馮松松，王斌君

（中國(guó)人民公安大學(xué)信息網(wǎng)絡(luò)安全學(xué)院，北京 100038）

0 引言

近年來，以Tor（the onion routing）為代表的匿名網(wǎng)絡(luò)因其出色的隱蔽性、安全性得到眾多用戶的青睞，除Tor外，I2P（invisible internet project）、Freenet、Tribler等匿名網(wǎng)絡(luò)也得到廣泛使用。匿名網(wǎng)絡(luò)旨在通過隱藏IP、隱藏瀏覽器指紋、最小化使用cookie、數(shù)據(jù)加密等技術(shù)來匿名化用戶身份，從而實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)安全和個(gè)人隱私的目的。匿名網(wǎng)絡(luò)是把“雙刃劍”，在帶來更高安全性的同時(shí)，也滋生了一系列重大犯罪，如毒品交易、個(gè)人信息買賣、洗錢等非法行為，給社會(huì)造成巨大危害。當(dāng)前，如何準(zhǔn)確檢測(cè)識(shí)別匿名網(wǎng)絡(luò)流量和其對(duì)應(yīng)的應(yīng)用程序?qū)W(wǎng)絡(luò)運(yùn)營(yíng)商加強(qiáng)網(wǎng)絡(luò)環(huán)境監(jiān)管、打擊非法行為具有重大實(shí)際意義。

匿名網(wǎng)絡(luò)，即第二代洋蔥路由系統(tǒng)（the second generation onion router,Tor）［1］，其核心技術(shù)為洋蔥路由，最早由美國(guó)海軍研究實(shí)驗(yàn)室成員研發(fā)，旨在保護(hù)美國(guó)情報(bào)通信。使用洋蔥網(wǎng)絡(luò)進(jìn)行通信時(shí)，路由節(jié)點(diǎn)會(huì)對(duì)數(shù)據(jù)進(jìn)行多層加密，并且通信電路是不固定的，數(shù)據(jù)包會(huì)在不同路由節(jié)點(diǎn)間隨機(jī)跳轉(zhuǎn)，以此確保中繼間的前向安全性。正因洋蔥網(wǎng)絡(luò)復(fù)雜的路由結(jié)構(gòu)、高度的數(shù)據(jù)加密，導(dǎo)致通過端口號(hào)分析、特征字段匹配識(shí)別其流量見效甚微。

1 研究現(xiàn)狀

隨著學(xué)者的深入研究，SVM（support vector machine）、KNN（K-nearest neighbor）、Logistic Regression等機(jī)器學(xué)習(xí)算法已被應(yīng)用于對(duì)以Tor為代表的匿名網(wǎng)絡(luò)流量進(jìn)行特征提取和識(shí)別，取得了不錯(cuò)的效果。2006年，Hinton等［2］正式提出深度學(xué)習(xí)（deep learning）概念，掀起深度學(xué)習(xí)研究熱潮，VGG［3］、ResNet［4］等卷積神經(jīng)網(wǎng)絡(luò)模型取得重大成功，將卷積神經(jīng)網(wǎng)絡(luò)等深度學(xué)習(xí)方法用在網(wǎng)絡(luò)流量識(shí)別上也取得了一定進(jìn)展，本文按照時(shí)間線對(duì)與匿名網(wǎng)絡(luò)流量識(shí)別相關(guān)的文章進(jìn)行梳理。

2008年，Bai等［5］通過采用提取網(wǎng)絡(luò)流量的特定字符串、數(shù)據(jù)包長(zhǎng)度、發(fā)送時(shí)間頻率等指紋特征的方式，實(shí)現(xiàn)對(duì)匿名工具Tor和Web-Mix流量的識(shí)別。Turkett等［6］提出將支持向量機(jī)SVM與網(wǎng)絡(luò)流量包的頻譜表示相結(jié)合，用于對(duì)暗網(wǎng)流量進(jìn)行識(shí)別。2012年，AlSabah等［7］提出基于機(jī)器學(xué)習(xí)的DiffTor，用于對(duì)實(shí)時(shí)的Tor加密流量分類。2014年，Ling等［8］設(shè)計(jì)了一個(gè)用于發(fā)現(xiàn)和分類Tor上惡意流量的系統(tǒng)：TorWard，可以實(shí)現(xiàn)對(duì)P2P、惡意軟件、DoS（拒絕服務(wù)）攻擊、垃圾郵件等200種已知惡意軟件流量的識(shí)別。He等［9］提出根據(jù)Tor加密流量推斷具體應(yīng)用程序類型的方法。Patel等［10］提出根據(jù)第一、第二數(shù)字證書分別包含第一網(wǎng)絡(luò)設(shè)備的身份信息和分類信息的特性，對(duì)虛擬專用網(wǎng)絡(luò)流量進(jìn)行分類識(shí)別。

2016年，Draper-Gil等［11］提出使用基于流的流量分類方法，僅使用與時(shí)間相關(guān)的特征來表征加密流量和VPN流量。Al-Naami等［12］利用數(shù)據(jù)包序列的依賴性來提取適合分類的特征，用于端節(jié)點(diǎn)加密網(wǎng)絡(luò)流量的識(shí)別。2017年，Lashkari等［13］提出了一種通過時(shí)間分析來檢測(cè)和表征Tor流量的方法。Wang等［14］將特征提取、特征選擇等集成在一個(gè)框架中，并使用一維卷積神經(jīng)網(wǎng)絡(luò)端到端對(duì)加密流量進(jìn)行識(shí)別。2018年，Saleh等［15］對(duì)Tor的去匿名化、路徑選擇、分析和性能改進(jìn)等研究方向進(jìn)行了總結(jié)、分析、分類和量化。2019年，Sonntag等［16］對(duì)Tor網(wǎng)絡(luò)中的惡意DNS流量進(jìn)行了檢測(cè)分析，提出限制或延遲Tor電路上對(duì)IP和域名的查詢，減少通過Tor網(wǎng)絡(luò)的惡意流量。Montieri等［17］用分層的方法實(shí)現(xiàn)對(duì)Tor、I2P等匿名流量的識(shí)別。2020年，Lotfollahi等［18］提出深度包框架（deep packet），將網(wǎng)絡(luò)數(shù)據(jù)的特征提取和分類過程進(jìn)行集成，使用堆疊自動(dòng)編碼器（SAE）和卷積神經(jīng)網(wǎng)絡(luò)（CNN）進(jìn)行分類。Habibi等［19］提出使用二維卷積神經(jīng)網(wǎng)絡(luò)檢測(cè)、識(shí)別暗網(wǎng)流量，取得了86%的準(zhǔn)確率。2021年，梁曉萌等［20］提出一種基于人工蜂群算法的Tor流量在線識(shí)別方法，準(zhǔn)確率為93%。

隨著技術(shù)的進(jìn)步，對(duì)匿名網(wǎng)絡(luò)流量的識(shí)別取得了一定成功，但仍存在識(shí)別準(zhǔn)確率低、實(shí)時(shí)性差、關(guān)鍵流量漏報(bào)率高等問題，尚未滿足實(shí)際使用需求。為此，本文根據(jù)匿名網(wǎng)絡(luò)數(shù)據(jù)各特征間相互獨(dú)立，無(wú)內(nèi)在關(guān)聯(lián)的特性，采用一維卷積神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)了一個(gè)全新的匿名網(wǎng)絡(luò)流量識(shí)別模型1D-ResVGG，進(jìn)一步提升了匿名網(wǎng)絡(luò)流量識(shí)別準(zhǔn)確率，滿足了實(shí)際使用要求。

2 模型設(shè)計(jì)

卷積神經(jīng)網(wǎng)絡(luò)CNN（convolutional neural networks）的初步實(shí)現(xiàn)最早可追溯到1980年Fukushima模擬生物視覺皮層機(jī)制提出的“neocognitron”深度神經(jīng)網(wǎng)絡(luò)［21］，可對(duì)輸入信息按設(shè)計(jì)的階層進(jìn)行平移不變分類。當(dāng)前，二維卷積神經(jīng)網(wǎng)絡(luò)（2D-CNN）已在圖像識(shí)別、分類中取得較高準(zhǔn)確率，鑒于圖像數(shù)據(jù)是二維或三維數(shù)據(jù)，而本文處理的流量數(shù)據(jù)是一維數(shù)據(jù)，相鄰數(shù)據(jù)點(diǎn)的數(shù)值并沒有如圖像數(shù)據(jù)那樣表示著邊緣、背景等特征的變化，故采用一維卷積神經(jīng)網(wǎng)絡(luò)（1D-CNN）進(jìn)行模型設(shè)計(jì)。

2.1 1D-VGG16

一維VGG16卷積神經(jīng)網(wǎng)絡(luò)（1D-VGG16）是根據(jù)VGG網(wǎng)絡(luò)設(shè)計(jì)的，VGG網(wǎng)絡(luò)是由Karen等［3］提出的深度卷積神經(jīng)網(wǎng)絡(luò)，獲得了2014年ILSVRC競(jìng)賽的第二名，VGG網(wǎng)絡(luò)結(jié)構(gòu)對(duì)后續(xù)深度卷積神經(jīng)網(wǎng)絡(luò)的設(shè)計(jì)具有啟發(fā)性意義，由于本文處理的是一維數(shù)據(jù)，故將VGG16網(wǎng)絡(luò)中的卷積層、池化層替換成一維卷積和一維池化，詳細(xì)如圖1所示。

在1D-VGG16網(wǎng)絡(luò)結(jié)構(gòu)中，卷積操作主要用來進(jìn)行特征提取，并不改變特征維度，引入最大池化對(duì)卷積、激活后的特征進(jìn)行篩選，保留關(guān)鍵特征的同時(shí)，降低了特征維度，該模型結(jié)構(gòu)有利于對(duì)數(shù)據(jù)進(jìn)行特征提取，但隨著網(wǎng)絡(luò)結(jié)構(gòu)的加深，會(huì)增加訓(xùn)練難度，出現(xiàn)梯度消失、梯度爆炸等問題。

2.2 1D-ResNet34

一維殘差卷積神經(jīng)網(wǎng)絡(luò)（1D-ResNet）是根據(jù)殘差網(wǎng)絡(luò)設(shè)計(jì)的，ResNet由何愷明等人［4］設(shè)計(jì)，奪得了2015年ILSVRC競(jìng)賽冠軍，作者在網(wǎng)絡(luò)結(jié)構(gòu)中引入了跳躍連接（skip connection），用以解決神經(jīng)網(wǎng)絡(luò)中的退化問題，同時(shí)也解決了層次過深，難以訓(xùn)練的問題。ResNet網(wǎng)絡(luò)結(jié)構(gòu)對(duì)后續(xù)深度卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)上的設(shè)計(jì)具有啟發(fā)性意義。鑒于本文處理的不是圖像數(shù)據(jù)，而是一維網(wǎng)絡(luò)流量特征數(shù)據(jù)，故對(duì)原始ResNet網(wǎng)絡(luò)中的卷積層、批歸一化層、池化層進(jìn)行替換，使之適應(yīng)處理流量數(shù)據(jù)，詳細(xì)模型結(jié)構(gòu)如圖2所示。

在1D-ResNet34網(wǎng)絡(luò)中，殘差模塊計(jì)算過程可用式（1）表示：

其中，xl表示輸入數(shù)據(jù)，xl+1表示輸出結(jié)果，wl表示與該層殘差單元相關(guān)的權(quán)重和偏差，f（）表示激活函數(shù)。對(duì)于快捷連接h（x），當(dāng)x與F（x）維度一樣，即圖2中加粗字體的參數(shù)s=1時(shí)，采用恒等映射，即h（x）=xl，這種快捷連接通過F（x）與x相加，并沒有引入額外參數(shù)，可操作性強(qiáng)。當(dāng)x與F（x）維度不一樣，即圖2中加粗字體的參數(shù)s=2時(shí)，可通過參數(shù)矩陣Ws執(zhí)行線性投影匹配維度，此時(shí)h（x）=Ws·xl，在模型中通過采用卷積核為1、步長(zhǎng)為2的一維卷積和一維批歸一化實(shí)現(xiàn)。

2.3 1D-ResVGG

ResNet與VGG網(wǎng)絡(luò)結(jié)構(gòu)已被廣泛應(yīng)用在圖像識(shí)別、圖像分割、目標(biāo)檢測(cè)等計(jì)算機(jī)視覺任務(wù)中，取得了較好的效果，在VGG網(wǎng)絡(luò)中，通過卷積、池化的多層堆疊進(jìn)行特征提取、篩選，加深了網(wǎng)絡(luò)結(jié)構(gòu)，提升了模型性能。在ResNet網(wǎng)絡(luò)中，引入跳躍連接解決深層網(wǎng)絡(luò)存在的退化問題，降低了訓(xùn)練難度，使得模型可進(jìn)一步加深，提高了準(zhǔn)確率。為提升對(duì)Tor匿名流量識(shí)別的準(zhǔn)確率，本文借鑒了ResNet網(wǎng)絡(luò)與VGG網(wǎng)絡(luò)的優(yōu)點(diǎn)，設(shè)計(jì)了1D-ResVGG網(wǎng)絡(luò)。

圖3（a）展示了1D-ResVGG網(wǎng)絡(luò)中組成模塊（Block）的詳細(xì)結(jié)構(gòu)，其計(jì)算過程見式（2）：

其中xl表示輸入Block的數(shù)據(jù)，xl+1表示Block的輸出結(jié)果，wl表示與該層殘差單元相關(guān)的權(quán)重和偏差。在Block中使用了一維卷積、一維批歸一化、ReLU激活函數(shù)和一維最大池化，與圖2 1D-ResNet34網(wǎng)絡(luò)中使用核為1、步長(zhǎng)為2的卷積實(shí)現(xiàn)線性投影匹配維度不同，在1D-ResVGG的跳躍連接中，使用了核為2、步長(zhǎng)為2的非重疊卷積，在考慮更多特征的同時(shí)，能進(jìn)一步解決因網(wǎng)絡(luò)結(jié)構(gòu)加深而引起的退化問題，穩(wěn)定提高模型性能。此外，也沒有使用核為3、步長(zhǎng)為2的卷積將特征圖大小壓縮為原來的二分之一，而是采用核為2、步長(zhǎng)為2的最大池化對(duì)卷積激活后的特征圖進(jìn)行篩選，有利于去除無(wú)關(guān)特征，保留關(guān)鍵特征，便于后續(xù)識(shí)別，提高模型準(zhǔn)確率。

3 實(shí)驗(yàn)設(shè)計(jì)

為驗(yàn)證設(shè)計(jì)的1D-ResVGG模型是否能夠提升對(duì)Tor匿名流量以及具體應(yīng)用程序流量的識(shí)別準(zhǔn)確率，便于進(jìn)一步加強(qiáng)網(wǎng)絡(luò)監(jiān)管、打擊網(wǎng)絡(luò)犯罪、凈化網(wǎng)絡(luò)環(huán)境，本文設(shè)計(jì)了實(shí)驗(yàn)。

文中所有模型均是基于Pytorch 1.11.0+cu113框架和Scikit-learn 1.0.2機(jī)器學(xué)習(xí)庫(kù)實(shí)現(xiàn)的，實(shí)驗(yàn)時(shí)，取數(shù)據(jù)集中70%的數(shù)據(jù)作為訓(xùn)練集，余下30%的數(shù)據(jù)作為測(cè)試集，Batch設(shè)置為64，使用隨機(jī)梯度下降優(yōu)化器（SGD），學(xué)習(xí)率（lr）設(shè)置為0.001，動(dòng)量（momentum）為0.9，使用交叉熵?fù)p失函數(shù)（CrossEntropy Loss），訓(xùn)練過程中，當(dāng)測(cè)試集的準(zhǔn)確率在某個(gè)Epoch達(dá)到最高，且此后連續(xù)50個(gè)Epoch測(cè)試集上的準(zhǔn)確率都不再增加時(shí)，采用該Epoch在測(cè)試集上的準(zhǔn)確率、精確率、召回率、F1分?jǐn)?shù)等作為評(píng)價(jià)指標(biāo)。

3.1 CIC-Darknet2020數(shù)據(jù)集介紹

數(shù)據(jù)集的選擇對(duì)匿名網(wǎng)絡(luò)流量識(shí)別至關(guān)重要，本 文 選 擇Habibi等［19］所 提 的CICDarknet2020數(shù)據(jù)集，它是將ISCXVPN2016［22］和ISCXTor2017［13］兩個(gè)數(shù)據(jù)集進(jìn)行組合得到的全新Tor匿名網(wǎng)絡(luò)數(shù)據(jù)集，包含音頻、視頻、電子郵件、瀏覽器等八種類型，超二十種應(yīng)用程序產(chǎn)生的流量，基本涵蓋了互聯(lián)網(wǎng)上的常用應(yīng)用程序流量，多樣性強(qiáng)、真實(shí)性高，滿足實(shí)驗(yàn)要求。

本文對(duì)CIC-Darknet2020原始數(shù)據(jù)進(jìn)行清洗，將存在空值的流量數(shù)據(jù)包刪除，最終得到135141條可用流量數(shù)據(jù)，整體上可分為兩類：一類是常規(guī)網(wǎng)絡(luò)流量，具體由93310條Non-Tor流量和23861條Non-VPN流量組成；另一類是與匿名網(wǎng)絡(luò)應(yīng)用服務(wù)相關(guān)的目標(biāo)流量，它由1392條Tor流量和16578條VPN流量組成。其中17970條匿名網(wǎng)絡(luò)流量中又可細(xì)分為P2P、Chat、VOIP等八種類型、二十余種應(yīng)用程序產(chǎn)生的流量，詳細(xì)組成見圖4。

在CIC-Darknet2020數(shù)據(jù)集中，作者提出了83個(gè)流量特征。根據(jù)實(shí)驗(yàn)需要，本文對(duì)原文所提的83個(gè)特征進(jìn)行篩選，首先將Flow ID、Src IP、Dst IP等特征刪除，這類特征大多為非數(shù)值特征，無(wú)法將其編碼轉(zhuǎn)換成數(shù)值，且與流量所屬類別無(wú)直接關(guān)聯(lián)。接著對(duì)余下特征的重要性進(jìn)行排序，將Bwd PSH Flags、Active Mean、Active Std等數(shù)值一樣、不具有區(qū)分度以及區(qū)分度低的特征刪除，最后得到64個(gè)目標(biāo)特征。

3.2 Tor匿名流量與非匿名流量識(shí)別

在本節(jié)實(shí)驗(yàn)中，為驗(yàn)證設(shè)計(jì)的1D-ResVGG模型是否能夠準(zhǔn)確識(shí)別匿名流量與非匿名流量，滿足實(shí)際應(yīng)用需要，將數(shù)據(jù)集整體分為兩類：一類是正常的網(wǎng)絡(luò)流量，另一類是與Tor匿名網(wǎng)絡(luò)服務(wù)相關(guān)的網(wǎng)絡(luò)流量。實(shí)驗(yàn)中除1D-VGG16、1D-ResNet34模型外，還選擇了流量識(shí)別中常用的支持向量機(jī)（SVM）［23］、最鄰近算法（KNN）［24］、邏輯回歸（LR）［25］等機(jī)器學(xué)習(xí)算法作為對(duì)比。此外，因本文所使用的流量數(shù)據(jù)與文本數(shù)據(jù)具有一定相似性，故還選擇了文本分類中常用的循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）［26］、長(zhǎng)短期記憶網(wǎng)絡(luò)（LSTM）［27］、深度金字塔卷積神經(jīng)網(wǎng)絡(luò)（DPCNN）［28］作為對(duì)比模型。

在流量識(shí)別領(lǐng)域中，還有學(xué)者將流量特征數(shù)據(jù)轉(zhuǎn)換為灰度圖像，并采用二維卷積神經(jīng)網(wǎng)絡(luò)對(duì)其進(jìn)行識(shí)別，本文也嘗試將流量特征數(shù)據(jù)轉(zhuǎn)換成灰度圖像，將64個(gè)特征轉(zhuǎn)換成分辨率為8×8的灰度圖像，采用VGG、ResNet34兩個(gè)經(jīng)典圖像分類網(wǎng)絡(luò)進(jìn)行分類識(shí)別。

實(shí)驗(yàn)一共選擇了十二種模型，使用同一數(shù)據(jù)集，為降低訓(xùn)練中出現(xiàn)梯度消失、梯度爆炸的風(fēng)險(xiǎn)，提升識(shí)別準(zhǔn)確率，對(duì)每個(gè)特征的所有數(shù)據(jù)進(jìn)行歸一化預(yù)處理，采用測(cè)試集上的準(zhǔn)確率、精確率、召回率、F1-Score的宏平均值，以及非匿名流量、匿名流量的F1-Score值作為評(píng)價(jià)指標(biāo)，具體實(shí)驗(yàn)結(jié)果見表1。

表1 各模型對(duì)匿名流量與非匿名流量二分類識(shí)別結(jié)果 %

分析實(shí)驗(yàn)結(jié)果可得，1D-ResVGG模型在各個(gè)評(píng)價(jià)指標(biāo)上均優(yōu)于其他模型，取得了98.55%的準(zhǔn)確率。此外，還可以發(fā)現(xiàn)1D-VGG16、1DResNet34模型的準(zhǔn)確率略低于1D-ResVGG，但都高于2D-VGG、2D-ResNet34模型。用于文本分類的RNN、LSTM、DPCNN模型也取得了較好的結(jié)果，但都低于一維和二維卷積神經(jīng)網(wǎng)絡(luò)。SVM、KNN、LR、MLP模型之間的性能差異較大，整體上低于深度學(xué)習(xí)模型。除上述的準(zhǔn)確率、F1-Score等評(píng)價(jià)指標(biāo)之外，還采用了二分類任務(wù)中常用的Roc值、Roc曲線來證實(shí)采用一維卷積神經(jīng)網(wǎng)絡(luò)識(shí)別網(wǎng)絡(luò)流量數(shù)據(jù)的可行性，對(duì)所用十二種流量分類模型繪制了Roc曲線，具體見圖5。

從圖5可以看出，采用一維卷積神經(jīng)網(wǎng)絡(luò)設(shè)計(jì) 的1D-VGG16、1D-ResNet34、1D-ResVGG模型的Auc值接近，整體上優(yōu)于其余模型，進(jìn)一步證實(shí)了采用一維卷積神經(jīng)網(wǎng)絡(luò)處理流量數(shù)據(jù)的可行性。

3.3 Tor、Non-Tor、VPN、Non-VPN流量分類

進(jìn)入匿名網(wǎng)絡(luò)的方式整體上可分為兩種：一是通過VPN代理，使用Tor等專用瀏覽器間接訪問匿名網(wǎng)絡(luò)；二是主機(jī)作為匿名網(wǎng)絡(luò)中的路由、中繼等與匿名網(wǎng)絡(luò)直接相連。本文使用的CIC-Darknet2020數(shù)據(jù)集中包含這兩種流量，其整體可分為匿名流量與非匿名流量，詳細(xì)又可分為與匿名網(wǎng)絡(luò)服務(wù)相關(guān)的Tor流量、VPN流量，以及常規(guī)的Non-Tor、Non-VPN流量。本實(shí)驗(yàn)嘗試對(duì)Tor、Non-Tor、VPN、Non-VPN四種流量進(jìn)行分類，采用的實(shí)驗(yàn)?zāi)Ｐ蜑橹С窒蛄繖C(jī)、最鄰近等12個(gè)模型，采用準(zhǔn)確率、F1-Score宏平均和Tor、Non-Tor、VPN、Non-VPN四個(gè)類別的F1-Score作為評(píng)價(jià)指標(biāo)，具體實(shí)驗(yàn)結(jié)果參照表2和圖6。

表2 各模型對(duì)Tor、VPN、Non-Tor、Non-VPN流量四分類準(zhǔn)確率

分析實(shí)驗(yàn)結(jié)果可得，1D-ResVGG模型對(duì)Tor、VPN等流量的識(shí)別準(zhǔn)確率為98.87%，優(yōu)于圖中的常用經(jīng)典模型，在Tor、VPN、Non-Tor、Non-VPN四個(gè)類別上的精確率、召回率、F1-Score值也均優(yōu)于其余所有模型。

3.4 應(yīng)用程序識(shí)別

在實(shí)際網(wǎng)絡(luò)監(jiān)管、預(yù)防犯罪等任務(wù)中，僅識(shí)別該數(shù)據(jù)包是否為匿名流量并不能滿足實(shí)際需要，還需對(duì)具體應(yīng)用類型進(jìn)行精準(zhǔn)識(shí)別，如通常被非法分子用來傳輸重要信息的網(wǎng)絡(luò)電話、電子郵件等應(yīng)用程序，這類應(yīng)用流量中通常包含用戶身份等重要信息，準(zhǔn)確識(shí)別該類流量，對(duì)預(yù)防犯罪、加強(qiáng)網(wǎng)絡(luò)監(jiān)管等有重大實(shí)際意義。本實(shí)驗(yàn)仍采用3.2節(jié)實(shí)驗(yàn)中所用到的12種模型，對(duì)Tor匿名網(wǎng)絡(luò)流量中八種應(yīng)用類型的流量數(shù)據(jù)進(jìn)行識(shí)別，采用識(shí)別的準(zhǔn)確率、以及P2P、Browsing、Chat等八種應(yīng)用類型的F1分?jǐn)?shù)作為評(píng)價(jià)指標(biāo)，實(shí)驗(yàn)結(jié)果見表3和圖7。

表3 各模型對(duì)匿名流量中八種應(yīng)用類型識(shí)別準(zhǔn)確率

圖7中橫坐標(biāo)表示實(shí)驗(yàn)中采用的十二種模型，縱坐標(biāo)表示F1分?jǐn)?shù)、Accuracy值，從表3可以看出，所有模型中1D-ResVGG模型取得的最高識(shí)別準(zhǔn)確率為96.14%，其余8條折線為十二種模型對(duì)八種應(yīng)用程序流量分類的F1-Score值。分析可得，1D-ResVGG模型對(duì)八種應(yīng)用程序流量分類的效果均優(yōu)于其余十一種模型，其中對(duì)Audio、P2P、Chat的分類效果最好。

為進(jìn)一步分析1D-ResVGG模型對(duì)每種應(yīng)用程序的分類效果，繪制了該模型對(duì)八種應(yīng)用類型分類的混淆矩陣，結(jié)果見圖8。根據(jù)混淆矩陣分析可得，1D-ResVGG對(duì)P2P、Chat、Audio、Email四種類型應(yīng)用的分類效果較好，滿足實(shí)際應(yīng)用需求；對(duì)Video、Browsing兩種應(yīng)用類型識(shí)別效果較差，還有較大提升空間。

4 結(jié)語(yǔ)

匿名網(wǎng)絡(luò)的出現(xiàn)旨在造?；ヂ?lián)網(wǎng)用戶，保護(hù)個(gè)人隱私，但隨著時(shí)代的進(jìn)步，匿名網(wǎng)絡(luò)在向萬(wàn)千網(wǎng)民提供安全性服務(wù)的同時(shí)，也成為了非法分子逃避罪責(zé)的幫兇，憑借著匿名網(wǎng)絡(luò)的隱蔽性、安全性，犯罪分子在這里肆意進(jìn)行著毒品、槍支、個(gè)人信息買賣等眾多犯罪行為。本文設(shè)計(jì)了一種全新的基于一維殘差卷積神經(jīng)網(wǎng)絡(luò)的匿名網(wǎng)絡(luò)流量識(shí)別模型：1D-ResVGG，實(shí)驗(yàn)表明，該模型對(duì)匿名網(wǎng)絡(luò)流量識(shí)別的準(zhǔn)確率達(dá)到了98.87%，對(duì)匿名網(wǎng)絡(luò)上的具體應(yīng)用程序識(shí)別準(zhǔn)確率達(dá)到了96.14%，優(yōu)于現(xiàn)有匿名網(wǎng)絡(luò)流量識(shí)別模型，達(dá)到了實(shí)際使用標(biāo)準(zhǔn)，滿足使用需求。