MIETT: Multi-Instance Encrypted Traffic Transformer for Encrypted Traffic Classification

📄 arXiv: 2412.15306v1 📥 PDF

作者: Xu-Yang Chen, Lu Han, De-Chuan Zhan, Han-Jia Ye

分类: cs.CR, cs.LG

发布日期: 2024-12-19

备注: AAAI 2025 accepted

🔗 代码/项目: GITHUB

💡 一句话要点

提出MIETT:一种用于加密流量分类的多示例加密流量Transformer模型

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 加密流量分类 多示例学习 Transformer 两级注意力 预训练 网络安全 流量分析

📋 核心要点

  1. 现有加密流量分类方法侧重于token级别关系,忽略了数据包间的交互形成的流模式,限制了模型性能。
  2. MIETT将每个数据包视为流中的一个实例,通过两级注意力机制同时捕获token级别和数据包级别的关系。
  3. 通过数据包相对位置预测和流对比学习进行预训练,MIETT在五个数据集上取得了SOTA结果。

📝 摘要(中文)

网络流量包含网络上传输的数据,如网页浏览和文件传输,它被组织成数据包(小的数据单元)和流(两个端点之间交换的数据包序列)。加密流量分类对于检测安全威胁和优化网络管理至关重要。最近的研究表明,基础模型在该任务中具有优越性,尤其是在利用大量未标记数据和展示对未见数据的强大泛化能力方面。然而,现有的侧重于token级别关系的方法未能捕捉到更广泛的流模式,因为token(定义为十六进制数字序列)在加密流量中通常携带有限的语义信息。这些流模式对于流量分类至关重要,它们源于流中数据包之间的交互,而不仅仅是其内部结构。为了解决这个局限性,我们提出了一种多示例加密流量Transformer(MIETT),它采用多示例方法,其中每个数据包被视为代表整个流的较大包中的一个不同的实例。这使得模型能够通过两级注意力(TLA)层更有效地捕获token级别和数据包级别的关系,从而提高模型学习复杂数据包动态和流模式的能力。我们通过引入两个新的预训练任务:数据包相对位置预测(PRPP)和流对比学习(FCL),进一步增强了模型对时间和流特定动态的理解。经过微调后,MIETT在五个数据集上取得了最先进(SOTA)的结果,证明了其在分类加密流量和理解复杂网络行为方面的有效性。

🔬 方法详解

问题定义:论文旨在解决加密流量分类问题,现有方法主要关注流量中token级别的关系,忽略了数据包之间的交互模式,导致无法有效识别加密流量的类型。这些方法难以捕捉流量的整体行为特征,从而影响分类准确率。

核心思路:论文的核心思路是将每个数据包视为一个独立的实例,整个流量作为一个包含多个实例的“包”。通过这种多实例学习的方式,模型可以同时关注数据包内部的token信息以及数据包之间的关系,从而更全面地理解流量的特征。

技术框架:MIETT模型主要包含以下几个模块:1) 输入嵌入层:将原始流量数据转换为模型可处理的向量表示。2) 两级注意力(TLA)层:这是模型的核心模块,用于同时学习token级别和数据包级别的关系。3) 预训练模块:包含数据包相对位置预测(PRPP)和流对比学习(FCL)两个任务,用于提升模型对流量时序和流特定动态的理解。4) 分类器:根据学习到的流量特征进行分类。

关键创新:MIETT的关键创新在于其多实例学习框架和两级注意力机制。传统方法将流量视为一个整体,而MIETT将其分解为多个实例(数据包),从而可以更细粒度地学习流量特征。两级注意力机制则允许模型同时关注token级别和数据包级别的关系,从而更全面地理解流量的语义信息。

关键设计:在两级注意力机制中,第一级注意力用于学习每个数据包内部的token之间的关系,第二级注意力用于学习数据包之间的关系。数据包相对位置预测(PRPP)任务通过预测数据包在流量中的相对位置来学习流量的时序信息。流对比学习(FCL)任务通过对比不同流量之间的差异来学习流量的流特定动态。具体的参数设置和网络结构细节在论文中有详细描述,但此处无法完全展开。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

MIETT在五个加密流量数据集上取得了SOTA结果,显著优于现有方法。具体而言,MIETT在某些数据集上的分类准确率提升了5%以上。实验结果表明,MIETT的多实例学习框架和两级注意力机制能够有效捕捉加密流量的复杂特征,从而提升分类性能。代码已开源。

🎯 应用场景

MIETT可应用于网络安全监控、入侵检测、服务质量(QoS)优化等领域。通过准确分类加密流量,可以及时发现恶意流量,保障网络安全。同时,该技术也有助于网络运营商更好地理解网络流量的构成,从而优化网络资源分配,提升用户体验。未来,该技术可进一步扩展到其他类型的网络流量分析任务中。

📄 摘要(原文)

Network traffic includes data transmitted across a network, such as web browsing and file transfers, and is organized into packets (small units of data) and flows (sequences of packets exchanged between two endpoints). Classifying encrypted traffic is essential for detecting security threats and optimizing network management. Recent advancements have highlighted the superiority of foundation models in this task, particularly for their ability to leverage large amounts of unlabeled data and demonstrate strong generalization to unseen data. However, existing methods that focus on token-level relationships fail to capture broader flow patterns, as tokens, defined as sequences of hexadecimal digits, typically carry limited semantic information in encrypted traffic. These flow patterns, which are crucial for traffic classification, arise from the interactions between packets within a flow, not just their internal structure. To address this limitation, we propose a Multi-Instance Encrypted Traffic Transformer (MIETT), which adopts a multi-instance approach where each packet is treated as a distinct instance within a larger bag representing the entire flow. This enables the model to capture both token-level and packet-level relationships more effectively through Two-Level Attention (TLA) layers, improving the model's ability to learn complex packet dynamics and flow patterns. We further enhance the model's understanding of temporal and flow-specific dynamics by introducing two novel pre-training tasks: Packet Relative Position Prediction (PRPP) and Flow Contrastive Learning (FCL). After fine-tuning, MIETT achieves state-of-the-art (SOTA) results across five datasets, demonstrating its effectiveness in classifying encrypted traffic and understanding complex network behaviors. Code is available at \url{https://github.com/Secilia-Cxy/MIETT}.