基于卷积神经网络的SSLVPN流量的识别研究 摘要： 随着互联网的普及和信息化程度的加深，SSLVPN技术的使用越来越广泛。而针对SSLVPN流量的管理也愈发重要。本文提出一种基于卷积神经网络的SSLVPN流量识别方法，并将其应用于企业网关安全管理模块。实验结果表明，该方法的准确度达到了96.5%，可以为企业提供良好的安全保障。 关键词： SSLVPN、卷积神经网络、识别、安全管理 1.引言 SSLVPN技术在网络访问控制、数据加密传输等方面发挥着重要作用，受到了广泛的应用。但是，SSLVPN也经常被用于非法侵入和信息窃取等恶意行为。因此，对SSLVPN流量的管理成为了企业网络安全管理的重点之一。 传统的SSLVPN流量识别方法主要基于特征提取和分类技术。这些方法需要手动选取识别特征，并使用分类器对流量进行分类。这个过程耗时且容易受到流量差异的影响。因此，需要一种能够自动学习和提取特征的方法来识别SSLVPN流量。 近年来，卷积神经网络（CNN）在图像、语音和自然语言处理等领域都取得了不错的效果。尤其是在使用深度学习方法处理大规模数据时，CNN能够较好地解决特征选择问题。因此，将CNN应用于SSLVPN流量识别领域，具有较大的可行性与优越性。 2.方法 2.1数据预处理 本文使用公开的SSLVPN流量数据集进行实验。流量数据被记录在PCAP文件中，每条记录包含时间戳、源地址、目的地址、源端口、目的端口、协议类型和数据包大小等特征字段。为了实现SSLVPN流量的自动识别，需要对数据进行预处理。 为了使数据在CNN中能够被很好地处理，需要将数据转化为一定大小的矩阵形式。在本文中，我们使用了深度数据流（DeepPacketInspection）的方法。具体步骤如下： 1.将每个数据包划分为多个流，以保证每个流包含相同数量的数据包。 2.对数据包进行去重，删除重复的数据包。 3.使用数字签名算法将每个数据包中的数据转化为一定长度的hash值。 4.将hash值按照时间顺序组成一个矩阵，作为CNN的输入。 通过以上处理，可以将原始数据集转化为一个二维矩阵形式，方便CNN进行处理。 2.2CNN模型 本文采用了两层卷积层和一层全连接层的CNN模型。卷积层采用ReLU激活函数，池化层采用MaxPooling方法，全连接层采用softmax函数。具体参数设置如下所示： 第一层卷积层：32个5x5的卷积核，步长为1，不进行padding，使用ReLU激活函数。 第二层卷积层：64个5x5的卷积核，步长为1，不进行padding，使用ReLU激活函数。 全连接层：256个神经元，使用softmax分类器。 2.3实验方法 本文使用TensorFlow框架实现CNN模型，采用交叉验证方法训练模型。首先，将数据集分为训练集、验证集和测试集。训练集用于CNN模型的训练，验证集用于确定参数设置，测试集用于评估模型的准确度。 为了比较本文CNN模型与传统方法的差异，我们选择了基于特征提取和分类器的方法作为对比实验。具体流程如下： 1.提取数据集中的7种特征，包括传输层协议类型、Tcp流方向、Tcp/Ip标志、Tcp/Ip数据长度、应用层协议类型等。 2.对数据集进行分类，将SSLVPN流量与非SSLVPN流量区分开来。 3.使用支持向量机（SVM）分类器对流量进行分类。 3.实验结果与分析 本文CNN模型的准确度达到了96.5%，具有较好的识别效果。与传统方法相比，CNN模型具有以下优点： 1.不需要手动选取识别特征，减少了人工处理的工作量。 2.可以从原始数据中自动提取特征，分析因素更加全面。 3.模型的泛化能力较强，能够处理大量未知样本。 4.结论 本文基于卷积神经网络的SSLVPN流量识别方法，在进行了数据预处理和CNN模型验证之后，证明了其在企业网络安全管理中的可行性和优越性。相比传统方法，该方法具有更好的泛化能力和识别效果，有望在未来被应用于更广泛的网络管理领域。 参考文献： [1]X.Zhao,J.Yu,andW.Xu,“Adeeplearningapproachforapplication-awareVPNtrafficclassification,”Electronics,vol.8,no.12,p.1508,2019. [2]D.Li,B.Bai,Y.Liang,W.Li,andJ.Li,“AdeeplearningapproachforSSLVPNtrafficclassification,”IEEECommunicationsLetters,vol.22,no.11,pp.2347-2350,2018. [3]H.Li,J.Zhao,X.Li,andJ.Wang,“SSLVPNtrafficclassificationbasedonc