ET-BERT
ET-BERT 是一款专为加密网络流量分类设计的开源模型,曾入选国际顶级会议 WWW 2022。在如今隐私保护日益增强、网络流量普遍加密的背景下,传统方法难以在不解密的情况下精准识别流量类型,而 ET-BERT 正是为了解决这一难题而生。
它能够直接从加密的数据报中学习上下文关联特征,无需破解加密内容即可准确判断流量类别(如视频流、网页浏览或恶意通信等)。其核心技术亮点在于引入了预训练 Transformer 架构:首先在大规模无标签数据上进行自监督学习,掌握通用的流量传输规律;随后仅需少量标注数据微调,即可快速适配到具体的应用场景中。这种“预训练 + 微调”的机制,不仅大幅降低了对标注数据的依赖,还显著提升了模型在不同网络环境下的泛化能力。
ET-BERT 非常适合网络安全研究人员、流量分析工程师以及从事人工智能与网络交叉领域开发的开发者使用。对于希望构建高效入侵检测系统、优化网络服务质量或进行学术探索的专业人士而言,它提供了一个强大且灵活的基线模型。项目代码基于成熟的 UER-py 框架,并提供了详细的复现指南和预训练模型,便于用户快速上手并集成到自己的安全防御体系中。
使用场景
某大型云服务商的安全运营团队正面临海量加密流量(TLS 1.3)的监控挑战,急需在不解密的前提下精准识别恶意应用与异常行为。
没有 ET-BERT 时
- 识别盲区大:传统方法依赖端口号或握手明文特征,面对全面加密的 TLS 1.3 流量,无法有效区分视频流、即时通讯或隐蔽隧道,导致大量未知威胁漏报。
- 标注成本高昂:基于深度学习的现有方案需要海量人工标注数据进行监督训练,安全专家需耗费数周时间清洗和标记流量样本,项目启动缓慢。
- 泛化能力弱:针对特定场景训练的模型一旦遇到新的加密协议变种或混合流量,准确率急剧下降,需反复重新训练,运维负担极重。
- 上下文缺失:传统模型仅分析单个数据包,忽略了数据包之间的时序和逻辑关联,难以捕捉复杂的攻击链特征。
使用 ET-BERT 后
- 深层语义洞察:ET-BERT 利用预训练 Transformer 架构,直接从加密数据报文中学习上下文关系,无需解密即可精准分类各类加密业务流量,显著降低漏报率。
- 小样本高效微调:借助在大规模无标签流量上的预训练成果,团队仅需少量标注样本进行微调,即可将模型适配到新场景,部署周期从数周缩短至数天。
- 强泛化适应性:模型掌握了通用的加密流量传输规律,面对新型加密应用或协议变化时仍能保持高准确率,大幅减少了重复训练的需求。
- 关联特征捕获:通过多层注意力机制,ET-BERT 能同时捕捉包内与包间的复杂依赖关系,有效识别出隐藏在正常流量中的高级持续性威胁(APT)。
ET-BERT 通过“预训练 + 微调”范式,彻底解决了加密流量分类中标注难、泛化差的痛点,让网络安全防护在“看不见”的加密世界中依然眼明心亮。
运行环境要求
- 未说明
必需,推荐 NVIDIA Tesla V100S,CUDA 11.4
未说明
快速开始
ET-BERT:一种基于预训练Transformer的加密流量分类上下文数据报表示
注:
- ⭐ 如果您喜欢该项目,请留下一个星标! ⭐
- 如果您发现任何错误 / 不当 / 过时的内容,请考虑提交一个问题或拉取请求。
ET-BERT代码库,一种针对加密流量的网络流量分类模型。
ET-BERT是一种从加密流量中学习数据报上下文关系的方法,可以直接应用于不同的加密流量场景,并准确识别流量类别。首先,ET-BERT在大规模未标记流量上采用多层注意力机制,学习数据报间以及不同流量传输之间的上下文关系。其次,通过在小规模标注加密流量上进行微调,ET-BERT可以应用于特定场景以识别流量类型。
该工作已在*第31届万维网大会*上发表:
Xinjie Lin, Gang Xiong, Gaopeng Gou, Zhen Li, Junzheng Shi 和 Jing Yu. 2022. ET-BERT:一种基于预训练Transformer的加密流量分类上下文数据报表示。载于《万维网大会》(WWW)2022年会议论文集,法国里昂。计算机协会。
注:此代码基于UER-py。非常感谢原作者。
目录
要求
- Python >= 3.6
- CUDA: 11.4
- GPU: Tesla V100S
- torch >= 1.1
- six >= 1.12.0
- scapy == 2.4.4
- numpy == 1.19.2
- shutil, random, json, pickle, binascii, flowcontainer
- argparse
- packaging
- tshark
- SplitCap
- scikit-learn
- 对于混合精度训练,您需要NVIDIA的apex工具包。
- 对于预训练模型的转换(与TensorFlow相关),您需要TensorFlow。
- 对于使用wordpiece模型进行分词,您需要WordPiece。
- 对于在序列标注下游任务中使用CRF,您需要pytorch-crf。
数据集
真实世界的TLS 1.3数据集收集于2021年3月至7月期间,来自中国科学技术网(CSTNET)。出于隐私考虑,我们仅发布匿名数据(详见CSTNET-TLS 1.3)。
我们用于对比实验的其他数据集均为公开可用,更多细节请参阅论文。如果您希望使用自己的数据,请确保数据格式与datasets/cstnet-tls1.3/一致,并在data_process/中指定数据路径。
使用ET-BERT
您现在可以直接使用预训练的模型,或者通过以下命令下载:
wget -O pretrained_model.bin https://drive.google.com/file/d/1r1yE34dU2W8zSqx1FkB8gCWri4DQWVtE/view?usp=sharing
获得预训练模型后,可以通过在数据包级别对标注的网络流量进行微调,将ET-BERT应用于特定任务:
python3 fine-tuning/run_classifier.py --pretrained_model_path models/pre-trained_model.bin \
--vocab_path models/encryptd_vocab.txt \
--train_path datasets/cstnet-tls1.3/packet/train_dataset.tsv \
--dev_path datasets/cstnet-tls1.3/packet/valid_dataset.tsv \
--test_path datasets/cstnet-tls1.3/packet/test_dataset.tsv \
--epochs_num 10 --batch_size 32 --embedding word_pos_seg \
--encoder transformer --mask fully_visible \
--seq_length 128 --learning_rate 2e-5
微调后的分类器模型默认保存路径为models/finetuned_model.bin。随后您可以使用微调后的模型进行推理:
python3 inference/run_classifier_infer.py --load_model_path models/finetuned_model.bin \
--vocab_path models/encryptd_vocab.txt \
--test_path datasets/cstnet-tls1.3/packet/nolabel_test_dataset.tsv \
--prediction_path datasets/cstnet-tls1.3/packet/prediction.tsv \
--labels_num 120 \
--embedding word_pos_seg --encoder transformer --mask fully_visible
复现ET-BERT
预处理
要复现ET-BERT在网络流量数据上进行预训练所需的步骤,请按照以下步骤操作:
- 运行
vocab_process/main.py生成加密流量语料库,或直接使用corpora/中已生成的语料库。请注意,您需要更改文件顶部的文件路径和部分配置。 - 运行
main/preprocess.py对加密流量突发语料库进行预处理。python3 preprocess.py --corpus_path corpora/encrypted_traffic_burst.txt \ --vocab_path models/encryptd_vocab.txt \ --dataset_path dataset.pt --processes_num 8 --target bert - 运行
data_process/main.py生成下游任务所需的数据,如果存在需要处理的pcap格式数据集。此过程包括两个步骤。首先,在datasets/main.py:54中设置splitcap=True来拆分pcap文件,并将其保存为npy格式的数据集。然后是生成微调数据的过程。如果您使用共享数据集,则需要在dataset_save_path下创建名为dataset的文件夹,并将数据集复制到此处。
预训练
要复现在标注数据上微调 ET-BERT 所需的步骤,请运行 pretrain.py 进行预训练。如果希望在已预训练的模型基础上继续训练,可以增加参数 --pretrained_model_path。
python3 pre-training/pretrain.py --dataset_path dataset.pt --vocab_path models/encryptd_vocab.txt \
--output_model_path models/pre-trained_model.bin \
--world_size 8 --gpu_ranks 0 1 2 3 4 5 6 7 \
--total_steps 500000 --save_checkpoint_steps 10000 --batch_size 32 \
--embedding word_pos_seg --encoder transformer --mask fully_visible --target bert
下游任务上的微调
要查看如何将 ET-BERT 用于加密流量分类任务的示例,请参阅 使用 ET-BERT 以及 fine-tuning 文件夹中的 run_classifier.py 脚本。
注意:您需要更改程序中的路径。
引用
如果您在学术工作中使用了 ET-BERT 中的工作(例如预训练模型),请引用发表于 WWW 2022 的论文:
@inproceedings{lin2022etbert,
author = {Xinjie Lin and
Gang Xiong and
Gaopeng Gou and
Zhen Li and
Junzheng Shi and
Jing Yu},
title = {{ET-BERT:} {A} Contextualized Datagram Representation with Pre-training
Transformers for Encrypted Traffic Classification},
booktitle = {{WWW} '22: The {ACM} Web Conference 2022, Virtual Event, Lyon, France,
April 25 - 29, 2022},
pages = {633--642},
publisher = {{ACM}},
year = {2022}
}
联系方式
如果您有任何问题,请在 GitHub 上提交 issue。欢迎讨论新的想法、技术及改进!
请我喝杯咖啡
如果您觉得本项目有用并想表达感谢,欢迎请我喝杯咖啡!这将有助于保持我的动力和热情!
常见问题
相似工具推荐
openclaw
OpenClaw 是一款专为个人打造的本地化 AI 助手,旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚,能够直接接入你日常使用的各类通讯渠道,包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息,OpenClaw 都能即时响应,甚至支持在 macOS、iOS 和 Android 设备上进行语音交互,并提供实时的画布渲染功能供你操控。 这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地,用户无需依赖云端服务即可享受快速、私密的智能辅助,真正实现了“你的数据,你做主”。其独特的技术亮点在于强大的网关架构,将控制平面与核心助手分离,确保跨平台通信的流畅性与扩展性。 OpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者,以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力(支持 macOS、Linux 及 Windows WSL2),即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
markitdown
MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具,专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片(含 OCR)、音频(含语音转录)、HTML 乃至 YouTube 链接等多种格式的解析,能够精准提取文档中的标题、列表、表格和链接等关键结构信息。 在人工智能应用日益普及的今天,大语言模型(LLM)虽擅长处理文本,却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点,它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式,成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外,它还提供了 MCP(模型上下文协议)服务器,可无缝集成到 Claude Desktop 等 LLM 应用中。 这款工具特别适合开发者、数据科学家及 AI 研究人员使用,尤其是那些需要构建文档检索增强生成(RAG)系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性,但其核心优势在于为机器
LLMs-from-scratch
LLMs-from-scratch 是一个基于 PyTorch 的开源教育项目,旨在引导用户从零开始一步步构建一个类似 ChatGPT 的大型语言模型(LLM)。它不仅是同名技术著作的官方代码库,更提供了一套完整的实践方案,涵盖模型开发、预训练及微调的全过程。 该项目主要解决了大模型领域“黑盒化”的学习痛点。许多开发者虽能调用现成模型,却难以深入理解其内部架构与训练机制。通过亲手编写每一行核心代码,用户能够透彻掌握 Transformer 架构、注意力机制等关键原理,从而真正理解大模型是如何“思考”的。此外,项目还包含了加载大型预训练权重进行微调的代码,帮助用户将理论知识延伸至实际应用。 LLMs-from-scratch 特别适合希望深入底层原理的 AI 开发者、研究人员以及计算机专业的学生。对于不满足于仅使用 API,而是渴望探究模型构建细节的技术人员而言,这是极佳的学习资源。其独特的技术亮点在于“循序渐进”的教学设计:将复杂的系统工程拆解为清晰的步骤,配合详细的图表与示例,让构建一个虽小但功能完备的大模型变得触手可及。无论你是想夯实理论基础,还是为未来研发更大规模的模型做准备