GCNN Traffic Classification with Graph Neural Network
摘要
目前许多最先进的流分类器都是基于卷积网络等深度学习模型从报文种提取特征的。但是其不能够很好地提取数据包之间的组成以及因果关系,从而影响了不同流量类型的预测精度,泛化能力也不够。
本文在分组流上提出了一个链图模型,以保持分组流的链图组合序列。在自动提取特征的链图上构建一个图分类器。
本文的要点主要在两个方面:
- 对数据的处理:直接利用pcap文件作为输入数据,不进行截断,如长度不够则在后面补0。
- 分类模型:利用两层SGC,加上池化层、全连接层,组成一个自定义的模型进行标签预测。
介绍
由于如今流分类粒度越来越细,类型也越来越多,还需对恶意流量进行检测
目前有三类分类器:
- 基于静态特征:使用静态属性进行分类。例如基于端口号分类,HTTP协议为80,SSL为443等。
- 基于统计特征:对pcap对象进行分类。例如基于签名的方法将每个应用类型与流量样本中的统计签名相关联。基于流量的统计特征训练监督分类器,如流量大小、到达时间间隔的均值和标准差、子流量大小。
- 自动学习特征,直接训练深度神经网络模型
加密流量普及、NAT、动态端口等高级网格栈的复杂性,收集特征越来越困难。基于深度神经网络的方法假设输入是一个固定的欧几里得对象(一维或二维布局结构),但是流量本质上不是欧几里得结构。
本文无需统计特征,基于链图自动捕获结构和语义关系。
两个挑战:
- 构建链式图,把流量看作固定的一维或二维图像,以链式序列捕获交互过程。
图:顶点表示包,边表示包之间的邻接关系。 - 基于SGC的图神经元模型,保持链图中的线性聚合关系。
流量分类模型
假设网络流量数据是以pcap格式编码的,每个包的pcap字段为报头字段+负载字段。报头字段包括该包的语法元数据(源、目的ip,端口,协议类型等),负载字段包括这个包的语义信息(应用程序数据)。
本文方法
图神经网络包括4层,第一二为SGC模型,第三层为VGPooling ,输出层为全连接层
chained graph
我们的目标是对通常只包含两个网络地址(源地址和目的地址)的包序列执行机器学习。因此,我们需要一个统一的图模型来捕获数据包序列的结构和特征语义。
将 pcap文件划分为由每五个元组标识的会话,每个会话是源ip、源端口、目标IP、目标端口、协议类型的唯一元组。每个会话存到新的pcap文件中。
清理pcap文件中的数据信息:去掉以太网头,在udp末尾填充0确保长度为20。从ip头中删除ip地址。丢弃不需要的数据包。
每个包被转换为固定长度的向量,
连接图指的是与应用类别关联的预处理pcap会话。
顶点对应的是pcap文件中的一个报文,边缘则是pcap文件中一对报文之间的邻接关系。每个顶点都与一个特征向量相关联,该特征向量指的是这个包的1500字节向量。每个边缘默认是无方向的,以增加神经网络训练的消息交换程度。特征矩阵大小为n*1500
根据数据包之间的邻接存储序列提取顶点之间的边集。如果两个原始消息在流量文件中相邻,则建立边。
应用程序类型为标签
在提取顶点级特征之后,下一个挑战是获取图形级特征,该特征概括了链图的全局特征。此外,不同的特征维度可以贡献不同程度的语义。我们通过平均不同顶点的特征向量来获取全局特征,这种特征向量适应于不同的图结构。接下来,我们基于全连接层来考虑不同的特征维度。再经过一个softmax激活函数获得预测标签。
示例如下:
Original: https://blog.csdn.net/qq_43955154/article/details/122494832
Author: 六九八
Title: 【论文阅读】GCNN Traffic Classification with Graph Neural Network
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/666811/
转载文章受原作者版权保护。转载请注明原作者出处!