נושא הפרוייקט
מספר פרוייקט
מחלקה
שמות סטודנטים
אימייל
שמות מנחים
זיהוי והתמודדות עם שינויים במאפייני תעבורה מוצפנת
Concept Drift in Encrypted Network Traffic Classification
תקציר בעיברית
במחקר הזה, אנחנו מציגים טכניקה חדשה לזיהוי והתמודדות עם שינויים במאפייני תעבורה מוצפנת וזיהוי אפליקציות שהם לא חלק מההתפלגות שנלמדה ברשתות תעבורה מוצפנות VPN. טכניקה זו משתמשת במודל דו-חלקי; מודל סיווג לזיהוי אפליקציות, ומודל רגרסיה לחיזוי נפח האפליקציות בחותמות זמן ספציפיות. אי התאמות בין הנפחים החזויים ולממשיים מסמלים שינויים בהתנהגות האפליקציה. לאחר מכן, המודל מבדיל בין שינוי במאפיינים לבין אפליקציה שהיא לא חלק מההתפלגות על ידי השוואת הנפחים החזויים והממשיים של כל האפליקציות. אם אפליקציה בודדת מציגה נפח חזוי נמוך יותר, המופעים של אפליקציות אחרות עם סיווג ביטחון נמוך מסווגים מחדש כאפליקציה המשתנה, מה שמצביע על שינוי במאפייני התעבורה. אם אפליקציות מרובות מציגות נפח חזוי נמוך יותר, זה מסמל נוכחות של יישום חדש, מחוץ להתפלגות, ומופעים של האפליקציה הזו מתויגים מחדש בהתאם. מודל הסיווג מאומן מחדש כדי להתאים לשינויים אלה. ההליך נמשך עד שהנפחים החזויים והממשיים יתיישרו בטווח שגיאה נתון, כאשר מודל הסיווג מאומן מחדש לאחר כל איטרציה. טכניקה זו מספקת סיווג חזק, רציף ומדויק של סוגי תעבורה שונים בתוך רשתות מוצפנות VPN.
תקציר באנגלית
In this research, we presents a novel technique for detecting and adapting to concept drift and out-of-distribution anomalies in VPN-encrypted traffic networks. This technique employs a two-part model; a classification model for application identification, and a regression model to forecast application volume at specific timestamps. Discrepancies between predicted and actual volumes signify changes in application behavior. The model then differentiates between concept drift and out-of-distribution changes by comparing the predicted and actual volumes of all applications. If a single application exhibits lower predicted volume, the instances of other applications with low confidence classification are relabeled as the changing application, indicating concept drift. If multiple applications show lower predicted volume, this signifies the presence of a new, out-of-distribution application, and instances are relabeled accordingly. The classification model is then retrained to accommodate these changes. The procedure continues until predicted and actual volumes align within a given error range, with the classification model retrained after each iteration. This technique provides a robust, continuous, and precise classification of different traffic types within VPN-encrypted networks.