客戶端可能提供的全部密碼套件共176個(gè)，將其設(shè)置為176維的0-1向量，每一位代表一個(gè)密碼套件。向量化時(shí)需要遍歷雙向流中的客戶端實(shí)際提供的每個(gè)密碼套件，將其對(duì)應(yīng)位置為1,未提供的密碼套件對(duì)應(yīng)位置為0。TLS可能提供的全部擴(kuò)展選項(xiàng)共9種，將其設(shè)置為9維的0-1向量，向量化的方式與客戶端提供密碼套件的方法類似，在此類設(shè)置中遍歷客戶端實(shí)際選擇的每個(gè)TLS擴(kuò)展項(xiàng)，將其對(duì)應(yīng)位置為1,未選擇的擴(kuò)展項(xiàng)對(duì)應(yīng)位置為0。TLS支持版本、TLS通信版本、服務(wù)端選擇的密碼套件、公鑰長(zhǎng)度四類信(3)空間序列特征：數(shù)據(jù)包的長(zhǎng)度序列。由于每一條雙向網(wǎng)絡(luò)流包含的數(shù)據(jù)包數(shù)目并不相同，而神經(jīng)網(wǎng)絡(luò)的輸入特征長(zhǎng)度必須統(tǒng)一。為了使每個(gè)樣本的特征向量具有相同的維度，在統(tǒng)計(jì)數(shù)據(jù)包的長(zhǎng)度序列時(shí)只截取前50個(gè)包的信息，不足50個(gè)包的置為0,空間序列特征共50維(李晨陽(yáng)，崔雪瑩，2021)。在管理研究誤差方面，本文采取了多項(xiàng)嚴(yán)格措施，以確保數(shù)據(jù)的精確度和結(jié)果的可靠性。通過制定詳細(xì)的研究計(jì)劃，并對(duì)可能產(chǎn)生誤差的因素進(jìn)行全面剖析，如環(huán)境變量、操作人員的個(gè)體差異以及計(jì)算的精度等。使用標(biāo)準(zhǔn)化的操作流程和技術(shù)，確保數(shù)據(jù)的一致性和可復(fù)制性。為了進(jìn)一步提升數(shù)據(jù)質(zhì)量，還實(shí)行了雙錄入系統(tǒng)和交叉驗(yàn)證機(jī)制，從而最大限度地減少由人為錯(cuò)誤或輸入失誤造成的(4)時(shí)間序列特征：數(shù)據(jù)包的到達(dá)時(shí)間間隔序列。為了統(tǒng)一特征向量長(zhǎng)度，處理方式同上，時(shí)間序列特征共50維。元數(shù)據(jù)信息時(shí)間長(zhǎng)度7經(jīng)過上述方式處理后最終得到的雙向網(wǎng)絡(luò)流的特征向量共296維。計(jì)算機(jī)網(wǎng)絡(luò)通信的主要目的是讓不同的用戶或主機(jī)能夠有效地進(jìn)行信息交流和溝通。網(wǎng)絡(luò)流量作為信息傳遞與交互的載體，這在某種程度上說明蘊(yùn)含著大量的網(wǎng)絡(luò)行為信息。在2.2.3小節(jié)中提到的基于流量特征的識(shí)別方法，往往只考慮每條流自身的特征，而忽略了主機(jī)之間的通信行為信息(曹思睿，王梓晨，2022)。越來越多的惡意軟件諸如木馬、廣告軟件、勒索軟件等，借助SSL/TLS加密協(xié)議，以C&C(Control&Command,控制與命令)的通信方式來對(duì)失陷主機(jī)進(jìn)行控制，發(fā)起惡意攻擊。在實(shí)際的通信網(wǎng)絡(luò)中，通信設(shè)備不是獨(dú)立的，主機(jī)和主機(jī)之間存在聯(lián)系。例如在僵尸網(wǎng)絡(luò)中，若一臺(tái)計(jì)算機(jī)設(shè)備被僵尸程序感染，它也會(huì)影響到局域網(wǎng)內(nèi)部的其他設(shè)備。僵尸主機(jī)可以理解為是一組已被惡意軟件感染并可以被惡意攻擊者遠(yuǎn)程操控的計(jì)算機(jī)設(shè)備。通常，一部被侵占的設(shè)備只是僵尸網(wǎng)絡(luò)里面眾多中的一個(gè)，它會(huì)被用來去運(yùn)行一連串的或攻擊者遠(yuǎn)端控制的惡意程序。僵尸主機(jī)可以隨時(shí)按照惡意攻擊者的控制與命令的指令去執(zhí)行非法或惡意任務(wù)，這在一定程度上透露了包括向其他主機(jī)發(fā)送垃圾郵件，竊取數(shù)據(jù)，勒索軟件，欺詐性地點(diǎn)擊廣告或分布式拒絕服務(wù)攻擊等等(林雪茹，趙怡然，2022)。當(dāng)通信網(wǎng)絡(luò)中的一個(gè)通信節(jié)點(diǎn)頻繁產(chǎn)生惡意流量時(shí)，我們可以將其判定為惡意攻擊者的C&C服務(wù)器(commandandcontrolserver)(陳奕辰，郭鈺婷，2017)。那么,該通信節(jié)點(diǎn)在后續(xù)過程中與其他節(jié)點(diǎn)通信時(shí)產(chǎn)生的網(wǎng)絡(luò)流量也極有可能為惡意流量，如圖3-4所示。因此，在此類狀況范圍內(nèi)可以推知其可能結(jié)果我們認(rèn)為主機(jī)之間的通信行為信息能夠?qū)阂饬髁康淖R(shí)別起到積極的作用。為了能夠更好地結(jié)構(gòu)化描述主機(jī)之間的通信行為信息，本文將主機(jī)和主機(jī)之間通信產(chǎn)生的網(wǎng)絡(luò)流量抽象為圖的形式，稱為通信行為圖。設(shè)通信行為圖為G,它由頂點(diǎn)集合V(G)與邊集合E(G)構(gòu)成。其表示方式如下：通信行為圖中的節(jié)點(diǎn)vi可以視為實(shí)際通信網(wǎng)絡(luò)中的一臺(tái)通信主機(jī)，可以由主機(jī)名或IP地址來唯一標(biāo)識(shí)一個(gè)節(jié)點(diǎn)。在本文中，我們將IP地址作為節(jié)點(diǎn)的標(biāo)本文研究范圍內(nèi)這種情況得到了充分考慮節(jié)點(diǎn)vi與其他節(jié)點(diǎn)v;通信時(shí)產(chǎn)生的一條雙向網(wǎng)絡(luò)流可以視為通信行為圖的一條邊。邊的起始節(jié)點(diǎn)的IP地址與該雙向流的源IP地址相同，終止節(jié)點(diǎn)與該雙向網(wǎng)絡(luò)流的目的IP地址相同，擁有一個(gè)特征向量feature。em=<vi,v;,keym,featurem>,keym(srclP當(dāng)兩個(gè)節(jié)點(diǎn)多次通信產(chǎn)生多條雙向網(wǎng)絡(luò)流，那么它們之間就會(huì)有多條邊。因此通信行為圖以多邊圖的形式存在(余婷婷，李家豪，2017)。圖3-5通信行為圖示例由于通信行為圖的邊代表一條雙向流，我們可以通過預(yù)測(cè)邊的類別，來判斷該邊對(duì)應(yīng)的網(wǎng)絡(luò)流屬于惡意流量還是正常流量。引入通信行為圖G的描述之后，就把惡意加密流量的檢測(cè)任務(wù)抽象為了圖任務(wù)中的邊分類問題(蔣澤凱，楊雪梅，2022)。于信息聚攏的起始關(guān)口，咱們動(dòng)用多種渠道，像發(fā)放問卷去征集意見、深入現(xiàn)場(chǎng)做訪談以及回溯過往文獻(xiàn)等，目標(biāo)就是從不同角度把全面又細(xì)致的數(shù)據(jù)給收集妥當(dāng)。之后針對(duì)這些數(shù)據(jù)展開標(biāo)準(zhǔn)化的剖析與整合，借此穩(wěn)穩(wěn)驗(yàn)證課題設(shè)想，還把里頭潛藏的規(guī)律和彼此間的隱匿牽連給揪了出來?？v然當(dāng)下探究有了些成績(jī)，可咱們也明白，世間研究之事，無有絕對(duì)完美的。后續(xù)探索大可在現(xiàn)有成就上持續(xù)拓展，尤其在樣本圈定、研究流程打磨以及理論體系完善等方面，有著充裕的上升空間可供挖掘。在圖任務(wù)領(lǐng)域內(nèi)，樣本的特征信息往往存在于節(jié)點(diǎn)上，邊只反映節(jié)點(diǎn)的鄰接關(guān)系，而不具有特征。傳統(tǒng)的邊分類任務(wù)解決方案也是依據(jù)的兩個(gè)節(jié)點(diǎn)特征來對(duì)邊進(jìn)行分類，無法利用邊自身的特征。另一方面，在多邊圖中，兩個(gè)相同節(jié)點(diǎn)間的不同邊在傳統(tǒng)的邊分類方法中無法區(qū)分。因此，我們不能將直接對(duì)通信行為圖用傳統(tǒng)方式進(jìn)行邊分類。在下一節(jié)，由現(xiàn)有結(jié)果可推論出我們引入了線圖的概念來完成節(jié)點(diǎn)與邊的轉(zhuǎn)換，將圖任務(wù)中的邊分類問題轉(zhuǎn)換為點(diǎn)分類問題(唐子俊，徐3.3.1線圖的轉(zhuǎn)換在圖論中，圖G所對(duì)應(yīng)的線圖是一張能夠反映G中邊的鄰接性的圖，記作L(G),G稱為L(zhǎng)(G)的原圖。線圖L(G)將原圖G中的每條邊分別抽象為一個(gè)頂點(diǎn)；如若原圖中兩條邊相鄰，那么就給線圖中對(duì)應(yīng)頂點(diǎn)之間連接一條邊。生成步驟如下：(1)線圖的一個(gè)頂點(diǎn)對(duì)應(yīng)原圖的一個(gè)邊；(2)線圖的頂點(diǎn)相鄰當(dāng)且僅當(dāng)它們?cè)谠瓐D中對(duì)應(yīng)的邊有公共的頂點(diǎn)。引入線圖的概念后，我們可以生成通信行為圖G的線圖L(G),完成節(jié)點(diǎn)與邊的轉(zhuǎn)換，利用圖神經(jīng)網(wǎng)絡(luò)對(duì)線圖L(G)進(jìn)行點(diǎn)分類，解決了對(duì)多邊圖進(jìn)行3.4基于圖注意力神經(jīng)網(wǎng)絡(luò)的惡意流量識(shí)別算法圖注意力神經(jīng)網(wǎng)絡(luò)[6](GraphAttentionNetworks,GAT)是一種基于圖結(jié)構(gòu)的神經(jīng)網(wǎng)絡(luò)模型，它可以視為GCN網(wǎng)絡(luò)的一個(gè)變種。在2.3中我們?cè)榻B了基于頻譜計(jì)算的圖卷積神經(jīng)網(wǎng)絡(luò)GCN的原理。在這里我們先介紹兩個(gè)概念：直推式學(xué)習(xí)和歸納式學(xué)習(xí)。(1)直推式學(xué)習(xí)(TransductiveLeaning):TransductiveLeaning在訓(xùn)練過程中既需要訓(xùn)練樣本集，又需要用到測(cè)試樣本集。在模型測(cè)試中，只能預(yù)測(cè)在其訓(xùn)重新進(jìn)行訓(xùn)練(2)歸納式學(xué)習(xí)(InductiveLeaning):歸納是從特殊到一般的過程，歸納式學(xué)習(xí)致力于從訓(xùn)練集中學(xué)習(xí)到某類樣本之間的共性。因此，在訓(xùn)練過程中只用到訓(xùn)練集的數(shù)據(jù)(施文婷，胡瑤瑤，2023)。只要樣本特征屬于同樣的特征空間，即合鄰居節(jié)點(diǎn)信息時(shí)，GCN分配給不同鄰居的權(quán)重完全相同，處理有向圖存在瓶GAT網(wǎng)絡(luò)相較于傳統(tǒng)的GCN網(wǎng)絡(luò)有以下優(yōu)點(diǎn)：(1)訓(xùn)練時(shí)無需或得圖的完整結(jié)構(gòu)信息，只需知道每個(gè)節(jié)點(diǎn)的鄰居節(jié)點(diǎn)。(2)計(jì)算速度快，可以在不同的節(jié)點(diǎn)上并行計(jì)算(3)既可以用于直推式學(xué)習(xí)，又可以用于歸納式學(xué)習(xí)，能夠?qū)ξ粗膱D結(jié)常只對(duì)一部分流量進(jìn)行采樣。因此，GAT網(wǎng)絡(luò)更加適用于對(duì)惡意加密流量進(jìn)行Rnxm,鄰接矩陣Anxn。其表示形式分別如下：Anxn=(a設(shè)圖注意力網(wǎng)絡(luò)的權(quán)重矩陣為W。GAT在聚合鄰居節(jié)點(diǎn)個(gè)節(jié)點(diǎn)施加不同的權(quán)重。GAT網(wǎng)絡(luò)引入了注意力機(jī)制，經(jīng)過一個(gè)注意力函數(shù) 化和拓展。該單層網(wǎng)絡(luò)的權(quán)重矩陣表示為a∈R2×n。為了保留大部分的梯度信息，我們?cè)谠撉跋蛏窠?jīng)網(wǎng)絡(luò)的輸出層上還加入了LeakN;表示節(jié)點(diǎn)i的所有鄰居節(jié)點(diǎn)的集合。將上述公式展開后得到最終的注意征。多頭注意力機(jī)制同時(shí)使用多個(gè)神經(jīng)網(wǎng)絡(luò)的權(quán)重矩陣Wk,分別計(jì)算出不同的利用GAT網(wǎng)絡(luò)得到節(jié)點(diǎn)聚合其鄰居節(jié)點(diǎn)特征的最終表示后，在GAT網(wǎng)絡(luò)SS0ftmaX3.5基于圖注意力網(wǎng)絡(luò)的惡意流量識(shí)別算法流程描述步驟1:原始流量切分和過濾：按照雙向網(wǎng)絡(luò)流的粒度對(duì)原始流量進(jìn)行切分，過濾掉負(fù)載為空以及沒有進(jìn)行加密的流量。步驟2:特征向量化：分別提取雙向網(wǎng)絡(luò)流的元數(shù)據(jù)特征、TLS相關(guān)特征、空間序列特征、時(shí)間序列特征，生成長(zhǎng)度為296的特征向量，作為神經(jīng)網(wǎng)絡(luò)的特征矩陣輸入。步驟3:依據(jù)流量之間的通信行為信息構(gòu)造通信行為圖，并生成通信行為圖的線圖，將線圖的鄰接矩陣作為神經(jīng)網(wǎng)絡(luò)的鄰接矩陣輸入。階段性的研究成果和先前的計(jì)算數(shù)據(jù)及文獻(xiàn)概述結(jié)果保持一致，說明了本研究方法的合理性和準(zhǔn)確性。這種一致性不僅再次確認(rèn)了早期研究的結(jié)論，也為當(dāng)前理論體系增加了新的證據(jù)。通過詳細(xì)的研究設(shè)計(jì)、數(shù)據(jù)搜集及分析策略，本文成功地重現(xiàn)了前人研究的重要發(fā)現(xiàn)，并以此為基礎(chǔ)進(jìn)行了更深層次的探究。這不僅增強(qiáng)了對(duì)研究假設(shè)的信任，也證明了所選擇的研究方法的科學(xué)性。此外，這種一致性為跨學(xué)科研究間的對(duì)比提供了基礎(chǔ)，有助于構(gòu)建一個(gè)更加完善和系統(tǒng)的理論體系。步驟4:模型訓(xùn)練：將樣本的特征矩陣和鄰接矩陣作為GAT網(wǎng)絡(luò)的輸入，通過GAT分類模型，對(duì)樣本進(jìn)行預(yù)測(cè)，判斷其是否屬于惡意加密流量。3.6實(shí)驗(yàn)結(jié)果及分析本文的實(shí)驗(yàn)運(yùn)行在Ubuntu系統(tǒng)上，CPU為IntelXeonE5-2678v3(48)@3.300GHz,使用NVIDIARTXTITAN24GX2顯卡加速。基于Python3.6.9環(huán)參數(shù)名稱隱層維度8多頭注意力層8學(xué)習(xí)率隨機(jī)斷開率3.6.2實(shí)驗(yàn)數(shù)據(jù)集本次實(shí)驗(yàn)的數(shù)據(jù)集來自CTU-13數(shù)據(jù)集的惡意TLS流量和實(shí)場(chǎng)景，本次實(shí)驗(yàn)中對(duì)CTU-13數(shù)據(jù)集與CICIDS2017數(shù)據(jù)集進(jìn)行了隨機(jī)采樣，將正常流量與惡意流量的比例設(shè)置為9:1,共采樣了1萬條TLS加密流量。為了驗(yàn)證算法的有效性，我們按照6:4的比例把采樣后最終生成的數(shù)據(jù)集隨機(jī)劃3.6.2評(píng)價(jià)指標(biāo)混淆矩陣生成。混淆矩陣如表3-3所示，用于描述加密惡意流量檢測(cè)算法中實(shí)際真實(shí)類型預(yù)測(cè)結(jié)果正樣本(惡意流量)負(fù)樣本(正常流量)正樣本(惡意流量)負(fù)樣本(正常流量)在此類狀況范圍內(nèi)可以推知其可能結(jié)果其中，TP(TruePositive,真正例)表示GAT分類模型將惡意流量正確預(yù)測(cè)為惡意流量的樣本數(shù)；TN(TrueNegative,真負(fù)例)表示分類模型將正常流量正確預(yù)測(cè)為正常流量的樣本數(shù)；FP GN(FalseNegative,假負(fù)例)表示分類模型將惡意流量錯(cuò)誤預(yù)測(cè)為正常流量的標(biāo)中，精確率和召回率的權(quán)重相等，重要程度相同。F1分?jǐn)?shù)值3.6.3實(shí)驗(yàn)結(jié)果為了判斷基于GAT的惡意加密流量識(shí)別算法與傳統(tǒng)的基于特征的惡較。支持向量機(jī)模型的訓(xùn)練結(jié)果如表3-3示，多層感知機(jī)模型的訓(xùn)練結(jié)果如表3-表3-4支持向量機(jī)SVM的實(shí)驗(yàn)結(jié)果表3-5多層感知機(jī)MLP的實(shí)驗(yàn)結(jié)果表3-6卷積神經(jīng)網(wǎng)絡(luò)CNN的實(shí)驗(yàn)結(jié)果表3-7圖注意力網(wǎng)絡(luò)GAT的實(shí)驗(yàn)結(jié)果圖3-6反映了GAT模型在訓(xùn)練過程中的損失loss與訓(xùn)練迭代次數(shù)Epoch的漸下降，并在第100個(gè)epoch時(shí)基本趨于收斂。表3-7的結(jié)果顯示GAT模型在訓(xùn)練集上的準(zhǔn)確率最終達(dá)到了99.60%,測(cè)試集上的準(zhǔn)確率達(dá)到了99.10%,因此GAT模型能夠準(zhǔn)確地識(shí)別出網(wǎng)絡(luò)流量中的惡意加密流量。圖3-8反映了各模型在的測(cè)試集上的表現(xiàn)效果。幾種模型的準(zhǔn)確率指標(biāo)達(dá)到了90%以上，其中本文提出的基于GAT的惡意流量檢測(cè)算法的表現(xiàn)最佳，MLP模型的準(zhǔn)確率為93.09%,CNN模型為93.36%,SVM模型表現(xiàn)效果最差，為召回率和F1分?jǐn)?shù)指標(biāo)(余睿淵，沈詩(shī)涵，2021)。SVM模型雖然在訓(xùn)練集上負(fù)樣本，泛化能力弱，在測(cè)試集上幾乎無法準(zhǔn)確區(qū)分出惡意流量CNN模型的惡意流量檢測(cè)算法的準(zhǔn)確率指標(biāo)上僅比GAT模型低了幾個(gè)百分點(diǎn)，由現(xiàn)有結(jié)果可推論出但是這兩種模型召回率比GAT檢測(cè)模型低了幾十個(gè)百分解決數(shù)據(jù)不平衡問題。本文提出的基于GAT的惡意加密流量檢測(cè)算法力，還能夠揭示出傳統(tǒng)技術(shù)所不能發(fā)現(xiàn)的隱含模式。因此，在接下來的研究中，式后使用GAT網(wǎng)絡(luò)對(duì)惡意加密流量進(jìn)行檢測(cè)，效果明顯優(yōu)于傳統(tǒng)的惡意流量識(shí)別模型。第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)B/S架構(gòu)的全稱為Browser/Server,即瀏覽器/服務(wù)器結(jié)構(gòu)，是目前應(yīng)用系統(tǒng)的主要發(fā)展趨勢(shì)。Browser指的是Web瀏覽器。在這種結(jié)構(gòu)下，用戶無需安裝應(yīng)用，通過Web瀏覽器來進(jìn)入工作界面，從前面的分析而言少部分事務(wù)邏輯在前端(Browser)實(shí)現(xiàn)，主要事務(wù)邏輯在服務(wù)器端(Server)實(shí)現(xiàn)(蘇明哲，曹君浩，2021)。BS系統(tǒng)的主要優(yōu)勢(shì)在于分布性強(qiáng)，只要有網(wǎng)絡(luò)和瀏覽器即可隨時(shí)隨地進(jìn)行查詢、瀏覽等業(yè)務(wù)處理；業(yè)務(wù)的擴(kuò)展與維護(hù)方便、開發(fā)簡(jiǎn)單且共享性強(qiáng)；總降低了用戶的總體成本。B/S系統(tǒng)的基本架構(gòu)如圖4-1所示。與傳統(tǒng)的C/S系統(tǒng)的兩層架構(gòu)有所不同，B/S系統(tǒng)架構(gòu)有三層，分別為：(1)表現(xiàn)層：主要完成用戶和后臺(tái)的交互及最終查詢結(jié)果的輸出功能。(2)邏輯層：主要是利用服務(wù)器完成客戶端的應(yīng)用邏輯功能。(3)數(shù)據(jù)層：主要是接受客戶端請(qǐng)求后獨(dú)立進(jìn)行各種運(yùn)算。訪問返回結(jié)果返回結(jié)果在B/S系統(tǒng)中，一次請(qǐng)求的工作流程描述如下：1.客戶端發(fā)送請(qǐng)求：用戶在客戶端的瀏覽器頁(yè)面提交操作，向服務(wù)器發(fā)送HTTP請(qǐng)求，等待服務(wù)器響應(yīng)；2.服務(wù)器端處理請(qǐng)求：服務(wù)器端接收并處理請(qǐng)求，服務(wù)器中的應(yīng)用層部分調(diào)用業(yè)務(wù)邏輯，調(diào)用業(yè)務(wù)邏輯上的方法；3.服務(wù)器端發(fā)送響應(yīng)：服務(wù)器端把用戶請(qǐng)求的數(shù)據(jù)返回給瀏覽器。4.瀏覽器將模版和數(shù)據(jù)渲染成最終的HTML,呈現(xiàn)用戶界面。4.1.2B/S系統(tǒng)的功能需求分析用戶在系統(tǒng)中進(jìn)行一次對(duì)惡意加密流量的檢測(cè)需要的流程如圖4-2所示，共經(jīng)過以下五個(gè)階段：階段1(用戶登入):進(jìn)入系統(tǒng)時(shí)，用戶首先需要輸入自身的賬戶和密碼，提交給后臺(tái)進(jìn)行身份的認(rèn)證；若用戶首次使用，則需要先進(jìn)行注冊(cè)。階段2(提交文件):用戶選擇PCAP格式的網(wǎng)絡(luò)流量文件進(jìn)行上傳，提交給后臺(tái)。服務(wù)端接收到請(qǐng)求后，將接收到的PCAP文件保存至服務(wù)器。階段3(數(shù)據(jù)預(yù)處理):數(shù)據(jù)預(yù)處理的核心工作是解析原始的網(wǎng)絡(luò)流量，將其按照雙向網(wǎng)絡(luò)流的粒度進(jìn)行切分(柏子涵，孫夢(mèng)琪，2022)。此外，鑒于此等條件時(shí)還需要對(duì)切分后的雙向網(wǎng)絡(luò)流進(jìn)行過濾，去除數(shù)據(jù)包數(shù)目為0的雙向網(wǎng)絡(luò)流以及沒有進(jìn)行加密的網(wǎng)絡(luò)流。接下來按照3.2小節(jié)的方式對(duì)雙向網(wǎng)絡(luò)進(jìn)行特征向量化，并生成通信行為圖及轉(zhuǎn)化后的線圖；為GAT模型提供輸入數(shù)據(jù)。階段4(GAT模型預(yù)測(cè)):此階段將使用提前訓(xùn)練好的的GAT預(yù)測(cè)模型，將用戶提交的網(wǎng)絡(luò)流量生成的特征矩陣和鄰接矩陣作為GAT網(wǎng)絡(luò)的輸入，對(duì)每一個(gè)樣本進(jìn)行結(jié)果預(yù)測(cè)，判斷其是否屬于惡意的加密流量。預(yù)測(cè)結(jié)果即為加密網(wǎng)第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)絡(luò)流量的分類標(biāo)簽。在這樣的趨勢(shì)之下使用數(shù)據(jù)預(yù)處理階段生成的流量特征向量數(shù)據(jù)用于分類器模型訓(xùn)練，階段5(預(yù)測(cè)結(jié)果返回):使用GAT得到預(yù)測(cè)結(jié)果后，服務(wù)端將預(yù)測(cè)結(jié)果返回給客戶端，瀏覽器將對(duì)預(yù)測(cè)結(jié)果進(jìn)行展示。明確了上述工作流程后，惡意加密流量檢測(cè)系統(tǒng)需要實(shí)現(xiàn)的功能包括以下四1.用戶的注冊(cè)與登錄；2.PCAP格式的網(wǎng)絡(luò)流量文件的上傳；3.對(duì)原始流量進(jìn)行數(shù)據(jù)預(yù)處理4.調(diào)用訓(xùn)練好的GAT模型，對(duì)加密流量進(jìn)行檢測(cè)；5.返回檢測(cè)結(jié)果并進(jìn)行展示。4.2惡意加密流量檢測(cè)系統(tǒng)的實(shí)現(xiàn)：在實(shí)際開發(fā)過程中，我們采用前后端分離的應(yīng)用模式，后端僅返回前端所需的數(shù)據(jù)，不再渲染HTML頁(yè)面。選擇Vue框架搭建前端頁(yè)面，基于python的Flask框架搭建后臺(tái)系統(tǒng)。Flask框架是一個(gè)基于務(wù)的一個(gè)微型框架，WSGI服務(wù)接收HTTP請(qǐng)求并對(duì)請(qǐng)求進(jìn)行預(yù)處理，然后觸發(fā)Flask框架，這里可看分明開發(fā)人員基于Flask框架提供的功能對(duì)請(qǐng)求進(jìn)行相應(yīng)的處理，并返回給用戶。Vue.js是一款流行的用戶界面的漸進(jìn)式框架。Vue.js框架的主要特點(diǎn)是可以進(jìn)行組件化開發(fā)，能夠大大減少代碼的編寫量，減輕開發(fā)負(fù)擔(dān)。為了能夠更加方便地管理和讀取數(shù)據(jù)，前端與后端通信時(shí)以Json格式進(jìn)行4.3系統(tǒng)效果展示：4.3.1登錄-注冊(cè)界面首次登入系統(tǒng)時(shí)，用戶首先需要進(jìn)行注冊(cè)，注冊(cè)成功后返回登錄界面，輸入注冊(cè)時(shí)使用的賬號(hào)和密碼即可成功進(jìn)入系統(tǒng)。4.3.2上傳-檢測(cè)界面惡意加密流呈檢測(cè)醫(yī)統(tǒng)惡意加密流呈檢測(cè)醫(yī)統(tǒng)admin用戶選擇PCAP文件進(jìn)行上傳，提交后文件將被被保存到服務(wù)端。服務(wù)端將對(duì)PCAP包中的原始流量進(jìn)行預(yù)處理，并調(diào)用提前訓(xùn)練好的GAT分類模型，檢