圖注意力網(wǎng)絡(luò)在惡意加密流量檢測(cè)中的應(yīng)用與創(chuàng)新16000字

圖注意力網(wǎng)絡(luò)在惡意加密流量檢測(cè)中的應(yīng)用與創(chuàng)新目錄 1 21.1研究背景與意義 2 21.3本文的主要貢獻(xiàn)和創(chuàng)新 3 3第二章.相關(guān)基礎(chǔ)與原理 52.1HTTPS與TLS加密協(xié)議 52.2網(wǎng)絡(luò)流量的識(shí)別方法 62.3深度學(xué)習(xí) 9第三章.基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法 113.1原始網(wǎng)絡(luò)流量的預(yù)處理 3.2雙向網(wǎng)絡(luò)流的特征向量化 3.3通信行為圖的構(gòu)造 3.5基于圖注意力網(wǎng)絡(luò)的惡意流量識(shí)別算法流程描述 3.6實(shí)驗(yàn)結(jié)果及分析 第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 264.1惡意加密流量檢測(cè)系統(tǒng)的基本架構(gòu)和設(shè)計(jì) 28 29 5.1全文總結(jié) 5.2后續(xù)工作展望 3隨著加密協(xié)議的廣泛應(yīng)用，如何有效地檢測(cè)出惡意的加密流量成為一項(xiàng)挑戰(zhàn)。本文提出了一種基于圖注意力神經(jīng)網(wǎng)絡(luò)的惡意加密流量識(shí)別算法。傳統(tǒng)的惡意加密流量識(shí)別方案往往只關(guān)注網(wǎng)絡(luò)流量自身的特征，而忽略了主機(jī)之間的通信行為。2用圖注意力神經(jīng)網(wǎng)絡(luò)將惡意加密流量的識(shí)別問題抽象為圖分析任務(wù)中的節(jié)點(diǎn)分關(guān)鍵詞：加密流量惡意流量檢測(cè)深度學(xué)習(xí)圖注意力神經(jīng)網(wǎng)絡(luò)第一章緒論1.1研究背景與意義為了保證用戶的隱私和數(shù)據(jù)安全，以TLS/SSL為基礎(chǔ)的HTTPS加密流量在截止到2021年4月，所有Google產(chǎn)品和服務(wù)中的HTTPS加密流量占比已經(jīng)超過了95%,網(wǎng)站加密傳輸協(xié)議的使用在全球已近乎普及。1.2國(guó)內(nèi)外研究現(xiàn)狀量的檢測(cè)變得失效(林俊逸，何夢(mèng)婷，2021)。逐步引入至流量分析領(lǐng)域中(馬嘉翰，馮雅茹，2021)。許多研究通過提取流量大數(shù)據(jù)時(shí)代的到來使得深度學(xué)習(xí)得到了迅速的發(fā)展，術(shù)大學(xué)，20提出了基于一維CNN的端到端的加密流量分類方法(許文皓，劉婉晴，2022)。[4]提出了基于LSTM循環(huán)神經(jīng)網(wǎng)絡(luò)的惡意加密流量檢測(cè)方法。[3]睞(黃志豪，趙雅婷，2023)。1.3本文的主要貢獻(xiàn)和創(chuàng)新惡意流量(傅啟軒，駱文淵，2022)。1.4結(jié)構(gòu)安排第一章緒論。本章主要介紹了惡意加密流量的研究背景及惡意加密流量檢測(cè)工作的重要性，總結(jié)了國(guó)內(nèi)外惡意流量識(shí)別方法的研究第二章相關(guān)預(yù)備知識(shí)。本章主要介紹了惡意流量識(shí)別的相關(guān)領(lǐng)域知識(shí)和第三章基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法。本章主要介紹了基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別方案的算法流4第四章惡意加密流量的檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。本章主要介紹了惡意加密流量的檢測(cè)系統(tǒng)的系統(tǒng)架構(gòu)設(shè)計(jì)與具體實(shí)現(xiàn)，并對(duì)第五章總結(jié)與展望?？偨Y(jié)了本文的研究工作，并分析了本文提出的惡意第二章.相關(guān)基礎(chǔ)與原理本章主要介紹了惡意加密流量檢測(cè)領(lǐng)域涉及的基礎(chǔ)知識(shí)和相關(guān)原理，包括的無狀態(tài)的應(yīng)用層協(xié)議。HTTP基于TCP/IP協(xié)議來傳輸數(shù)據(jù)，是互聯(lián)網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。這表明了由于HTTP協(xié)議采用明文的形式進(jìn)行數(shù)據(jù)極易被惡意攻擊者利用(盛景瀾，龐啟銘，2023)。加密對(duì)于保護(hù)最終用戶的隱為了解決HTTP協(xié)議明文傳輸存在的風(fēng)險(xiǎn)，就有了HTTPS協(xié)議的誕生。HTTPS中的S表示SSL/TLS,就是在HTTP協(xié)議的基礎(chǔ)上加上一層安全層的協(xié)議——SSL/TLS協(xié)議(段浩淼，闕澤霖，2024)。應(yīng)用層應(yīng)用層傳輸層位于應(yīng)用層協(xié)議和TCP協(xié)議之間。在加密流量中，網(wǎng)絡(luò)傳輸前，都需要經(jīng)過TLS/SSL協(xié)議處理進(jìn)行加密(韓睿哲，荀嘉言，2018)。本文在第三章.基于圖注意力網(wǎng)絡(luò)的惡意加密流量識(shí)別算法3.1原始網(wǎng)絡(luò)流量的預(yù)處理在網(wǎng)絡(luò)中捕獲到的原始流量通常以PCAP包的形式存儲(chǔ)。其中，數(shù)據(jù)包是網(wǎng)絡(luò)流量基本傳輸?shù)膯卧總€(gè)數(shù)據(jù)包由具有固定格式的數(shù)據(jù)包頭部字節(jié)和有效負(fù)載字節(jié)組成，因此網(wǎng)絡(luò)流具有“網(wǎng)絡(luò)流-數(shù)據(jù)包-字節(jié)”的分層結(jié)構(gòu)[2]。根據(jù)網(wǎng)絡(luò)流量的不同切分粒度，原始的網(wǎng)絡(luò)流量可以被切分為數(shù)據(jù)包、網(wǎng)絡(luò)流和雙向網(wǎng)絡(luò)流三種類型，詳細(xì)的描述如下所示(蔚錦程，顧清風(fēng)，2021):1.數(shù)據(jù)包：設(shè)原始網(wǎng)絡(luò)流量中數(shù)據(jù)包表示為pi。每個(gè)數(shù)據(jù)包都具有五元組信息：源IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議字段。單個(gè)的數(shù)據(jù)包表示如下：其中key;表示數(shù)據(jù)包的五元組信息，ti表示數(shù)據(jù)包被捕獲的時(shí)間。2.網(wǎng)絡(luò)流：網(wǎng)絡(luò)流flowi,可以視為在一定時(shí)間段內(nèi)，按照捕獲時(shí)間戳t;的先后順序排列的有序數(shù)據(jù)包序列。在網(wǎng)絡(luò)流中，所有的數(shù)據(jù)包都具有相同的五元組信息(喬立言，孟書海，2022)。flow?={P?=(key,t?),p?=(key,tz?),…,pj=3.雙向網(wǎng)絡(luò)流：雙向網(wǎng)絡(luò)流Biflow,顧名思義，在雙向網(wǎng)絡(luò)流中，源IP地址、源端口號(hào)和目的IP地址、目的端口號(hào)是可以互換的。因此，這表明了雙向網(wǎng)絡(luò)流可以視為上行網(wǎng)絡(luò)流flowout與下行網(wǎng)絡(luò)流flowin的交集。其中上行網(wǎng)絡(luò)流表示主機(jī)向外發(fā)送的流量，下行網(wǎng)絡(luò)流表示主機(jī)從外部接收到的流量(薛文博，秦正陽，2023)。Biflow=flowinUflowout研究對(duì)象(宋子凡，魏子墨，2024)。從理論層面分析，只要方案所接收的輸入通信雙方在TLS加密協(xié)議交互過程中的產(chǎn)生握手信息、密鑰協(xié)商信息等進(jìn)行更好地描述。由這些表現(xiàn)可以預(yù)估出由于本文中的研究對(duì)象是以TLS/SSL為基礎(chǔ)3.2雙向網(wǎng)絡(luò)流的特征向量化除了源端口、目的端口、協(xié)議字段等基本信息外，在2.2.3小節(jié)中提到，網(wǎng)的作用。TLS/SSL協(xié)議的握手階段客戶端與服務(wù)端產(chǎn)生的TLS加密協(xié)商信息，如加密協(xié)議采用的TLS版本、密碼套件、密鑰信息、TL提升惡意流量識(shí)別的精確性。上述的TLS協(xié)商信息是明文傳輸?shù)?，?duì)用戶直接1所示(白若溪，楊景云，2019)。特征類別具體描述供的密碼套件、服務(wù)端選擇的密碼套件、空間序列特征數(shù)據(jù)包的長(zhǎng)度序列時(shí)間序列特征數(shù)據(jù)包的到達(dá)時(shí)間間隔序列(1)元數(shù)據(jù)特征：源端口、目的端口、上行包數(shù)、下行包數(shù)、上行字節(jié)數(shù)、下行字節(jié)數(shù)、流的持續(xù)時(shí)間7類信息各占一，共7維；(2)TLS特征：客戶端可能提供的全部密碼套件共176個(gè)，將其設(shè)置為176維的0-1向量，每一位代表一個(gè)密碼套件。向量化時(shí)需要遍歷雙向流中的客戶端實(shí)際提供的每個(gè)密碼套件，將其對(duì)應(yīng)位置為1,未提供的密碼套件對(duì)應(yīng)位置為0。TLS可能提供的全部擴(kuò)展選項(xiàng)共9種，將其設(shè)置為9維的0-1向量，向量化的方式與客戶端提供密碼套件的方法類似，在此特定時(shí)刻下結(jié)見無疑遍歷客戶端實(shí)際選擇的每個(gè)TLS擴(kuò)展項(xiàng)，將其對(duì)應(yīng)位置為1,未選擇的擴(kuò)展項(xiàng)對(duì)應(yīng)位置為0。TLS支持版本、TLS通信版本、服務(wù)端選擇的密碼套件、公鑰長(zhǎng)度四類信息各占一位，共189維(馮啟明，朱逸飛，2020)。(3)空間序列特征：數(shù)據(jù)包的長(zhǎng)度序列。由于每一條雙向網(wǎng)絡(luò)流包含的數(shù)據(jù)包數(shù)目并不相同，而神經(jīng)網(wǎng)絡(luò)的輸入特征長(zhǎng)度必須特征向量具有相同的維度，在統(tǒng)計(jì)數(shù)據(jù)包的長(zhǎng)度序列時(shí)只截取前50個(gè)包的信息，不足50個(gè)包的置為0,空間序列特征共50維(沈君浩，何啟航，2021)。對(duì)于上述方案的調(diào)試工作，本文從理論探討與實(shí)踐驗(yàn)證兩大方面入構(gòu)的搭建與邏輯推理的展開，為后續(xù)的實(shí)驗(yàn)提供了強(qiáng)有力在實(shí)踐驗(yàn)證階段，本文精心策劃了一系列測(cè)試，旨在檢驗(yàn)性。測(cè)試過程中，采用了嚴(yán)格的數(shù)據(jù)收集與分析手段，確場(chǎng)景，并針對(duì)每種場(chǎng)景對(duì)系統(tǒng)參數(shù)進(jìn)行了優(yōu)化調(diào)整。這一(4)時(shí)間序列特征：數(shù)據(jù)包的到達(dá)時(shí)間間隔序列。為了統(tǒng)一特征向量長(zhǎng)度，處理方式同上，時(shí)間序列特征共50維。元數(shù)據(jù)信息時(shí)間長(zhǎng)度7經(jīng)過上述方式處理后最終得到的雙向網(wǎng)絡(luò)流的特征向量共296維。設(shè)通信行為圖為G,它由頂點(diǎn)集合V(G)與邊集合E(G)構(gòu)成。其表示方式如下：機(jī)名或IP地址來唯一標(biāo)識(shí)一個(gè)節(jié)點(diǎn)。在本文中，我們將IP地址作為節(jié)點(diǎn)的標(biāo)識(shí)(李澤宇，陳文博，2018)。在此特定條件下一目了然節(jié)點(diǎn)v?與其他em=<Vi,v;,keym,featurem>,keym(srcIP)此通信行為圖以多邊圖的形式存在(趙明杰，劉啟銘，2019)。就把惡意加密流量的檢測(cè)任務(wù)抽象為了圖任務(wù)中的邊分類問題(韓景云，彭俊2020)。為保證上述結(jié)論的有效性本論文也從多個(gè)角度進(jìn)行了深入的探討和驗(yàn)證。首先采用了多種來源的高質(zhì)量數(shù)據(jù)并通過嚴(yán)格的篩選和清洗過程確保了數(shù)據(jù)的概念來完成節(jié)點(diǎn)與邊的轉(zhuǎn)換，將圖任務(wù)中的邊分類問題轉(zhuǎn)換為點(diǎn)分類問題(高天3.3.1線圖的轉(zhuǎn)換在圖論中，圖G所對(duì)應(yīng)的線圖是一張能夠反映G中邊的鄰接性的圖，記作L(G),G稱為L(zhǎng)(G)的原圖。線圖L(G)將原圖G中的每條邊分別抽象為一個(gè)(1)線圖的一個(gè)頂點(diǎn)對(duì)應(yīng)原圖的一個(gè)邊；(2)線圖的頂點(diǎn)相鄰當(dāng)且僅當(dāng)它們?cè)谠瓐D中對(duì)應(yīng)的邊有公共的頂點(diǎn)。引入線圖的概念后，我們可以生成通信行為圖G的線圖L(G),完成節(jié)點(diǎn)與邊的轉(zhuǎn)換，利用圖神經(jīng)網(wǎng)絡(luò)對(duì)線圖L(G)進(jìn)行點(diǎn)分類，解決了對(duì)多邊圖進(jìn)行邊分類存在的問題(徐浩淼，黃啟航，2022)。3.4基于圖注意力神經(jīng)網(wǎng)絡(luò)的惡意流量識(shí)別算法的神經(jīng)網(wǎng)絡(luò)模型，它可以視為GCN網(wǎng)絡(luò)的一個(gè)變種。在2.3中我們?cè)榻B了基(1)直推式學(xué)習(xí)(TransductiveLeaning):TransductiveLeaning在訓(xùn)練過程重新進(jìn)行訓(xùn)練(2)歸納式學(xué)習(xí)(InductiveLeaning):歸納是從特殊到一般的過程，歸納上進(jìn)行，本文研究環(huán)境中已將此情況納入考慮測(cè)試階段能夠?qū)ξ粗墓?jié)點(diǎn) 合鄰居節(jié)點(diǎn)信息時(shí)，GCN分配給不同鄰居的權(quán)重完全相同，處理有向圖存在瓶(1)訓(xùn)練時(shí)無需或得圖的完整結(jié)構(gòu)信息，只需知道每個(gè)節(jié)點(diǎn)的鄰居節(jié)點(diǎn)。(2)計(jì)算速度快，可以在不同的節(jié)點(diǎn)上并行計(jì)算(3)既可以用于直推式學(xué)習(xí)，又可以用于歸納式學(xué)習(xí)，能夠?qū)ξ粗膱D結(jié)構(gòu)進(jìn)行預(yù)測(cè)(周啟銘，曾明軒，2024)。常只對(duì)一部分流量進(jìn)行采樣。因此，GAT網(wǎng)絡(luò)更加適用于對(duì)惡意加密流量進(jìn)行這表明了圖注意力網(wǎng)絡(luò)的輸入數(shù)據(jù)為圖結(jié)構(gòu)的特征矩陣h∈Rn×m,鄰接矩設(shè)圖注意力網(wǎng)絡(luò)的權(quán)重矩陣為W。GAT在聚合鄰居節(jié)點(diǎn)信息時(shí)，需要對(duì)每個(gè)節(jié)點(diǎn)施加不同的權(quán)重。GAT網(wǎng)絡(luò)引入了注意力機(jī)制，經(jīng)過一個(gè)注意力函數(shù) (attentionfunction)來計(jì)算出節(jié)點(diǎn)i與節(jié)點(diǎn)j之間的權(quán)重系數(shù)eij。過一個(gè)單層的前向神經(jīng)網(wǎng)絡(luò)來實(shí)現(xiàn)注意力函數(shù)(丁睿德，任博遠(yuǎn)，2018)。在后球范圍內(nèi)的知識(shí)共享和技術(shù)進(jìn)步。該單層網(wǎng)絡(luò)的權(quán)重矩陣表示為a∈R2×n。為了保留大部分的梯度信息，我們?cè)谠撉跋蛏窠?jīng)網(wǎng)絡(luò)的輸出層上還加入了權(quán)重，計(jì)算出所有鄰居節(jié)點(diǎn)的權(quán)重系數(shù)后，我系數(shù)進(jìn)行歸一化處理(嚴(yán)俊馳，蕭明杰，2019)。N;表示節(jié)點(diǎn)i的所有鄰居節(jié)點(diǎn)的集合。將上述公式展開后得到最終的注意作為激活函數(shù)(韓一帆，鄭啟超，2022)。由此可以窺見一二計(jì)算公式如下：圖3-7注意力權(quán)重系數(shù)的計(jì)算過程了多頭的注意力機(jī)制，在此特定時(shí)刻下結(jié)論顯而易見無疑學(xué)習(xí)到節(jié)點(diǎn)向量在不同表示空間中的特征。多頭注意力機(jī)制同時(shí)使用多個(gè)神經(jīng)網(wǎng)絡(luò)的權(quán)重分別計(jì)算出不同的聚合結(jié)構(gòu)。最終將K個(gè)計(jì)算結(jié)果合并(葉啟航，劉浩淼，圖3-8多頭注意力機(jī)制示意圖利用GAT網(wǎng)絡(luò)得到節(jié)點(diǎn)聚合其鄰居節(jié)點(diǎn)特征的最終表示后，在GAT網(wǎng)絡(luò)后添加一個(gè)線性層和softmax層就能實(shí)現(xiàn)對(duì)節(jié)點(diǎn)的分類。SS0tmaX3.5基于圖注意力網(wǎng)絡(luò)的惡意流量識(shí)別算法流程描述步驟2:特征向量化：分別提取雙向網(wǎng)絡(luò)流的元數(shù)據(jù)特征、TLS相關(guān)特征、空間序列特征、時(shí)間序列特征，生成長(zhǎng)度為296的特征向量，作為神經(jīng)網(wǎng)絡(luò)的特步驟3:依據(jù)流量之間的通信行為信息構(gòu)造通信行為圖，并生成通信行為圖該方案相比于其他方案具有更好的性價(jià)比，同時(shí)在技術(shù)步驟4:模型訓(xùn)練：將樣本的特征矩陣和鄰接矩陣作為GAT網(wǎng)絡(luò)的輸入，通過GAT分類模型，對(duì)樣本進(jìn)行預(yù)測(cè)，判斷其是否屬于惡意加密流量。3.6實(shí)驗(yàn)結(jié)果及分析3.6.1實(shí)驗(yàn)環(huán)境參數(shù)名稱隱層維度8多頭注意力層8學(xué)習(xí)率隨機(jī)斷開率3.6.2實(shí)驗(yàn)數(shù)據(jù)集采樣，將正常流量與惡意流量的比例設(shè)置為9:1,共采樣了1萬條TLS加密流3.6.2評(píng)價(jià)指標(biāo)真實(shí)類型預(yù)測(cè)結(jié)果正樣本(惡意流量)負(fù)樣本(正常流量)正樣本(惡意流量)負(fù)樣本(正常流量)分類模型將惡意流量正確預(yù)測(cè)為惡意流量的樣本數(shù)；TN(TrueNegative,真負(fù)假正例)表示分類模型將正常流量預(yù)測(cè)為惡意流量的樣本個(gè)數(shù)；GN(FalseNegative,假負(fù)例)表示分類模型將惡意流量錯(cuò)誤預(yù)測(cè)為正常流量的樣本個(gè)數(shù)。(Precision)、F1分?jǐn)?shù)，計(jì)算公式如下(羅啟銘，吳逸飛，2021):一目了然一般情況下召回率和精確度之間存在博弈，即召回率高，精確度就低；指標(biāo)，綜合考慮召回率和精確度的精確性評(píng)價(jià)指標(biāo)。在F1分?jǐn)?shù)指標(biāo)中，精確率3.6.3實(shí)驗(yàn)結(jié)果為了判斷基于GAT的惡意加密流量識(shí)別算法與傳統(tǒng)的基于特征的惡意流量較。支持向量機(jī)模型的訓(xùn)練結(jié)果如表3-3示，多層感知機(jī)模型的訓(xùn)練結(jié)果如表3-4示，卷積神經(jīng)網(wǎng)絡(luò)模型的訓(xùn)練結(jié)果如表3-6示，GAT模型的訓(xùn)練結(jié)果如表3-7表3-4支持向量機(jī)SVM的實(shí)驗(yàn)結(jié)果表3-5多層感知機(jī)MLP的實(shí)驗(yàn)結(jié)果表3-6卷積神經(jīng)網(wǎng)絡(luò)CNN的實(shí)驗(yàn)結(jié)果表3-7圖注意力網(wǎng)絡(luò)GAT的實(shí)驗(yàn)結(jié)果圖3-6反映了GAT模型在訓(xùn)練過程中的損失loss與訓(xùn)練迭代次數(shù)Epoch的關(guān)系。從圖3-6的變化趨勢(shì)可以看出，隨著訓(xùn)練迭代次數(shù)的增加，模型的損失逐漸下降，并在第100個(gè)epoch時(shí)基本趨于收斂。表3-7的結(jié)果顯示GAT模型在訓(xùn)練集上的準(zhǔn)確率最終達(dá)到了99.60%,測(cè)試集上的準(zhǔn)確率達(dá)到了99.10%,因圖3-8反映了各模型在的測(cè)試集上的表現(xiàn)效果。幾種模型的準(zhǔn)確率指標(biāo)達(dá)到了90%以上，其中本文提出的基于GAT的惡意流量檢測(cè)算法的表現(xiàn)最佳，MLP模型的準(zhǔn)確率為93.09%,CNN模型為93.36%,SVM模型表現(xiàn)效果最差，為召回率和F1分?jǐn)?shù)指標(biāo)(林俊逸，何夢(mèng)婷，2021)。SVM模型雖然在訓(xùn)練集上負(fù)樣本，泛化能力弱，在測(cè)試集上幾乎無法準(zhǔn)確區(qū)分出惡意流量。MLP模型與CNN模型的惡意流量檢測(cè)算法的準(zhǔn)確率指標(biāo)上僅比GAT模型低了幾個(gè)百分點(diǎn)，在這樣的條件下不難推知但是這兩種模型召回率比GAT檢測(cè)模型低了幾十個(gè)好地解決數(shù)據(jù)不平衡問題。本文提出的基于GAT的惡意加密流量檢測(cè)算法，在果表明，將網(wǎng)絡(luò)主機(jī)之間的通信行為轉(zhuǎn)換為通信行為圖的形式后使用GA第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)B/S架構(gòu)的全稱為Browser/Server,即瀏覽器/服務(wù)器結(jié)構(gòu)，是目前應(yīng)用系統(tǒng)的主要發(fā)展趨勢(shì)。Browser指的是Web瀏覽器。在這種結(jié)構(gòu)下，用戶無需安裝應(yīng)用，通過Web瀏覽器來進(jìn)入工作界面，本文研究環(huán)境中已將此情況納入考慮少部分事務(wù)邏輯在前端(Browser)實(shí)現(xiàn)，主要事務(wù)邏輯在服務(wù)器端(Server)實(shí)現(xiàn)(馬嘉翰，馮雅茹，2021)。BS系統(tǒng)的主要優(yōu)勢(shì)在于分布性強(qiáng)，只要有網(wǎng)絡(luò)和瀏覽器即可隨時(shí)隨地進(jìn)行查詢、瀏覽等業(yè)務(wù)處理；業(yè)務(wù)的擴(kuò)展與維護(hù)方便、開發(fā)簡(jiǎn)單且共享性強(qiáng)；總降低了用戶的總體成本。B/S系統(tǒng)的基本架構(gòu)如圖4-1所示。與傳統(tǒng)的C/S系統(tǒng)的兩層架構(gòu)有所不(1)表現(xiàn)層：主要完成用戶和后臺(tái)的交互及最終查詢結(jié)果的輸出功能。(2)邏輯層：主要是利用服務(wù)器完成客戶端的應(yīng)用邏輯功能。(3)數(shù)據(jù)層：主要是接受客戶端請(qǐng)求后獨(dú)立進(jìn)行各種運(yùn)算。訪問返回結(jié)果4.1.2B/S系統(tǒng)的工作流程在B/S系統(tǒng)中，一次請(qǐng)求的工作流程描述如下：2.服務(wù)器端處理請(qǐng)求：服務(wù)器端接收并處理請(qǐng)求，服務(wù)器中的應(yīng)用層部分調(diào)用業(yè)務(wù)邏輯，調(diào)用業(yè)務(wù)邏輯上的方法；3.服務(wù)器端發(fā)送響應(yīng)：服務(wù)器端把用戶請(qǐng)求的數(shù)據(jù)返回給瀏覽器。4.1.2B/S系統(tǒng)的功能需求分析用戶在系統(tǒng)中進(jìn)行一次對(duì)惡意加密流量的檢測(cè)需要的流程如圖4-2所示，共經(jīng)過以下五個(gè)階段：流量切分流量過濾特征向量化生成線圖階段1(用戶登入):進(jìn)入系統(tǒng)時(shí)，用戶首先需要輸入自身的賬戶和密碼，提交給后臺(tái)進(jìn)行身份的認(rèn)證；若用戶首次使用，則需要先進(jìn)行注冊(cè)。階段2(提交文件):用戶選擇PCAP格式的網(wǎng)絡(luò)流量文件進(jìn)行上傳，提交給后臺(tái)。服務(wù)端接收到請(qǐng)求后，將接收到的PCAP文件保存至服務(wù)器。階段3(數(shù)據(jù)預(yù)處理):數(shù)據(jù)預(yù)處理的核心工作是解析原始的網(wǎng)絡(luò)流量，將其按照雙向網(wǎng)絡(luò)流的粒度進(jìn)行切分(許文皓，劉婉晴，2022)。此外，現(xiàn)有結(jié)果表明可以推出還需要對(duì)切分后的雙向網(wǎng)絡(luò)流進(jìn)行過濾，去除數(shù)據(jù)包數(shù)目為0的雙向網(wǎng)絡(luò)流以及沒有進(jìn)行加密的網(wǎng)絡(luò)流。接下來按照3.2小節(jié)的方式對(duì)雙向網(wǎng)絡(luò)進(jìn)行特征向量化，并生成通信行為圖及轉(zhuǎn)化后的線圖；為GAT模型提供輸入數(shù)據(jù)。階段4(GAT模型預(yù)測(cè)):此階段將使用提前訓(xùn)練好的的GAT預(yù)測(cè)模型，將用戶提交的網(wǎng)絡(luò)流量生成的特征矩陣和鄰接矩陣作為GAT網(wǎng)絡(luò)的輸入，對(duì)每一個(gè)樣本進(jìn)行結(jié)果預(yù)測(cè)，判斷其是否屬于惡意的加密流量。預(yù)測(cè)結(jié)果即為加密網(wǎng)第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)絡(luò)流量的分類標(biāo)簽。這表明了使用數(shù)據(jù)預(yù)處理階段生成的流量特征向量數(shù)據(jù)用于分類器模型訓(xùn)練，階段5(預(yù)測(cè)結(jié)果返回):使用GAT得到預(yù)測(cè)結(jié)果后，服務(wù)端將預(yù)測(cè)結(jié)果返回給客戶端，瀏覽器將對(duì)預(yù)測(cè)結(jié)果進(jìn)行展示。明確了上述工作流程后，惡意加密流量檢測(cè)系統(tǒng)需要實(shí)現(xiàn)的功能包括以下四1.用戶的注冊(cè)與登錄；2.PCAP格式的網(wǎng)絡(luò)流量文件的上傳；3.對(duì)原始流量進(jìn)行數(shù)據(jù)預(yù)處理4.調(diào)用訓(xùn)練好的GAT模型，對(duì)加密流量進(jìn)行檢測(cè)；5.返回檢測(cè)結(jié)果并進(jìn)行展示。4.2惡意加密流量檢測(cè)系統(tǒng)的實(shí)現(xiàn)：在實(shí)際開發(fā)過程中，我們采用前后端分離的應(yīng)用模式，后端僅返回前端所需的數(shù)據(jù)，不再渲染HTML頁面。選擇Vue框架搭建前端頁面，基于python的Flask框架搭建后臺(tái)系統(tǒng)。Flask框架是一個(gè)基于Python開發(fā)的、依賴WSGI服務(wù)的一個(gè)微型框架，WSGI服務(wù)接收HTTP請(qǐng)求并對(duì)請(qǐng)求進(jìn)行預(yù)處理，然后觸發(fā)Flask框架，由這些表現(xiàn)可以預(yù)估出開發(fā)人員基于Flask框架提供的功能對(duì)請(qǐng)求進(jìn)行相應(yīng)的處理，并返回給用戶。Vue.js是一款流行的JavaScript前端框架，是一套構(gòu)建用戶界面的漸進(jìn)式框架。Vue.js框架的主要特點(diǎn)是可以進(jìn)行組件化開發(fā)，能夠大大減少代碼的編寫量，減輕開發(fā)負(fù)擔(dān)。為了能夠更加方便地管理和讀取數(shù)據(jù)，前端與后端通信時(shí)以Json格式進(jìn)行4.3系統(tǒng)效果展示：4.3.1登錄-注冊(cè)界面首次登入系統(tǒng)時(shí)，用戶首先需要進(jìn)行注冊(cè)，注冊(cè)成功后返回登錄界面，輸入注冊(cè)時(shí)使用的賬號(hào)和密碼即可成功進(jìn)入系統(tǒng)。4.3.2上傳-檢測(cè)界面用戶選擇PCAP文件進(jìn)行上傳，提交后文件將被被保存到服務(wù)端。服務(wù)端將對(duì)PCAP包中的原始流量進(jìn)行預(yù)處理，并調(diào)用提前訓(xùn)練好的GAT分類模型，檢測(cè)其中是否存在潛在的惡意的加密流量，生成檢測(cè)結(jié)果(黃志豪，趙雅婷，第四章基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)服務(wù)端對(duì)網(wǎng)絡(luò)流量檢測(cè)完畢后，將檢測(cè)結(jié)果進(jìn)行統(tǒng)計(jì)，返回被識(shí)別為惡意加密流量的列表。用戶點(diǎn)擊查看詳情選項(xiàng)，由此可以窺見一二即可查看檢測(cè)出的每條潛在惡意流量的詳情信息。惡意流量的基本信息包括源IP地址、目的IP地址、源端口、目的端口、上行包數(shù)、下行包數(shù)、上行字節(jié)數(shù)、下手相關(guān)信息包括客戶端支持的TLS版本、服務(wù)端使用的TLS版本、客戶端提供的密碼套件數(shù)量、最終選擇的密碼套件、TLS擴(kuò)展數(shù)量及公鑰長(zhǎng)度。本章主要介紹了基于B/S架構(gòu)的惡意加密流量檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。首第五章全文總結(jié)與展望本文針對(duì)加密流量提出了一種基于GAT的在加密場(chǎng)景下檢測(cè)惡意網(wǎng)絡(luò)流量的方法。該方法將原始流量劃分為雙向網(wǎng)絡(luò)流的形式，并根據(jù)主機(jī)之間的通信行為，構(gòu)造了通信行為圖，通過圖注意力神經(jīng)網(wǎng)絡(luò)完成對(duì)惡意流量的識(shí)別，取得了比較好的效果。本方法既利用了流量自身的特征信息，又利用了主