TAO-Net: Two-stage Adaptive OOD Classification Network for Fine-grained Encrypted Traffic Classification

📄 arXiv: 2512.15753v1 📥 PDF

作者: Zihao Wang, Wei Peng, Junming Zhang, Jian Li, Wenxin Fang

分类: cs.LG, cs.AI

发布日期: 2025-12-11

💡 一句话要点

提出TAO-Net,用于细粒度加密流量分类中的未知流量识别与分类。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 加密流量分类 分布外检测 大语言模型 Transformer 语义增强 生成式分类 网络安全

📋 核心要点

  1. 现有加密流量分类方法难以有效处理不断涌现的未知流量类型,通常只能粗略地归为“其他”类别。
  2. TAO-Net采用两阶段设计,首先区分ID和OOD流量,然后利用大语言模型将OOD流量分类转化为生成任务,实现细粒度分类。
  3. 实验结果表明,TAO-Net在宏平均精确率和F1值上显著优于现有方法,尤其是在识别新兴网络应用方面表现突出。

📝 摘要(中文)

加密流量分类旨在通过分析网络流量数据来识别应用程序或服务。一个关键挑战是不断涌现的新应用程序,它们产生与已知类别不同的分布外(OOD)流量模式,这些模式无法被预定义的模型很好地表示。现有方法依赖于预定义的类别,限制了它们处理未知流量类型的有效性。虽然一些方法通过简单地将未知流量分类到单个“其他”类别来缓解此限制,但它们无法进行细粒度的分类。本文提出了一种两阶段自适应OOD分类网络(TAO-Net),该网络可以对分布内(ID)和OOD加密流量进行准确分类。该方法采用了一种创新的两阶段设计:第一阶段采用混合OOD检测机制,该机制集成了基于Transformer的层间变换平滑性和特征分析,以有效地区分ID和OOD流量;第二阶段利用大型语言模型和一种新颖的语义增强提示策略,将OOD流量分类转换为生成任务,从而实现灵活的细粒度分类,而无需依赖预定义的标签。在三个数据集上的实验表明,TAO-Net实现了96.81-97.70%的宏平均精确率和96.77-97.68%的宏平均F1值,优于先前仅达到44.73-86.30%宏平均精确率的方法,尤其是在识别新兴网络应用程序方面。

🔬 方法详解

问题定义:加密流量分类旨在识别网络应用,但现有方法难以处理不断出现的新应用产生的未知流量(OOD流量)。这些方法通常依赖预定义类别,无法进行细粒度分类,或者简单地将未知流量归为一类,缺乏实用性。

核心思路:TAO-Net的核心思路是将OOD流量的细粒度分类问题转化为一个生成任务,利用大型语言模型的强大语义理解和生成能力,摆脱对预定义标签的依赖,实现对未知流量的灵活分类。

技术框架:TAO-Net采用两阶段架构。第一阶段是混合OOD检测,使用Transformer进行层间平滑性分析和特征分析,区分ID和OOD流量。第二阶段是基于大语言模型的OOD分类,通过语义增强的prompt策略,将OOD流量的分类转化为生成任务。

关键创新:TAO-Net的关键创新在于:1) 混合OOD检测机制,结合了Transformer的层间平滑性和特征分析,提高了OOD检测的准确性。2) 利用大语言模型将OOD分类转化为生成任务,摆脱了对预定义标签的依赖,实现了细粒度的未知流量分类。3) 语义增强的prompt策略,提升了大语言模型在OOD分类任务中的性能。

关键设计:第一阶段的Transformer网络结构未知,但强调了层间变换的平滑性。第二阶段的关键在于prompt的设计,如何将流量特征转化为大语言模型可以理解的语义信息,以及如何引导大语言模型生成准确的分类结果。损失函数的设计也需要考虑如何优化大语言模型的生成效果,具体细节未知。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

TAO-Net在三个数据集上取得了显著的性能提升,宏平均精确率达到96.81-97.70%,宏平均F1值达到96.77-97.68%,远超现有方法的44.73-86.30%。这表明TAO-Net在识别新兴网络应用方面具有显著优势,能够有效应对不断变化的流量模式。

🎯 应用场景

TAO-Net可应用于网络安全监控、流量分析和管理等领域。它可以帮助识别和分类新兴的网络应用,提高网络安全防御能力,优化网络资源分配,并为用户提供更精细化的网络服务。该研究对于提升网络流量分析的智能化水平具有重要意义。

📄 摘要(原文)

Encrypted traffic classification aims to identify applications or services by analyzing network traffic data. One of the critical challenges is the continuous emergence of new applications, which generates Out-of-Distribution (OOD) traffic patterns that deviate from known categories and are not well represented by predefined models. Current approaches rely on predefined categories, which limits their effectiveness in handling unknown traffic types. Although some methods mitigate this limitation by simply classifying unknown traffic into a single "Other" category, they fail to make a fine-grained classification. In this paper, we propose a Two-stage Adaptive OOD classification Network (TAO-Net) that achieves accurate classification for both In-Distribution (ID) and OOD encrypted traffic. The method incorporates an innovative two-stage design: the first stage employs a hybrid OOD detection mechanism that integrates transformer-based inter-layer transformation smoothness and feature analysis to effectively distinguish between ID and OOD traffic, while the second stage leverages large language models with a novel semantic-enhanced prompt strategy to transform OOD traffic classification into a generation task, enabling flexible fine-grained classification without relying on predefined labels. Experiments on three datasets demonstrate that TAO-Net achieves 96.81-97.70% macro-precision and 96.77-97.68% macro-F1, outperforming previous methods that only reach 44.73-86.30% macro-precision, particularly in identifying emerging network applications.