中文标题：基于报头特征驱动的加密流量跨维度协同识别框架

英文标题：A Cross-Dimensional Collaborative Framework for Header-Metadata-Driven Encrypted Traffic Identification

来源期刊：电子与信息学报

基金项目：四川省自然基金创新群体项目(2024NSFTD0015)，保密通信全国重点实验室稳定计划支持项目(WD202403)

作  者：王梦寒¹ 周正春¹ 吉庆兵²

作者单位：1. 西南交通大学 成都 611756
2. 保密通信全国重点实验室 成都 610041

摘  要：在网络通信加密技术广泛应用的背景下，加密流量识别已成为网络安全领域亟待攻克的核心难题。传统基于载荷内容的识别方法，因加密算法的持续升级，面临特征失效的风险，进而在动态网络环境中产生检测盲区。与此同时，报头作为协议交互的关键载体，其结构化特征价值尚未得到充分挖掘。此外，随着加密协议的不断发展，现有的加密流量识别方法还面临特征解释性不足、模型在对抗攻击下鲁棒性薄弱等问题。针对上述挑战，该文提出基于报头特征驱动的加密流量跨维度协同识别框架，分别从网络流量特征选取与识别性能、量化特征贡献度的可解释性评估以及对抗性扰动对模型稳健性影响三个维度进行分析，系统地揭示和证明了报头特征在加密流量识别中占主导作用，突破了传统单视角分析的局限性，革新了传统方法依赖载荷数据的固有认知。该识别框架不仅能分析深度模型的性能边界、评估决策的可信性，而且能通过有效筛选特征剪除冗余，在降低模型复杂度的基础上提升加密场景下的抗干扰能力，进而设计更轻量化、更加稳健的加密流量识别模型。最后，在ISCXVPN2016和ISCXTor2016数据集上的对比实验表明：在识别性能维度，仅基于报头特征的模型F1分数较完整流量模型最高提升6%，较仅基于有载荷特征的模型最高提升61%，验证了报头特征在分类任务中的有效性；在可解释性评估中，通过特征贡献度量化方法发现，报头特征相关性得分的平均占比相较于载荷特征最多高出 89.8%，凸显其在模型决策中的主导性影响；在抗干扰鲁棒性方面，含报头特征的模型在同等带宽扰动下的最大抗干扰性能保持率较纯载荷模型相比，优势显著，最大差距达 98.46%，证实了报头特征对增强模型鲁棒性的关键作用。

全文链接： https://jeit.ac.cn/cn/article/doi/10.11999/JEIT250434