一、Why(Research Background)
网络流量分类根据协议(如超文本传输协议或域名系统)或应用程序(如脸书或Gmail)对流量类别进行分类。其准确性是一些网络管理任务(如服务质量控制、异常检测等)的关键基础。为了进一步提高流量分类的准确性,最近的研究引入了基于深度学习的方法。然而,它们中的大多数都利用了与隐私有关的有效载荷(用户数据)。此外,他们通常不考虑包中字节的依赖性,我们认为这可以用于更准确的分类。
二、What(Method)
网络流量分类根据协议(如HTTP或DNS)或应用程序(如脸书或Gmail)对流量类别进行分类。它在网络管理任务中至关重要,例如服务质量控制和异常检测。.迄今为止,已经提出了各种类型的方法来解决这个问题。它们可以分为三类:
1、基于有效载荷检测的方法
2、基于传统机器学习的方法
3、基于深度学习的方法。
特别地,基于数字签名的方法被提出用于自适应地生成特征(签名),并获得更高的改进。.但是这些基于DL的方法使用有效载荷作为输入,这与用户隐私保护相冲突。此外,它们忽略了输入字节的依赖性,我们认为这可以用于更准确的分类。通常,网络数据包由三部分组成:IP报头、传输层(TCP/UDP)报头和有效负载。不同位置的初始字节是相关的,表示有意义的信息。因此,在分类过程中,我们将数据包的第l个字节视为一种语言。这意味着:
1、可以通过限制分类中使用的字节数来保证用户隐私。
2、我们可以利用自我关注来关联单个输入序列的不同位置,以计算序列的表示,从而进一步提高性能。
三、How?(principle part)
3.1、基于有效载荷检测的方法
有效负载检查根据一组已知的协议签名来检查数据包有效负载,例如,HTTP流量中的“\GET”签名。一些著名的DPI库有libprotident、OpenDPI 和nDPI 。nDPI包含许多众所周知的协议(例如HTTP和FTP)的专用协议解码器。此外,它在解析数据包时使用端口号作为解码器的优先级。例如,端口为80的数据包可能首先被HTTP解码器解析。然而,解析有效载荷涉及隐私问题,并引发一些法律问题。同时,生成协议解码器耗费了领域专家的大量精力,对于未发布的协议是无用的。
3.2、基于传统机器学习的方法
传统的基于最大似然的方法假设流量可以通过统计特征(例如每流持续时间或平均数据包大小)相互区分。奥德等人提出了一个贝叶斯神经网络(BNN)与一系列的数据包特征P2P流量分类。吉尔等人使用KNearest Neighbor和C4.5决策树算法,这些算法具有与时间相关的特性,例如流的持续时间、每秒的流字节数和前向/后向到达间隔。云等提出了安全协议,利用词包模型和潜在狄利克雷分配来获得协议的特征。然后,构造一个分类器,例如SVM、C4.5决策树和贝叶斯网络。这些最大似然方法大多依赖手工制作的特性,这既耗时又容易出错
3.3、基于深度学习的方法
基于DL的方法不同于传统的基于ML的方法或包检查,因为它不依赖专家来提取特征(签名)。而且ÿ
