Yeslab講師 曹鑫磊
私有虛擬網(wǎng)絡(luò)(VPN)是在公用網(wǎng)絡(luò)基礎(chǔ)之上建立的私有加密通信隧道網(wǎng)絡(luò),企業(yè)對于自管轄網(wǎng)絡(luò)中個人使用VPN軟件行為具有監(jiān)管責(zé)任,但技術(shù)上卻很難識別VPN的加密與通信方式,因此利用人工智能(AI)領(lǐng)域的神經(jīng)網(wǎng)絡(luò)技術(shù)從網(wǎng)絡(luò)流量中識別VPN軟件行為是一種全新的檢測方法。這種方法完全跟VPN技術(shù)解耦,不論VPN軟件使用的加密技術(shù)如何復(fù)雜,神經(jīng)網(wǎng)絡(luò)都可以站在VPN使用者的角度去識別VPN行為。在華為HCIA-AI與HCIP-AI認證中,神經(jīng)網(wǎng)絡(luò)在被描述為核心技能,本文就將講解如何使用神經(jīng)網(wǎng)絡(luò)來識別VPN流量。
根據(jù)我國互聯(lián)網(wǎng)相關(guān)法律,個人及企業(yè)在未備案前提下不允許私自建立與使用跨國際VPN線路與軟件。但實際情況是企業(yè)難以管理個人利用企業(yè)網(wǎng)絡(luò)使用各類VPN軟件,甚至自己搭建VPN通道連接至境外服務(wù)器。隨著VPN技術(shù)在不斷進步,這類監(jiān)管任務(wù)的難度也在不斷提升。
網(wǎng)絡(luò)行為是主機連接至網(wǎng)絡(luò)后,向網(wǎng)關(guān)或?qū)Χ税l(fā)送網(wǎng)絡(luò)數(shù)據(jù)包的行為,例如持續(xù)均等時間間隔的發(fā)包與發(fā)送一定流量后馬上停止一段時間就被認為是兩種不同的網(wǎng)絡(luò)行為。基于這種方法,我們使用的數(shù)據(jù)集體現(xiàn)了此類發(fā)包規(guī)律的明顯特征。
神經(jīng)網(wǎng)絡(luò)是人工智能領(lǐng)域的流行算法,利用神經(jīng)網(wǎng)絡(luò)模型與反向傳播技術(shù)可以對神經(jīng)網(wǎng)絡(luò)進行基于數(shù)據(jù)的監(jiān)督學(xué)習(xí)訓(xùn)練,完成訓(xùn)練的模型會對某些數(shù)據(jù)的擬合度提高一些。用神經(jīng)網(wǎng)絡(luò)搭建數(shù)據(jù)分類器是計算機視覺、自然語言處理等領(lǐng)域的常用方法,我們也使用這樣的方法來處理網(wǎng)絡(luò)行為數(shù)據(jù)。
數(shù)據(jù)
我們使用了公開的VPN流量數(shù)據(jù)集,該數(shù)據(jù)集由一家安全企業(yè)對近1000名員工的網(wǎng)絡(luò)數(shù)據(jù)進行抓包截取,并固化為一些行為特征。這份數(shù)據(jù)分兩個月抓取完成,第一個月由全體員工不連接任何VPN進行正常工作,其流量包含訪問公司信箱、OA系統(tǒng)、即時聊天、視頻網(wǎng)站、購物網(wǎng)站等。第二個月由全體員工按自己的方式連接VPN進行辦公,流量仍包含上述站點。這樣就抓取了兩份不同標簽的網(wǎng)絡(luò)數(shù)據(jù)(VPN | NOVPN)
抓取的數(shù)據(jù)以數(shù)據(jù)流為基本單位進行了特征提取,提取出來的數(shù)據(jù)特征如下所示:
· FIAT指標: 向前發(fā)送兩個數(shù)據(jù)包之間的時間(固化為四個指標:平均值,最大值,最小值,標準差)
· BIAT指標: 向后發(fā)送兩個數(shù)據(jù)包之間的時間(固化為四個指標:平均值,最大值,最小值,標準差)
· FLOWIAT: 形成數(shù)據(jù)流的兩個數(shù)據(jù)包之間的時間(固化為四個指標:平均值,最大值,最小值,標準差)
· ACTIVE: 時間量,在變成空閑之前的活躍時間
· IDLE: 時間量,在變成活躍之前的空閑時間
這份網(wǎng)絡(luò)流量數(shù)據(jù)最終被制作為23個數(shù)據(jù)屬性,1個標簽屬性,使用Pandas導(dǎo)入數(shù)據(jù)后如圖1所示:
圖1:示例數(shù)據(jù)展示
數(shù)據(jù)分布
通過觀察數(shù)據(jù)在各個值域的分布情況,可以對數(shù)據(jù)的質(zhì)量有所掌握,數(shù)據(jù)的質(zhì)量問題會導(dǎo)致模型訓(xùn)練結(jié)果不太理想。例如某些數(shù)據(jù)可能存在部分值域數(shù)據(jù)非常多,而其他值域幾乎沒有數(shù)據(jù)的"一邊倒"情況,我們需要通過對數(shù)據(jù)質(zhì)量的考察,來決定是否需要做一些數(shù)據(jù)增強、數(shù)據(jù)篩選與特征工程。神經(jīng)網(wǎng)絡(luò)擁有非常龐大的參數(shù)空間,對特征工程的要求偏低。本文所使用的數(shù)據(jù)分布圖如圖2所示。
圖2:每項屬性的數(shù)據(jù)分布,大多數(shù)屬性存在上述"一邊倒"問題,也是在真實世界中捕獲網(wǎng)絡(luò)流量數(shù)據(jù)的正常現(xiàn)象
神經(jīng)網(wǎng)絡(luò)模型
本文使用的神經(jīng)網(wǎng)絡(luò)為多層感知器模型,通過前向傳播的線性計算與非線性激活來完成推理過程,推理結(jié)果與標簽計算獲得誤差,使用誤差通過反向傳播的偏微分計算獲得殘差并最終轉(zhuǎn)化為梯度來更新神經(jīng)網(wǎng)絡(luò)的可學(xué)習(xí)參數(shù)。其數(shù)學(xué)過程不在這里詳細講解,這類知識可以在華為HCIA-AI認證、HCIP-AI認證與華為人才在線平臺中獲取。
模型結(jié)構(gòu)
本文使用的神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)如下:
· 輸入層:(None, 23) 維度的數(shù)據(jù)輸入
· 第一個隱含層:32個神經(jīng)元,激活函數(shù)為"ReLU"
· 第二個隱含層:32個神經(jīng)元,激活函數(shù)為"ReLU"
· 第三個隱含層:16個神經(jīng)元,激活函數(shù)為"ReLU"
· 輸出層:使用"Sigmoid"激活和函數(shù)做 (0-1) 范圍的單值輸出
· 誤差計算使用二值交叉熵
· 優(yōu)化算法使用"Adam"
· 學(xué)習(xí)速率:0.0007
神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)圖如圖3所示,模型參數(shù)如圖4所示。
圖3:本文使用的神經(jīng)網(wǎng)絡(luò)架構(gòu),這種"先胖后瘦"的結(jié)構(gòu)可以對信息特征的表達空間先做擴充,然后再進行壓縮,適用于小型數(shù)據(jù)集
圖4:模型參數(shù)
激活函數(shù)
激活函數(shù)是為神經(jīng)網(wǎng)絡(luò)提供非線性輸出能力的關(guān)鍵因素,許多著名的神經(jīng)網(wǎng)絡(luò)模型(如AlexNet與ResNet等)都非常考究激活函數(shù)的選擇過程。本文所描述的模型對于所有隱含層均使用ReLU作為激活函數(shù),其函數(shù)曲線如圖5所示。輸出層則使用Sigmoid作為激活輸出,其函數(shù)曲線如圖6所示。
圖5:ReLU函數(shù)曲線
圖6:Sigmoid函數(shù)曲線
訓(xùn)練過程
訓(xùn)練數(shù)據(jù)樣本數(shù)量為16758,測試數(shù)據(jù)樣本數(shù)量為2000,訓(xùn)練時先打亂訓(xùn)練數(shù)據(jù),并劃分出驗證數(shù)據(jù)集,完成全部訓(xùn)練樣本數(shù)據(jù)的過程記為1次訓(xùn)練,共訓(xùn)練500次,其訓(xùn)練誤差與驗證誤差曲線如圖7所示:
圖7:X軸為訓(xùn)練次數(shù),Y軸為誤差值,藍色曲線為訓(xùn)練誤差,紅色曲線為驗證誤差
實驗結(jié)果
最終對測試數(shù)據(jù)的2000個樣本推理準確率為85.56%,本實驗的出發(fā)點為檢測企業(yè)中的VPN流量行為,在該人工智能模型支持下,配合人力二次檢測,可以有效發(fā)現(xiàn)企業(yè)中VPN軟件的使用情況,讓企業(yè)不用再耗費高成本采購專業(yè)監(jiān)管設(shè)備或服務(wù)。
從深度上講,如果能收集更多的數(shù)據(jù),使用神經(jīng)網(wǎng)絡(luò)來檢測VPN流量就會更加準確,從廣度上講,我們可以使用同類方法檢測異常流量、區(qū)分個性化應(yīng)用流量以及預(yù)分類惡意流量等。華為的網(wǎng)絡(luò)人工智能 (NAIE智能體) 就包含了許多利用人工智能來協(xié)助運維人員完成問題檢測、指標固化、信號強度計算等許多復(fù)雜的案例。相信在不遠的未來,我們所使用的計算機網(wǎng)絡(luò)必定能夠依靠人工智能技術(shù)向每一個人提供更加個性化、差異化的服務(wù)。
作者簡介:
曹鑫磊,在華為授權(quán)合作伙伴(HALP)Yeslab負責(zé)華為人工智能和網(wǎng)絡(luò)自動化方向課程開發(fā)和授課,對華為認證有著獨到的見解,深受學(xué)員好評。
