緒論II加密流量識(shí)別任務(wù)概述目錄TOC\o"1-3"\h\u24884加密流量識(shí)別任務(wù)概述 1273541.1加密流量識(shí)別問(wèn)題分類 154431.2加密流量技術(shù) 21.1加密流量識(shí)別問(wèn)題分類加密流量識(shí)別亦稱加密流量分類任務(wù)，此任務(wù)旨在對(duì)使用加密算法加密后的網(wǎng)絡(luò)流量進(jìn)行歸類，其中，網(wǎng)絡(luò)流量是指兩個(gè)主機(jī)在通信時(shí)包含相同五元組（源地址，源端口號(hào)，目標(biāo)地址，目標(biāo)端口號(hào)，協(xié)議）的連續(xù)數(shù)據(jù)包。一般的，加密流量識(shí)別可以按照識(shí)別對(duì)象分為流級(jí)、包級(jí)、主機(jī)級(jí)和會(huì)話級(jí)。其中，流級(jí)對(duì)基于流的通信協(xié)議下傳輸?shù)臄?shù)據(jù)進(jìn)行識(shí)別；包級(jí)關(guān)注數(shù)據(jù)包的特征，如包大小分布、包的到達(dá)時(shí)間及間隔等；主機(jī)級(jí)關(guān)注主機(jī)間的連接方式，如主機(jī)的連接度、端口號(hào)等；會(huì)話級(jí)關(guān)注會(huì)話的字節(jié)數(shù)、持續(xù)時(shí)間等特征以及到達(dá)過(guò)程等。本文關(guān)注流級(jí)的加密流量分類任務(wù)，即給定比特流預(yù)測(cè)其所屬類別，在本文，比特流中的比特稱作Token。流級(jí)的加密流量分類任務(wù)可以被形式化地看作看做構(gòu)造映射f:N?C(2-1)其中N指加密流量構(gòu)成的集合，C指加密流量所屬的類別。圖2-SEQ圖\*ARABIC1加密流量分類任務(wù)描述根據(jù)加密流量識(shí)別的目標(biāo)，可以將任務(wù)分為流量協(xié)議分類和流量應(yīng)用分類。流量協(xié)議分類是指，對(duì)流量所依賴的網(wǎng)絡(luò)協(xié)議進(jìn)行分類，通常這里的網(wǎng)絡(luò)協(xié)議特指應(yīng)用層中的協(xié)議，如HTTPS協(xié)議、基于IP的語(yǔ)音傳輸（VoiceoverInternetProtocol,VoIP）協(xié)議等。流量應(yīng)用分類是指，對(duì)流量所服務(wù)的對(duì)象進(jìn)行分類，如Skype、YouTube等。本文關(guān)注的問(wèn)題即流級(jí)的加密流量應(yīng)用分類。除此之外，加密流量分類任務(wù)還有一個(gè)非常重要的子任務(wù)，異常流量檢測(cè)。在真實(shí)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，有大量的惡意流量試圖攻擊計(jì)算機(jī)系統(tǒng)，如分布式拒絕服務(wù)攻擊(DistributedDenialofService,DDoS)、高級(jí)持續(xù)威脅（AdvancedPersistentThreat，APT）、僵尸網(wǎng)絡(luò)（Botnet）等，這對(duì)信息安全和計(jì)算機(jī)系統(tǒng)的穩(wěn)定性造成了巨大的損害。與協(xié)議和應(yīng)用分類不同，異常流量分類處理的流量通常經(jīng)過(guò)攻擊者的精密偽裝，同時(shí)，異常流量數(shù)據(jù)集存在嚴(yán)重的不平衡現(xiàn)象，異常流量的占比遠(yuǎn)遠(yuǎn)低于正常流量。如圖2-2所示，加密流量識(shí)別任務(wù)可以被分作若干類別：圖2-2加密流量識(shí)別分類1.2加密流量技術(shù)常見(jiàn)的加密流量技術(shù)有隧道技術(shù)、代理技術(shù)、流量偽裝技術(shù)、HTTP2.0和快速UDP網(wǎng)絡(luò)連接（QuickUDPInternetConnections,QUIC）協(xié)議等。諸多的加密流量技術(shù)對(duì)原始流量進(jìn)行了偽裝、改造，抹平了原始流量中的統(tǒng)計(jì)特征。因此，我們需要探究主流加密流量技術(shù)的處理過(guò)程，以更好地對(duì)加密流量特征進(jìn)行分析。隧道技術(shù)是一種網(wǎng)絡(luò)協(xié)議，具體的，隧道技術(shù)使用發(fā)送協(xié)議將不同協(xié)議的數(shù)據(jù)包封裝在有效荷載部分。隧道技術(shù)可以在不安全的信道上建立安全信道，也可以在不兼容的網(wǎng)絡(luò)上傳輸數(shù)據(jù)。對(duì)加密流量識(shí)別問(wèn)題而言，識(shí)別出發(fā)送協(xié)議的難度相對(duì)較低，但由于隧道本身對(duì)有效荷載的影響，識(shí)別出隧道負(fù)載的協(xié)議是困難的。常見(jiàn)的隧道技術(shù)有第二層隧道協(xié)議(LayerTwoTunnelingProtocol,L2TP)和安全套接字隧道協(xié)議(SecureSocketTunnelingProtocol,SSTP)。其中，因?yàn)長(zhǎng)2TP本身不提供加密和可靠性驗(yàn)證，因此通常與互聯(lián)網(wǎng)安全協(xié)議（InternetProtocolSecurity,IPSec）組合使用，這種組合被稱作L2TP/IPSec。L2TP的整個(gè)數(shù)據(jù)包均使用用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol,UDP)進(jìn)行發(fā)送，并使用PPP幀和IPSec協(xié)議提供兩層封裝機(jī)制，其數(shù)據(jù)封裝示意如圖2-2(a)所示。SSTP可以建議基于HTTPS的隧道，旨在消除PPTP和L2TP的諸多問(wèn)題。SSTP首先與服務(wù)器建立全雙工的HTTPS信道，基于此HTTPS信道，協(xié)議數(shù)據(jù)包被作為有效負(fù)載進(jìn)行處理。由此，SSTP將PPP幀封裝在IP數(shù)據(jù)報(bào)里，其數(shù)據(jù)封裝示意如圖2-3(b)圖2-3隧道技術(shù)數(shù)據(jù)封裝格式代理技術(shù)另一種影響加密流量識(shí)別的技術(shù)是代理技術(shù)。如Google使用的數(shù)據(jù)壓縮代理技術(shù)，這種技術(shù)能夠有效地提升網(wǎng)頁(yè)的加載速度、節(jié)省流量消耗。此技術(shù)主要通過(guò)服務(wù)提供商服務(wù)器預(yù)先對(duì)需請(qǐng)求的內(nèi)容進(jìn)行壓縮，再通過(guò)SPDY協(xié)議對(duì)請(qǐng)求進(jìn)行進(jìn)一步的優(yōu)化。一般的，該技術(shù)能夠降低近50%的數(shù)據(jù)流量。然而，此技術(shù)同樣會(huì)使得流量的特征發(fā)生巨大變化，迫使模型精度大幅下降。流量偽裝技術(shù)常見(jiàn)的流量偽裝技術(shù)有協(xié)議混淆、流量變種、匿名通信等，此技術(shù)將兩種不同類型流量的特征互相混淆，如將SSH流量偽裝為HTTP流量，該技術(shù)可以有效地欺騙基于統(tǒng)計(jì)特征的加密流量識(shí)別模型。當(dāng)下，流量偽裝技術(shù)通常被用來(lái)偽裝惡意行為。此外，匿名通信技術(shù)如Tor被用于隱藏通信中發(fā)送與接受方的身份信息與兩者的通信關(guān)系，Tor客戶端選擇節(jié)點(diǎn)建立通信鏈路，其中所有節(jié)點(diǎn)只能獲悉與自己相鄰節(jié)點(diǎn)的信息，這保護(hù)了鏈路的安全性。Tor的封裝格式如圖2-4。圖2-4Tor封裝協(xié)議HTTP2.0和QUIC協(xié)議Google先后提出使用SPDY替代HTTP協(xié)議和使用HTTP/2.0協(xié)議替代SPDY協(xié)議的技術(shù)方案。其中，SPDY協(xié)議通過(guò)單一的TCP連接以不同的優(yōu)先級(jí)順序傳輸多個(gè)資源以實(shí)現(xiàn)多路復(fù)用，并使用