引用

隨著移動網絡的飛速發展，移動通信給人類社會帶來了巨大的變革，一部手機幾乎涵蓋了人們日常生活的方方面面，如移動支付、網購、外賣、打車、導航等應用，這導致了移動業務流量的爆發式增長，所以在過去的幾十年里，移動網絡流量分類一直是移動網絡管理、安全檢測領域的研究熱點。但在人們享受移動網絡帶來便利的同時，移動終端面臨的安全問題也日益嚴峻，推銷電話和垃圾短信日益猖獗，網絡詐騙時有發生，手機病毒、木馬植入、竊聽竊照事件層出不窮，手機用戶的隱私和財產安全受到了嚴峻威脅。

為應對安全風險，越來越多的移動服務采用加密技術，將數據封裝在加密隧道中進行傳輸，這在一定程度上解決了目前遇到的部分移動網絡安全問題。但隨著網絡加密技術的應用，網絡攻擊手段更具有隱蔽性，攻擊數據往往隱藏在加密數據中，這給移動網絡流量分類帶來了不小的挑戰。雖然經典的機器學習方法可以解決基于端口和有效載荷方法不能解決的很多問題，但其仍然存在一定的局限。比如，機器學習需要人工提取特征，這個過程十分耗時耗力，并且隨著特征更新越來越頻繁，加重了人工提取的工作量。而在加密流量識別中，以往的基于深度包檢測和機器學習方法的預處理準確率大大降低。數據包加密后原來的特征發生改變，傳統的端到端的檢測方法在加密流量識別檢測時失效。深度學習具有良好的自動特征學習的能力，無疑成為了移動網絡流量分類，特別是加密流量分類的理想辦法。如何對移動加密流量進行快速準確及強魯棒性的分類，以及在加密流量中如何有效地識別出惡意加密流量，已經成為目前移動通信安全領域急需解決的問題。

一、網絡流量分類

a)一般流量分類

近年來，學術界和工業界對網絡流量分類方法開展了大量的研究，并取得了豐碩的成果。按照使用技術的不同，傳統的針對非加密網絡的流量識別技術主要包括：端口識別技術、數據包深度檢測技術、基于機器學習的流量識別技術和基于行為特征的流量識別技術等。

b)加密流量分類

按照所在ISO/OSI協議層的不同，流量加密分為應用層加密、傳輸層加密和網絡層加密。應用層加密是指網絡應用在應用層實現專用的加密傳輸協議，例如BitTorrent和Skype。傳輸層加密和網路層加密是指在各自協議層對上層數據包進行整體加密，代表技術分別為TLS和IPsec。

如圖1所示，針對加密網絡的流量識別技術主要包括[1-2]：基于明文數據有效負載檢測的技術[3]、基于負載隨機性的技術[4]、基于機器學習的技術[5]、基于主機行為的識別技術[6]、基于數據分組大小分布的技術[7]和基于多策略融合的方法[8]等。

按照具體業務需求不同，加密流量分類結果主要有三種：

-加密流量識別：將流量分為未加密流量和加密流量。

-流量特征刻畫：將加密流量分為各種應用類型，例如視頻、音頻、聊天等。

-將加密流量分類至具體的某個網絡應用。

其中，流量特征刻畫是目前大部分研究的方向。

圖1 加密流量識別研究進展

上述幾類加密流量識別中，大多是基于某一個或者某幾個特征拓展開來：

-基于有效負載的方法，從加密協議協商初期中未加密的數據流中提取有用的信息來識別協議或應用，該方法準確性高，但實時性較差；

-基于負載隨機性的識別技術，需要依據數據分組中的一些相同特征字段的隨機性來識別加密流量，該方法兼容性強，但實時性較差；

-基于機器學習的識別技術，以流統計為特征，受加密影響相對較小，該方法識別速度較快、實時性較高，但兼容性和穩健性較差；

-基于主機行為的方法，從主機的角度粗粒度地分析不同應用的行為特征，識別速度較快、識別粒度高，但兼容性較差；

-基于數據分組大小分布的方法，根據數據分組大小分布的差異性來識別，該方法受加密影響較小，識別速度較快、實時性和識別粒度較高，但兼容性較差；

-基于多策略融合的方法，將多種識別方法結合以實現高效識別，但大部分方法只對指定加密協議有效，且實時性較差[1-2]。

二、異常加密流量分類

隨著移動通信網絡安全問題越來越突出，如何對網絡攻擊造成的移動通信流量異常實施快速有效的檢測，成為目前相關研究者十分關注的方向。目前常用的網絡流量異常檢測的方法主要分為四類[9]：基于分類的方法、基于統計的方法、基于聚類的方法和基于信息論的方法。

a. 基于分類的網絡流量異常檢測的方法[10]，是指根據有監督的機器學習的方式，采用基于網絡流量分類的方法進行檢測。具體又包括：支持向量機SVM、貝葉斯網絡、神經網絡等具體方法。

b. 基于統計的方法基本思想是假設給出的數據服從某種概率分布[11]，然后根據相應的模型并通過不一致性驗證來發現異常數據，其中可以利用各種數理統計相關的方法技術，例如混合模型方法、信號處理方法、主成分分析方法等。

c. 基于聚類的方法是一種無監督的檢測方法[12]，最大的優勢是無需標注數據，而標注數據在實際應用中往往很難獲取。

d. 基于信息論的方法，信息論中許多概念可以解釋網絡流量數據集的特征[13]，例如熵、條件熵、相對熵、信息增益等，利用信息論的方法建立相應的網絡流量異常檢測的模型來達到異常網絡流量探測的目的。

三、總結與展望

盡管移動通信加密流量識別已經取得了一定的成果，但仍面臨著許多挑戰。例如，加密流量的動態性和變化性使得準確識別變得更加困難；同時，隨著技術的發展，新的加密協議和算法不斷出現，需要不斷更新和改進識別方法以適應新的需求。隨著5G、物聯網、人工智能等技術的快速發展，移動通信加密流量的識別將迎來更多的發展機遇。未來的研究將更加注重方法的通用性和可擴展性，以適應不斷變化的網絡環境和多樣化的應用需求。同時，隨著安全需求的不斷提升，移動通信加密流量的識別技術將在網絡安全、國家安全等方面發揮更大的作用。

綜上所述，移動通信加密流量識別是一個充滿挑戰和機遇的研究領域。未來的研究需要不斷探索新的方法和手段，以適應不斷變化的網絡環境和多樣化的應用需求，為移動通信的安全和發展做出更大的貢獻。

參考文獻

[1]陳良臣,高曙,劉寶旭等.網絡加密流量識別研究進展及發展趨勢[J].信息網絡安全, 2019.19(3):19-25.

[2]藩吳斌,程光,郭曉軍,黃順翔. 網絡加密流量識別研究綜述及展望[J].通信學報, 2016,37(9):154-167.

[3] MA Ruolong. Research and Implementation of Unknown and Encrypted Traffic Identification Based on Convolutional Neural Network[D]. Beijing: Beijing University of Posts and Telecommunications,2018.

[4]李光松,李文清,李青. 基于隨機性特征的加密和壓縮流量分類[J],吉林大學學報(工學版),2020.09.

[5] Alshammari R, Zincir-Heywood A N. Machine Learning-based Encrypted Traffic Classification: Identifying SSH and Skype[C]//IEEE.2019 IEEE Symposium on Computational Intelligence for Security and Defense Applications, July 8-10,2009, Ottawa, ON, Canada. NJ: IEEE.2009:1-8.

[6] Wright C V, Monrose F, Masson G M. Using Visual Motifs to Classify Encrypted Traffic[C]//ACM. The 3rd International Workshop on Visualization for Computer Security, November 3, 2006, Alexandria, Virginia, USA. New York: ACM, 2006:41- 50.

[7] Gao Changxi, Wu Yabiao, Wang Cong. Encrypted Traffic Classification Based on Packet Length Distribution of Sampling Sequence[J]. Journal on Communications, 2015.36 (9):65-75.

[8]孫中軍,翟江濤, 戴躍偉. 一種基于DPI和負載隨機性的加密流量識別方法[J].應用科學學報,2019.9(05)

[9]王偉.基于深度學習的網絡流量分類及異常檢測方法研究[D].中國科學技術大學,2018.

[10] Yanmiao Li, Hao Guo, Jiangang Hou, et al. A Survey of Encrypted Malicious Traffic Detection. 2021 International Conference on Communications, Cybersecurity, and Informatics (CCCI), 2021. 9583191.

[11] Chen Tieming, Jin Chengqiang, Liu Mingqi, Zhu Tiantian. Intelligent detection method on network malicious traffic based on sample enhancement[J]. Journal on Communications, 2020,41(06):128-138

[12] Hwang R, Peng M, Huang C, et al. An unsupervised deep learning model for early network traffic anomaly detection[J]. IEEE Access,2020,8:30387-30399.

[13] Dai Rui, Gao Chuan, Lang Bo. SSL Malicious Traffic Detection Based On Multi-view Features. Proceedings of the 2019 the 9th International Conference on Communication and Network Security[C]. New York, NY, USA:ACM,2019.40-46.