分享自:

基于预训练Transformer的加密流量分类模型ET-BERT

期刊:Proceedings of the ACM Web Conference 2022DOI:10.1145/3485447.3512217

这篇文档属于类型a,即报告了一项原创性研究。以下是对该研究的学术报告:

主要作者与机构
本研究的主要作者包括Xinjie Lin、Gang Xiong、Gaopeng Gou、Zhen Li、Junzheng Shi和Jing Yu。他们分别来自中国科学院信息工程研究所和中国科学院大学网络空间安全学院。该研究发表于2022年4月25日至29日举行的ACM Web Conference 2022(WWW ‘22)上,会议地点为法国里昂。

学术背景
本研究的主要科学领域是加密流量分类(encrypted traffic classification)。随着互联网用户隐私保护需求的增加,加密技术(如VPN、Tor等)被广泛应用,这给网络流量分类带来了巨大挑战。传统的深度包检测(Deep Packet Inspection, DPI)方法无法应用于加密流量,而现有的解决方案过于依赖数据规模,难以泛化到未见过的数据。因此,如何利用开放域未标记的流量数据学习具有强泛化能力的表示成为一个关键问题。本研究旨在提出一种新的加密流量表示模型ET-BERT(Encrypted Traffic Bidirectional Encoder Representations from Transformer),通过大规模未标记数据进行预训练,从而在少量任务特定标记数据上进行微调,实现高精度的加密流量分类。

研究流程
研究流程主要分为以下几个步骤:

  1. 预训练模型设计
    ET-BERT模型基于Transformer架构,旨在从大规模未标记的加密流量中学习数据报级别的通用表示。首先,研究提出了一种原始流量表示模型,将数据报转换为类似语言的token,用于预训练。每个流量流通过传输引导的结构(称为burst)表示,作为输入。预训练网络通过自监督学习在大规模未标记加密流量上获取数据报级别的通用表示。研究提出了两种新的预训练任务:掩码突发模型(Masked Burst Model, MBM)和同源突发预测(Same-Origin Burst Prediction, SBP)。MBM任务捕捉同一突发中不同数据报字节之间的相关关系,SBP任务建模前后突发的传输关系。

  2. 微调模型
    预训练模型可以在少量任务特定标记数据上进行微调,以适应具体的分类任务。研究提出了两种微调策略:包级别微调和流级别微调。包级别微调用于单包分类,流级别微调用于单流分类。微调过程中,所有参数在端到端模型中进行调整,输出层的[CLS]表示用于多分类预测。

  3. 数据集与实验设置
    研究使用了约30GB的未标记流量数据进行预训练,包括来自公开数据集和自采集的流量数据。在实验中,研究在五个加密流量分类任务上评估了ET-BERT的有效性,包括通用加密应用分类、加密恶意软件分类、VPN加密流量分类、Tor加密应用分类和TLS 1.3加密应用分类。每个数据集分为训练集、验证集和测试集,比例为8:1:1。

  4. 实验结果与分析
    研究通过准确率(AC)、精确率(PR)、召回率(RC)和F1分数等指标评估模型性能。ET-BERT在五个任务上均取得了最先进的性能,特别是在ISCX-VPN-Service任务上,F1分数提升了5.2%,在TLS 1.3任务上提升了10.0%。研究还通过分析密码的随机性,解释了预训练模型的强大性能,并提供了对加密流量分类能力边界的理解。

主要结果
1. 通用加密应用分类(GEAC)
ET-BERT在Cross-Platform (iOS)和Cross-Platform (Android)数据集上分别取得了1.7%和5.4%的性能提升,显著优于现有方法。

  1. 加密恶意软件分类(EMC)
    在USTC-TFC数据集上,ET-BERT的F1分数达到了99.30%,优于所有对比方法。

  2. VPN加密流量分类(ETCV)
    在ISCX-VPN-Service和ISCX-VPN-App数据集上,ET-BERT分别提升了5.69%和1.72%的性能。

  3. Tor加密应用分类(EACT)
    在ISCX-Tor数据集上,ET-BERT的F1分数提升了4.41%,优于现有最佳方法。

  4. TLS 1.3加密应用分类(EAC-1.3)
    在CSTNet-TLS 1.3数据集上,ET-BERT的F1分数提升了10.0%,达到了97.41%。

结论
本研究提出的ET-BERT模型通过预训练和微调策略,显著提升了加密流量分类的性能。研究的主要贡献包括:(1)提出了一个利用大规模未标记加密流量学习通用数据报表示的预训练框架;(2)设计了两种新的自监督预训练任务,捕捉字节级别和突发级别的上下文关系;(3)ET-BERT在多个加密流量分类任务上取得了最先进的性能,并提供了对预训练模型强大性能的理论解释。

研究亮点
1. 创新性:ET-BERT是首个专门为加密流量分类设计的预训练模型,通过MBM和SBP任务捕捉加密流量的隐含模式。 2. 泛化能力:ET-BERT在多个加密流量分类任务上表现出强大的泛化能力,特别是在TLS 1.3等新型加密协议上。 3. 理论贡献:研究通过分析密码的随机性,解释了预训练模型的强大性能,为加密流量分类提供了新的理论支持。

其他有价值的内容
研究还探讨了ET-BERT在少样本(few-shot)设置下的有效性,结果表明ET-BERT在数据量减少的情况下仍能保持较高的分类性能。此外,研究还讨论了模型的局限性,如加密流量随时间变化的挑战,并提出了未来研究方向,如预测新类别样本和抵抗样本攻击的能力。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com