DETB：一种针对IPSec产品识别的流量分类方法

孙相宇; 刘永杰; 郑永辉

doi:10.3969/j.issn.1671-0673.2025.06.013

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (06) : 723 -730. DOI: 10.3969/j.issn.1671-0673.2025.06.013

网络空间安全

DETB：一种针对IPSec产品识别的流量分类方法

作者信息 +

DETB: A Traffic Classification Method for IPSec Product Identification

Author information +

文章历史 +

PDF (1051K)

摘要

针对IPSec产品难以识别的问题，提出一种基于数据均衡的结合Transformer和双向长短期记忆网络的深度学习方法（DETB）。该方法分为预处理、特征提取和特征融合3个阶段，其中：预处理阶段将原始流量划分为会话级双向流，并引入数据均衡策略；特征提取阶段包含全局特征提取和时空特征提取；特征融合阶段则对全局和时空两类特征进行加权融合，实现产品分类。实验基于公开数据集ISCXVPN-2016与自建数据集IKEv1，结果表明，DETB的F1分数分别达到95.88%、97.15%。相比现有主流方法，DETB在分类性能与泛化能力方面展现出显著优势。

Abstract

To address the challenge of identifying IPSec products, a deep learning method based on data equilibrium combining Transformer and bidirectional long short-term memory network (DETB) is proposed. The method is divided into 3 stages: preprocessing, feature extraction, and feature fusion. In the preprocessing stage, raw traffic is divided into session-level bidirectional flows, and a data equilibrium strategy is introduced. In the feature extraction stage, global and spatio-temporal feature extraction are performed. In the feature fusion stage, global and spatio-temporal features are weighted and fused to achieve product classification. Experiments are conducted on the public dataset ISCXVPN-2016 and a self-built dataset IKEv1. The results show that F1 scores of 95.88% and 97.15% are achieved by using DETB, respectively. Compared with existing mainstream methods, significant advantages in classification performance and generalization capability are shown by using DETB.

Graphical abstract

关键词

产品识别 / 流量分类 / 自注意力机制 / 特征融合 / 数据均衡策略

Key words

product identification / traffic classification / self-attention mechanism / feature fusion / data equilibrium strategy

引用本文

引用格式 ▾

[Author(id=1222590870450152052, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=1456118776@qq.com, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1222590870563398271, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870450152052, language=EN, stringName=Xiangyu SUN, firstName=Xiangyu, middleName=null, lastName=SUN, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1222590870622118534, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870450152052, language=CN, stringName=孙相宇, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.信息工程大学，河南郑州 450001, bio={"content":"

孙相宇（2002—），男，硕士生，主要研究方向为网络安全。E-mail：1456118776@qq.com

"}, bioImg=null, bioContent=

孙相宇（2002—），男，硕士生，主要研究方向为网络安全。E-mail：1456118776@qq.com

, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1222590869858755167, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, xref=1., ext=[AuthorCompanyExt(id=1222590869875532384, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869858755167, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1222590869888115298, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869858755167, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.信息工程大学，河南郑州 450001)])]), Author(id=1222590870714393228, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1222590870844416661, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870714393228, language=EN, stringName=Yongjie LIU, firstName=Yongjie, middleName=null, lastName=LIU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.Unit 69012, Urumqi 830031, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1222590870919914138, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870714393228, language=CN, stringName=刘永杰, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.69012部队，新疆乌鲁木齐 830031, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1222590869972001381, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, xref=2., ext=[AuthorCompanyExt(id=1222590869988778600, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869972001381, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.Unit 69012, Urumqi 830031, China), AuthorCompanyExt(id=1222590870009750123, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869972001381, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.69012部队，新疆乌鲁木齐 830031)])]), Author(id=1222590870999605921, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, orderNo=2, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1222590871079297705, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870999605921, language=EN, stringName=Yonghui ZHENG, firstName=Yonghui, middleName=null, lastName=ZHENG, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1222590871163183790, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, authorId=1222590870999605921, language=CN, stringName=郑永辉, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1222590869858755167, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, xref=1., ext=[AuthorCompanyExt(id=1222590869875532384, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869858755167, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1222590869888115298, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1222590867581247939, companyId=1222590869858755167, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.信息工程大学，河南郑州 450001)])])] 孙相宇,刘永杰,郑永辉. DETB：一种针对IPSec产品识别的流量分类方法[J]. 信息工程大学学报, 2025, 26(06): 723-730 DOI:10.3969/j.issn.1671-0673.2025.06.013

登录浏览全文

4963

注册一个新账户忘记密码

网络安全产品识别技术通过提取各类网络设备的独特特征实现对其各项属性的快速判定，在网络资产梳理、风险定位、服务保障、入侵检测与防御、产品合规性检测方面有重要应用。在众多网络安全产品中，IPSec产品因其在网络层提供端到端的加密、认证和完整性保护能力，广泛应用于远程接入、跨站点互联、企业虚拟专用网等场景中，因此针对IPSec产品的识别具有重要意义。目前，对IPSec产品的区分与识别主要依赖于流量分类技术，该方法通过对网络通信过程中产生的流量特征进行提取与分析，进而实现对产品类型及其属性的判定。

流量分类技术主要分为4种：基于端口的分类^[1]、深度包检测（Deep Packet Inspection, DPI）^[2]、基于数理统计原理的机器学习^[3]以及深度学习^[4]。基于端口的分类方法作为较为传统的分类方法，主要依赖端口号与服务类型之间的映射关系进行识别，随着动态端口技术的广泛应用，其分类准确率大幅下降。相比之下，深度包检测方法通过解析应用层协议数据包载荷的特征字符进行流量区分，但是需要访问较多的数据包才可以实现，同时其无法获取加密载荷中有效内容。为应对上述挑战，研究人员逐渐将机器学习和深度学习引入到加密流量分类领域中。Shen等^[5]系统梳理基于机器学习方法识别加密流量的基本步骤流程。Zhang等^[6]提出一种结合卷积神经网络（Convolutional Neural Network, CNN）和长短期记忆网络（Long Short-Term Memory Network, LSTM）的深度学习模型，对请求包载荷的ASCII字符序列进行学习建模，成功实现对Webshell恶意流量的有效检测。Hendaoui等^[7]探讨多种基于深度学习的加密数据入侵检测系统，验证其在识别加密恶意行为方面的可靠性。Liu等^[8]提出基于注意力的视觉Transformer和时空流量分类方法（Attention-Based Vision Transformer and Spatiotemporal for Traffic Classification, ATVITSC），基于深度学习对加密流量进行高效分类。综上所述，在过去十余年间，流量分类技术在恶意流量识别、加密流量分析等领域发挥重要作用^[9]，然而现有研究大多聚焦于服务类型、应用协议或安全属性的识别，较少有学者聚焦于利用流量分类技术实现同种协议下网络产品的识别问题。特别是在IPSec等高安全协议场景中，不同厂商的实现常存在细微差异。准确识别其流量特征，对设备指纹识别、威胁溯源和合规审计具有重要意义。所以如何通过流量特征区分不同厂商或类型的实现方式，是本文重点研究的问题。

现有的流量分类方法在处理该问题时都存在一定的局限性，基于端口分类主要依赖于目标或源端口号来确定应用类型，虽实现简单，但在IKE协商的过程中，产生的流量端口号都为500或4500，无法有效作出区分。同时尽管IKE协议握手阶段前几个包未被加密，但由于数据包数量过少导致深度包检测到的有限信息难以反映产品的具体型号。机器学习方法在特征提取过程中，往往依赖于协议字段、加密套件支持情况等可观察参数，然而不同厂商可能会使用相同的默认配置或者支持相似的加密算法集导致识别效果不理想。

现有的深度学习方法虽可以自动提取特征，然而，先前的研究如Transformer在模式识别中展现出强大的特征提取能力，然而其虽擅长建模全局关系，却对局部时空特征敏感度不足，且计算开销大，制约了其在实时流量分析中的应用。相比之下，Bi-LSTM具备良好的时序建模能力，能够有效捕捉序列的前后向上下文信息，但其依赖递归结构，难以充分建模长距离依赖，且易受梯度消失问题影响。

针对上述问题，融合Transformer与Bi-LSTM的优势，并引入数据均衡策略，提出一种基于数据均衡的结合Transformer和Bi-LSTM的深度学习方法（Deep Learning Method Based on Data Equilibrium Combining Transformer and Bi-LSTM, DETB）。该方法共分为3个阶段，其中：预处理阶段，将数据流中包序列分为会话级双向流并通过累积分布函数（Cumulative Distribution Function, CDF）实现流内数据均衡；特征提取阶段，预处理后的数据流被并行输入全局特征提取模块和时空特征提取模块，分别用于提取数据的全局特征和时空特征；特征融合分类阶段则通过加权机制融合全局和时空特征，利用Softmax和Argmax函数对流量进行分类，成功识别各类IPSec产品。

1 基础知识

1.1 一维卷积神经网络

CNN基本结构通常包括输入层、卷积层、激活函数、池化层以及全连接层。在实际应用中，依据输入数据的形式与维度不同，CNN最常见的形式为1D-CNN和2D-CNN。1D-CNN主要用于处理具有时间或顺序特性的序列数据，例如文本、网络流量等；2D-CNN更适用于具有空间结构的数据，例如图像等。所以，本文时空特征提取层选择更适合处理序列数据的1D-CNN。

1D-CNN的具体实现过程如下：输入序列首先经过卷积层进行局部模式的检测与特征提取；利用Relu函数引入非线性；将得到的特征利用池化层中的最大池化或平均池化降低其特征维度；随后通过批量归一化以加速训练过程并稳定梯度传播；最后通过全连接层输出新特征。

1.2 自注意力机制

自注意力机制能够对输入序列中各个位置的相关性进行建模，从而可以在全局范围内捕捉上下文信息，生成有语义关联的注意力权重分布，其步骤如下。

1）计算3个矩阵。将经过单词编码和位置编码的数据输入特征相加后的向量作为Transformer的输入。将该输入通过3个独立的可学习线性变换矩阵分别映射到不同的语义子空间，生成3个矩阵 Q （查询）、 K （键）、 V （值），分别代表当前位置的语义特征、每个位置的可被注意的特征表示、每个位置的实际内容。

2）计算注意力权重。首先，通过利用查询矩阵 Q 与键矩阵 K 的转置相乘，并除以缩放因子

d K

，得到注意力得分矩阵；其次，可选择性地加入掩码Mask(opt.)以屏蔽无效或未来位置的信息；最后，利用Softmax函数进行归一化操作，得到注意力权重矩阵。其具体公式为

A t t e n t i o n (Q, K, V) = S o f t m a x Q K T d K

（1）

式中，

d K

表示通道维度。权重的高低反映当前位置对序列中其他位置的关联程度，权重越高，关联性越强。

3）将 V 乘以注意力权重矩阵，得到其新特征表示。

1.3 双向长短期记忆网络

LSTM模型有效地解决了循环神经网络（Recurrent Neural Network, RNN）在处理长序列时因权值共享而导致的梯度消失问题。LSTM中的核心结构是记忆单元（memory cell），其内部包含一个或多个存储单元以及一组可学习的门控机制，用于控制细胞状态的信息流动。其中：输入门调控新输入信息的写入；遗忘门决定对上一时刻细胞状态的保留或遗忘程度；输出门根据更新后的细胞状态决定隐藏状态的输出内容。

与RNN类似，Kiperwasser等^[10]在LSTM的基础上提出双向长短期记忆网络（Bi-LSTM），单层的Bi-LSTM是由两个LSTM组合而成：1个正向处理输入序列；1个反向处理输入序列。Bi-LSTM能够同时利用过去时刻和未来时刻的信息，并且证明了比LSTM最终的预测结果更加准确^[11]。

2 基于流量的分类方法

DETB包括数据预处理模块、全局特征提取模块、时空特征提取模块、特征融合分类模块，如图1所示。首先，经过数据预处理模块将原始数据集划分为会话的双向流并对数据进行均衡处理；其次，经过预处理的数据分别进入全局特征提取模块与时空特征提取模块并行处理，得到全局特征和时空特征；最后，经过特征融合分类模块融合处理，利用Softmax和Argmax函数得到标签。

2.1 数据预处理模块

数据预处理阶段首先将原始流量pcap包切分为流，每个pcap包中任意数据包都可以表示为：

S = {s i p, d i p, s p o r t, d p o r t, t i}

。其中，

s i p 、 d i p 、 s p o r t 、 d p o r t 、 t i

分别表示源IP地址、目的IP地址、源端口、目的端口与时间戳，将其按照五元组划分为双向流，并按照时间戳将流内包进行排序。

将原始流量划分为双向流后，对其中与流量特征无关的内容进行清洗，考虑到应用层之下的协议字段主要用于负责网络传输，基本不包含有助于分类识别的有效语义信息，同时由于本文研究目标不涉及基于IP地址的身份识别，因此在模型训练过程中不会保留此类信息，避免模型过度关注数据包来源而影响其泛化能力。故将域名服务段DNS段以及以太网帧头的MAC地址等冗余字段删去，只保留每个会话流中应用层的有效载荷数据。

对有效载荷数据DETB采用固定长度采样策略，即每条流中采样固定数量的数据包。设定每个数据包保留前m个字节数据，若其长度不足m，则以0x00填充；若超过m字节，则截断至m字节。同时流中若实际包数多于n，则只保留n个数据包；若数据包个数少于n个，则以全零包填充补齐。

随后，统计数据字节的频数分布并通过CDF将单个字节取值范围从0~255进行非线性映射后重新分布在0~255内，使输出字节在整个区间的分布趋于均匀。该映射定义为

C D F (k) = 1 N ∑ i = 0 k h (i) × 255

k ∈ [0, 255]

（2）

式中：

h (i)

表示字节值为i在数据集中的出现频次；N表示数据集中的所有字节总数。

最后，将提取的包长序列添加至提取的载荷数据之后，单条流最终处理之后的维度为（1,

n × m + n

）。

数据预处理阶段重点在于引入CDF，其对原始字节值分布进行非线性映射，将其转换至均匀分布区间。由于网络流量中的字节值分布（如0x10与0x11）可能具有相似统计特性，造成特征混淆，直接将字节作为整数输入会误导模型将其视为相近的数值。引入CDF映射后，可有效缓解这一问题。假设在训练集中统计字节0x10和0x11，得到

1 N ∑ i = 0 16 h (i) = 0.48

、

1 N ∑ i = 0 17 h (i) = 0.76

，那么其映射后的值分别为122、193，通过这种方式，原本集中在某个字节区域的密集信号被“拉平”，不同字节值在映射空间中的分布趋于均衡，从而有效缓解特征混淆问题。

2.2 全局特征提取模块

在完成数据预处理阶段后，将得到的载荷数据输入全局特征提取模块进行特征学习和表示，输入数据维度为(1,

n × m

)。该模块以Transformer编码器^[12]为核心架构，其总体架构如图2所示，其核心是由多头注意力机制和前馈神经网络组成。在全局特征提取模块中，将经过预处理的原始流量数据作为输入，通过词表编码将离散的流量特征映射为连续的向量表示，并结合位置编码引入序列顺序信息；二者相加后作为输入送入多头注意力层中，该层可以捕捉流量序列中不同位置的全局依赖关系；随后通过层归一化提升模型训练的稳定性；数据进入前馈神经网络，实现非线性特征变换；最终再次通过层归一化操作。如此循环2次后得到特征表示。

多头自注意力机制并行使用多个自注意力机制，在参数量不变的情况下，将 Q 、 K 、 V 值多次拆分，每组分别进行前文自注意力机制计算过程得到各部分注意力信息，最后合并所有部分的注意力信息，如下所示：

M u l t i H e a d (Q, K, V) = C o n c a t H 1, H 2, ⋯, H k W 0,

H i = A t t e n t i o n (Q W i Q, K W i K, V W i V)

（3）

式中：

H i

表示第i个独立的注意力机制；

W i Q

、

W i K

、

W i V

表示

H i

特有的权重矩阵；

W 0

表示将所有

H i

输出拼接变换得到的权重矩阵。选取k=4，即由4个自注意力机制组成。

在多头自注意力机制处理后，模型对输出特征进行层归一化。具体而言，对序列中每个位置的隐藏状态向量，将其在d维特征空间内的均值与标准差作为归一化参数，对于第i个位置的隐藏向量

x i, 层归 一化 计算 如下

：

μ i = 1 d ∑ j = 1 d x i, j

（4）

σ i = 1 d ∑ j = 1 d (x i, j - μ i) 2 + ϵ

（5）

L a y e r N o r m (x i) = x i - μ i σ i

（6）

式中：d表示特征维度；

μ i

、

σ i

表示第i个位置所有特征的均值和标准差；

ϵ

表示一个小常数，防止分母为零。

对归一化后的特征输入前馈神经网络。首先对输入特征表示进行线性变换，将其映射到一个更高维的特征空间，其次进行ReLU非线性变换进行筛选，最后进行线性变换将特征投影回原始维度或目标维度可以得到提取之后的新特征，具体实现公式为

F F N (x) = m a x {0, x W 1 + b 1} W 2 + b 2

（7）

式中，

b 1

、

b 2

分别为各层的偏置项。将得到的特征再次经过层归一化后再次输入至多头自注意力机制并循环上述步骤，最终通过一个全连接层降维至（1,

n × m

）维后，可以得到语义特征

F t r a n s

。

线性变换在不同的位置需要调整不同的参数以适应局部特征的变化，然而，由于缺少显式的位置信息，导致自注意力层的位置未知。为解决这一问题，在自注意力计算过程中引入与位置相关的可学习参数，使得注意力权重不仅取决于内容之间的相似性还受到位置距离的影响，改进之后的公式为

A t t e n t i o n (Q, K, V) = S o f t m a x Q K T + R d k

（8）

式中， R 表示可学习相对位置编码构成的矩阵。

2.3 时空特征提取模块

时空特征提取模块由两个组件组成：1D-CNN和Bi-LSTM，如图3所示。输入数据是预处理后的维度为（1,

n × m + n

）的数据。1D-CNN被用于初步提取输入序列中的局部时间空间特征，将处理过后的时间与空间特征输入到Bi-LSTM中进一步捕获会话的时间与空间特征。

本文采用的1D-CNN结构由输入层、卷积层、池化层、批量归一化层以及全连接层组成。输入数据首先进入卷积层，该层采用的卷积核长度为3，步长为1；其次卷积输出数据进入池化层，使用最大池化策略进行采样，将过滤器尺寸设为1，步长为1；随后引入批量归一化操作；最后通过Softmax激活函数实现非线性映射。上述卷积、池化、批量归一化与Softmax激活函数组合成一个模块，将该模块重复3次，每次卷积层通道数分别为32、64、128，最终通过全连接层进行整合输出结果。

通过1D-CNN对预处理后维度为(1,

n × m + n

）的数据进行局部特征提取，获得其对应的空间特征表示，随后将这些提取到的空间特征按照时间顺序依次输入到Bi-LSTM中。对于每一个时间步t，

F s

为其总体空间特征，假设其对应的空间特征为

F s_t

，

F s_t

不仅以原始时间顺序输入至前向LSTM，还同时以逆序的方式输入至后向LSTM单元，具体为：

h a_t = L S T M F s_t, h a_t - 1; h b_t = L S T M F s_t, h b_t + 1 .

（9）

式中：

h a_t

表示前向LSTM在时间步t时输出的隐藏状态；

h b_t

表示后向LSTM在时间步t时输出的隐藏状态。为有效融合双向时序信息，将前向与后向LSTM在序列末端所对应的最后一个隐藏状态进行拼接，最后将融合后的特征输入至一个全连接层（Fully Connected Layer, FCL）中，得到会话的时空特征：

F s_t = F C L h a_n, h b_n

（10）

式中，n为数据包序列的长度。最终输出的

F s_t

单条流数据维度为（1,

n × m

）。

2.4 特征融合分类模块

在特征融合分类模块，将全局特征提取模块得到的语义特征

F t r a n s

与时空特征提取模块得到的时空特征

F s_t

进行融合，进行特征融合时需要选定两个超参数

α t r a n s

、

α s_t

，具体融合公式为

F c o m b i n e d = α t r a n s ∙ F t r a n s + α s_t ∙ F s_t

（11）

将经过加权融合后的特征

F c o m b i n e d

输入到全连接层，利用Relu函数引入非线性，再通过一次全连接层，最后利用Softmax函数生成概率分布。具体表现为

y = S o f t m a x F C L R e l u F C L F c o m b i n e d

（12）

3 实验及结果分析

为评估本文提出模型DETB的性能，首先使用公共数据集对模型有效性进行初步验证，由于目前尚无公开可用的基于IKEv1协议的IPSec建联相关数据集，构建一个针对性的数据集进行后续的实验与分析。下面详细介绍所采用的数据集来源、模型评估所使用的性能指标，以及与其他主流深度学习模型在相同任务下的对比实验结果。

3.1 数据集

实验采用ISCXVPN-2016公开加密流量数据集和自构建的IKEv1协议流量数据集。ISCXVPN-2016流量集由6种VPN流量和6种非VPN流量组成，具体信息如表1所示。

构建一个基于9种不同实现的IKEv1协议握手流量数据集。该数据集由实际采集的网络流量组成，涵盖了主流IPsec协议栈中IKEv1阶段的建联交互过程，具体统计信息如表2所示。

3.2 性能指标

实验使用4个指标：准确率（

A c c u r a c y

）、精确率（Precision）、召回率（Recall）和F1分数，各指标的计算公式为：

R A c c u r a c y = N T P + N T N N T P + N F P + N T N + N F N

（13）

R P r e c i s i o n = N T P N T P + N F P

（14）

R R e c a l l = N T P N T P + N F N

（15）

F 1 = 2 × R P r e c i s i o n × R R e c a l l R P r e c i s i o n + R R e c a l l

（16）

式中：

N T P

表示正确预测为阳性的实例数量；

N T N

表示正确预测为阴性的实例数量；

N F P

表示错误预测为阳性的实例数量；

N F N

表示错误预测为阴性的实例数量。

3.3 超参数选择

本文关注4个重要超参数的选择，分别是保留数据包的数量n、保留包中字节数量m与特征融合分类模块两个权重

α t r a n s

、

α s_t

。基于IKEv1建联过程双方交互的流量包一般情况不会超过16，且Kumano研究结果显示选取10个数据包可以相对较好的获得分类结果，故选取数据包数量n设置为2、4、8、12；同时保留包中字节数量m设置为16、32、48、64、128。选定

α t r a n s = 0.5

、

α s_t = 0.5

，对于所有n与m的组合，DETB的准确率如图4所示。经分析，

n = 8

之后准确率趋近于稳定，

n = 8 、 m = 64

时其准确率达到最高。

选定

n = 8 、 m = 64

后，在保证

α t r a n s + α s_t = 1

的情况下，将选定

α t r a n s

依次进行实验，实验结果如图5所示。当

α t r a n s = 0.6

时，模型准确率达到最大为97.1%，故选定

α t r a n s = 0.6

、

α s_t = 0 .

4。

3.4 对比实验

为验证所提模型对于IPSec应用区分的性能和实用性，在选定超参数后，将所提模型与其他近些年比较热门的深度学习流量分类模型在ISCXVPN-2016与IKEv1协议流量数据集上进行对比分析。对比的模型包括：LSTM^[13]、CNN-LSTM^[14]、FS-Net^[15]、CMTSNN^[16]、ATVITSC^[8]。

不同模型在ISCXVPN-2016数据集上的实验对比结果如表3所示，DETB的测试详细指标如表4所示。可以看出DETB的各类指标均高于其他模型，且可以发现DETB对于VPN流量比非VPN流量的识别率普遍更高。

不同模型在IKEv1数据集上实验对比结果如表5所示，DETB的测试详细指标如表6所示。

可以看出DETB的精确率、召回率、F1和准确率均高于其他模型，在精确率上与ATVITSC相差不大，但是在召回率、F1值和准确率上分别比其高出3.72、3.65、2.72个百分点。

3.5 消融实验

为验证本文分类模型融入数据均衡机制的有效性，实验通过对DETB是否添加数据均衡机制进行对比，实验结果如表7和表8所示。表7显示未添加数据均衡机制模型的各评估指标均低于添加的模型指标；进一步对比表6与表8中的详细指标可见，未添加均衡模型在大多数类别上的表现均弱于均衡后的模型，仅在少数类别上略有优势，这一现象的原因可能是部分低频但具有判别性的字节模式因出现频率低而在特征学习中被模糊，但总体上添加均衡机制后分类性能有了明显提高。

4 结束语

围绕IPSec产品识别中的流量分类技术展开研究，提出一种基于数据均衡策略的结合Transformer与Bi-LSTM的深度学习方法。首先，针对流量数据中存在的数据不均衡问题，提出一种通过统计字节频数进而利用累积分布函数实现数据均衡的预处理方法；其次，引入多头自注意力机制，提取流量中的全局特征，并结合Bi-LSTM结构对流量数据提取时空特征；最后，利用加权算法对这些特征进行有效融合，并通过分类器输出识别结果。实验表明在公开数据集ISCXVPN-2016与自构建的IKEv1协议流量数据集上均取得了优于现有方法的分类性能。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	NGUYEN T T T， ARMITAGE G. A survey of techniques for Internet traffic classification using machine learning［J］. IEEE Communications Surveys & Tutorials， 2008，10（4）：56-76.

[2]	FINSTERBUSCH M， RICHTER C， ROCHA E， et al. A survey of payload-based traffic classification approaches［J］. IEEE Communications Surveys & Tutorials， 2014，16（2）：1135-1156.

[3]	BOUKERCHE A， WANG J. Machine learning-based traffic prediction models for intelligent transportation systems［J］. Computer Networks， 2020，181：No.107530.

[4]	XUE B， YI W J， JING F， et al. Complex ISAR target recognition using deep adaptive learning［J］. Engineering Applications of Artificial Intelligence， 2021，97：No.104025.

[5]	SHEN M， YE K， LIU X T， et al. Machine learning-powered encrypted network traffic analysis： a comprehensive survey［J］. IEEE Communications Surveys & Tutorials， 2023，25（1）：791-824.

[6]	ZHANG H， GUAN H C， YAN H B， et al. Webshell traffic detection with character-level features based on deep learning［J］. IEEE Access， 2018，6：75268-75277.

[7]	HENDAOUI F， FERCHICHI A， TRABELSI L， et al. Advances in deep learning intrusion detection over encrypted data with privacy preservation： a systematic review［J］. Cluster Computing， 2024，27（7）：8683-8724.

[8]	LIU Y， WANG X， QU B， et al. ATVITSC： a novel encrypted traffic classification method based on deep learning［J］. IEEE Transactions on Information Forensics and Security， 2024，19：9374-9389.

[9]	刘保全，顾纯祥，陈熹，等.基于流量映射矩阵的加密流量分类模型［J］.信息工程大学学报，2025，26（3）：352-358.

[10]	KIPERWASSER E， GOLDBERG Y. Simple and accurate dependency parsing using bidirectional LSTM feature representations［J］. Transactions of the Association for Computational Linguistics， 2016，4：313-327.

[11]	SUBHAN RIZA D B， YUNITA D R， ROSNELLY D R. Comparative analysis of LSTM and BiLSTM in image detection processing［J］. Journal of Wireless Mobile Networks， Ubiquitous Computing， and Dependable Applications， 2024，15（1）：244-260.

[12]	VASWANI A， SHAZEER N， PARMAR N， et al. Attention is all you need［J］. Advances in Neural Information Processing Systems， 2017，30：No.5998.

[13]	SHERSTINSKY A. Fundamentals of recurrent neural network （RNN） and long short-term memory （LSTM） network［J］. Physica D： Nonlinear Phenomena， 2020，404：No.132306.

[14]	ZOU Z， GE J G， ZHENG H B， et al. Encrypted traffic classification with a convolutional long short-term memory neural network［C］∥Proceedings of 2018 IEEE 20th International Conference on High Performance Computing and Communications. Piscataway， USA： IEEE， 2019：329-334.

[15]	LIU C， HE L T， XIONG G， et al. FS-Net： a flow sequence network for encrypted traffic classification［C］∥Proceedings of IEEE INFOCOM 2019. Piscataway， USA： IEEE， 2019：1171-1179.

[16]	ZHU S Z， XU X L， GAO H H， et al. CMTSNN： a deep learning model for multiclassification of abnormal and encrypted traffic of Internet of Things［J］. IEEE Internet of Things Journal， 2023，10（13）：11773-11791.