MH-Net:基于多視角異構圖的加密流量分類方法
責編:gltian |2025-08-04 14:32:31
原文標題:Revolutionizing Encrypted Traffic Classification with MH-Net: A Multi-View Heterogeneous Graph Model
原文作者:Haozhen Zhang, Haodong Yue, Xi Xiao, Le Yu, Qing Li, Zhen Ling, Ye Zhang原文鏈接:https://doi.org/10.1609/aaai.v39i1.32091發表會議:AAAI筆記作者:宋坤書@安全學術圈主編:黃誠@安全學術圈編輯:張貝寧@安全學術圈
1、研究背景
隨著網絡安全的重要性日益凸顯,加密流量的分類已成為一項緊迫的任務。傳統的深度包檢測方法難以應對日益復雜的加密流量分類任務。近些年來的研究中有人提出了基于統計特征的機器學習方法,但其需要大量的特征工程,并且容易受到不可靠流量的影響;而基于表示學習的深度學習模型雖然表現出了較高的分類性能,但仍未能充分揭示流量字節之間的細粒度關聯。為解決上述問題,本文提出了一種新型的加密流量分類模型MH-Net,通過構建多視角異構流量圖,發現并利用流量字節之間潛在的細粒度關聯,實現對網絡流量的分類。
2、MH-Net框架
MH-Net是一種多視角異構圖神經網絡框架,旨在實現更精準的加密流量表示和識別。MH-Net由三大核心模塊構成:多視角流量圖構建、異構流量圖表示學習和多任務聯合訓練機制。MH-Net首先從不同長度的流量單元構建流量圖,捕捉字節級數據的多視角信息;隨后,引入異構圖建模機制,進一步細化頭部和負載之間的語義關系,并利用HGNN提取判別性特征;最后,MH-Net同時進行包級與流級分類任務,并結合對比學習強化表示能力,從而獲得魯棒的流量特征表達。其模型架構如下圖:
2.1 多視角流量圖構建
為了更有效地挖掘加密流量中的潛在信息,MH-Net將原始流量數據劃分為不同長度的流量單元(如N1-bit和N2-bit單元),從多個維度刻畫數據特征,從而捕捉更具判別性的流量特征。同時,為了進一步挖掘流量單元序列之間潛在的細粒度關聯,MH-Net基于點互信息(Point-wise Mutual Information, PMI)構建流量圖,PMI在流量單元序列上采用滑動窗口,將流量單元序列中共現頻率高的節點相連,生成多視角流量圖 ,其中每個節點的特征是其對應的流量單元的值。
2.2 異構流量圖表示學習
為了充分利用數據包頭部和負載之間的異構性,MH-Net在原始流量圖 和 中引入了三種類型的邊(頭部-頭部、負載-負載、頭部-負載),以此來構建異構流量圖。隨后,模型使用異構圖神經網絡(Heterogeneous Graph Neural Network, HGNN)對多視角異構圖進行表示學習以提取流量圖的判別特征。HGNN基于GraphSAGE模型實現,其針對不同邊類型分別學習參數,并從鄰居節點聚合信息以更新節點表示。最終,所有節點表示取平均,生成數據包級別的流量表示 和 ,進一步通過循環神經網絡(RNN)整合多個數據包表示,生成流級別的流量表示。
2.3 多任務訓練
通過流量分類任務和對比學習任務聯合訓練MH-Net,以實現對加密流量更有效的表示學習和分類建模。
2.3.1 流量分類任務
MH-Net同時執行流級和包級的流量分類任務,分別將兩個長度的表示拼接后輸入不共享參數的MLP分類器,并采用交叉熵損失函數計算流級和包級對應的流量分類任務損失 和 。
2.3.2 雙層次對比學習
為了進一步提升MH-Net的表示能力,本文引入了雙層對比學習機制,分別在包級和流級上進行特征增強訓練。通過對比正樣本和負樣本,學習出具有語義不變性的流量表示。具體來說,MH-Net使用監督對比損失來充分利用數據標簽信息,提高區分能力。
- 包級對比學習:采用圖結構增強(隨機游走算法擾動原始圖結構)和節點特征增強(隨機翻轉節點特征生成擾動圖)對原始圖進行增強,優化數據包級對比損失 ,使模型能識別結構或特征變化下的相同語義信息;
- 流級對比學習:按照一定的概率隨機丟棄流中的部分數據包生成增強流,通過對比學習優化流級對比損失 ,提升模型對流內全局特征的感知能力,從而獲得更魯棒的流級表示。
2.3.3 整體損失函數
MH-Net的總體訓練目標采用端到端的多任務聯合優化策略,綜合數據包級分類分類 、流級分類損失 、數據包級對比損失 和流級對比損失 ,最終損失為:
α β
其中 α β 控制對比學習任務對整體訓練的貢獻。
3、實驗設置
為全面評估MH-Net在數據包級和流級流量分類任務中的性能,本文在五個公開數據集(CIC-IoT、ISCX-VPN、ISCX-NonVPN、ISCX-Tor和ISCX-NonTor)上獨立開展實驗。數據集劃分上,采用分層抽樣按照9:1比例將流級數據集劃分為訓練集和測試集,包級數據則直接繼承自所屬流,標簽與所屬流保持一致。
在實現細節方面,MH-Net使用4-bit和8-bit流量單元構建多視角異構圖,在多樣性和計算成本間取得平衡。模型參數設置包括最大流長為15,HGNN層數為4,RNN初始化為LSTM,隨機游走子圖重啟概率設為0.8,包丟棄率設為0.6,溫度系數為0.07,對比損失系數α=1.0,β=0.5。實驗在PyTorch和DGL實現,并在RTX 3080 GPU上重復運行五次取平均值。評估指標采用總體準確率和宏平均F1分數,并與多種主流包級和流級流量分類方法進行比較。
4、實驗結果
4.1 性能表現
在CIC-IoT和ISCX系列數據集上進行的對比實驗結果表明,MH-Net在流級和數據包級流量分類任務中均表現出顯著優勢。
在流級分類任務中,MH-Net在所有評估指標上取得最優成績,顯著超過傳統統計特征方法和其他深度學習模型,包括TFE-GNN和YaTC。盡管后兩者也使用原始字節表示,但由于未能有效挖掘字節間的細粒度相關性,整體性能仍不如MH-Net。此外,盡管ET-BERT在部分數據集上表現較好,但其高昂的計算成本限制了實際應用。流級分類結果對比如下表:
在包級分類任務中,MH-Net同樣優于所有基線模型,即使與表現較好的EBSNN系列模型相比時仍具有明顯優勢。這主要歸因于MH-Net更充分地挖掘了字節之間的語義關聯,而傳統方法如Securitas則由于其關鍵詞匹配模式僵化,其性能遠低于MH-Net。包級分類結果對比如下表:
總體而言,MH-Net在兩個任務上均取得最優綜合性能,有效驗證了所提出模型在加密流量分類中的有效性。
4.2 消融分析
為了驗證MH-Net架構設計的有效性,本文在CIC-IoT和ISCX-VPN數據集上進行了消融實驗,重點分析不同模塊對模型性能(F1-Score)的影響。消融實驗結果如下表:
實驗結果表明:
- 8-bit流量單元對性能提升更明顯,但4-bit流量單元仍提供了有價值的信息,二者結合有助于豐富表示能力;
- 將異構圖簡化為同構圖(即僅保留一種邊類型)會導致性能顯著下降,說明建模頭部和負載之間的多類型關聯是必要的;
- 引入對比學習(特別是流級對比學習)顯著增強了模型的判別能力,有效提升分類性能。
4.3 敏感性分析
本文在ISCX-VPN數據集上進行了敏感性分析,實驗結果如下圖:
實驗表明,隨著包級對比損失權重 α 的增加,模型性能穩定提升,這說明了包級對比學習的有效性;相比之下,流級對比損失權重 β 對模型性能影響較小,在 β 時效果最佳,這可能是流級增強中數據包隨機丟棄的過度隨機性造成,可以嘗試引入可學習的增強機制來進一步提升表現。
4.4 流量單元分析
本文在ISCX-VPN數據集上采用了不同的流量單元長度和流量單元組合來進行對比實驗,實驗結果如下圖:
在不同流量單元長度對比實驗中發現,采用8-bit流量單元進行實驗獲得了最優分類性能,而其他粒度(如2-bit、4-bit等)的分類效果則明顯下降,這可能是因為它們破壞了字節的完整性,且單位粒度越小,圖結構越大,增加了建模難度。
在不同流量單元組合的對比實驗中發現,4-bit和8-bit的組合性能最佳,其次是8-bit和10-bit的組合,這說明不同粒度的信息互補可以提升模型效果。但也存在粒度間相互干擾的情況,如2-bit和8-bit的組合實驗效果反而下降,這意味著在信息互補和冗余干擾之間需要平衡,合理組合流量單元以進一步提升模型性能。
5、本文貢獻
- 提出了一種名為MH-Net的新型多視角異構圖模型,通過將不同位數的流量比特聚合為多種類型的流量單元,構建多視角流量圖,豐富了信息表達粒度,并提升了模型性能。
- 引入三類流量單元相關性來刻畫流量圖的異構性,并基于異構圖神經網絡進行特征提取。同時結合包級和流級對比學習,以多任務方式增強流量表示的魯棒性。
- 在ISCX和CIC-IoT數據集上分別開展包級和流級流量分類實驗,結果表明MH-Net在與多個基準方法的比較中整體表現最優,驗證了其有效性和先進性。
安全學術圈招募隊友-ing
有興趣加入學術圈的請聯系?secdr#qq.com