文章总结： AAAI2025Oral论文DigTraffic提出双通道交互图Transformer，通过消息级流量交互图和双通道编码解决传统流量分类痛点。该方法在ISCX-Tor等数据集上F1分数突破98%，显著提升加密流量识别精度及长流鲁棒性。 综合评分： 85 文章分类： AI安全,网络安全

AAAI2025(Oral)|流量分类新突破：双通道交互图Transformer重塑流量分类

AIForSecurity

AI安全这点事

2025年12月25日 17:13 安徽

在网络流量日益加密和匿名化的今天，如何精准识别网络应用？东南大学、紫金山实验室与中关村实验室的研究团队在 AAAI 2025 上发表并入选为 Oral 的突破性成果：DigTraffic。该模型跳出了传统的“字节层级”分析模式，通过建模“消息级对话”的流量通用性交互逻辑，刷新了多个不同协议场景下权威数据集的分类记录。

1. 论文概览

• 标题：Dual-Channel Interactive Graph Transformer for Traffic Classification with Message-Aware Flow Representation
• 作者：Xing Qiu, Guang Cheng (通讯作者), Weizhou Zhu, Dandan Niu, Nan Fu
• 单位：东南大学（Southeast University）、紫金山实验室、中关村实验室
• 代码链接 ：https://github.com/SeuXing/DigTraffic

2. 背景：流量分析的“全局观”缺失

传统的深度学习流量分类方法通常将流量视为一维序列，直接主要关注报文的原始载荷字节或进行简单的图构建。然而，这种做法存在两个痛点：

1. 忽略逻辑交互：流量本质上是客户端与服务器之间的“消息对话”，单一的图或序列模型很难同时捕捉到报文的交互细节和全局消息层面的交互逻辑。
2. 多模态融合难：报文的“长度”和“时间”是两个关键维度，如何有效结合这两者，并融合复杂的流量交互拓扑图结构特征，一直是业内的难题。

3. 核心创新点

• MTIG 结构：构建“消息级流量交互图”，通过异构边捕捉客户端与服务器的全局通用性交互语义，并保持该种表征独立于特定协议结构。
• 双通道多模态编码：并行处理长度和时间序列这两种最显著测信道特征，利用 Transformer 高效并行提取特征。
• 消息感知聚合：在 Graph Transformer 中注入中心度、空间距离及边信息，解决了GNN中的过平滑性问题和 Vallia Transformer 架构的长距离依赖丢失问题，使得模型兼备学习流量的局部空间性和全局序列性特征的能力。

#

4. 详细方法论（Methodology）

4.1 消息级流量交互图 (MTIG) 的构建

DigTraffic 将流中的每个报文的长度定义为节点。异构节点集合 V 包含两个子集： V=Puplink∪Pdownlink

• Puplink：客户端发往服务器的上行报文节点。
• Pdownlink：服务器发往客户端的下行报文节点。

为了捕捉交互语义，模型设计了三种异构边：

1. 连续同向边 ()：连接同一消息块（Message Block）内方向相同的相邻报文，旨在刻画服务器或客户端传输的一条完整消息。变量解释：刻画“报文连续性”， 为第  个报文， 为其传输方向。
2. 方向切换边 ()：连接方向相反的相邻报文，标志着交互中“请求-响应”的切换。变量解释：刻画“消息交互性”， 为第  个报文， 为其传输方向。
3. 二次同向边 ()：连接跨越了反向消息块的两个连续同向消息，旨在学习长期的发送规律。变量解释：刻画“语义连贯性”， 为完整消息块， 和  分别是不同消息块中的首尾报文。

4.2 双通道多模态交互编码

模型通过两个独立的通道并行提取特征，分别是 Packet Length (LSeq) 和 Inter-Arrival Time (TSeq)。

位置编码 (Positional Encoding, PE)： 由于图结构会打破原始时序，引入正余弦位置编码来保留顺序信息：

变量解释： 表示报文位置； 是特征维度的索引； 是模型的嵌入维度。

特征融合： 两个通道的输出通过多层感知机 (MLP) 融合为节点初始嵌入向量 ：

4.3 消息感知的图 Transformer 机制

该部分在 Transformer 注意力机制中注入了三项基于 MTIG 的结构化编码：

1. 中心度编码 (Centrality Encoding)： 识别交互中的核心报文（如握手报文）：

   变量解释： 和  为节点的出度和入度； 为可学习的度数嵌入向量。

2. 空间编码 (Spatial Encoding)： 计算节点  和  之间的最短路径距离  作为注意力偏置：

   变量解释： 是根据距离索引的可学习标量偏置。

3. 边编码 (Edge Encoding)： 考虑报文间属性（如时间差）形成的边特征 ：

   变量解释： 为路径长度； 为可学习权重。

最终注意力公式：

变量解释： 为隐状态； 为权重矩阵； 为特征维度。

#

5. 实验评估

研究团队在四种不同协议场景的 ISCX-VPN、ISCX-Tor、QUIC 和 CICIoT2022 公开数据集上进行了全方位评测。

• 性能飞跃：在明文信息相对缺失的 ISCX-Tor 数据集上，DigTraffic 的 F1 分数和准确率均突破 98%，比此前最优方法提升了约 13%。
• 长流鲁棒性：在包含数千个报文的长流（QUIC2019）中，DigTraffic 凭借局部拓扑刻画和全局感受野，性能比同类模型高出 7.7%。
• 消融实验：通过充分对每个模块的消融结果证明，若去掉“消息感知”的结构编码，模型在复杂协议下的识别率会显著下降，充分验证了创新点的有效性。
• 开放世界场景：在引入大量未知流量实例的实际开放世界场景中，DigTraffic 在对抗实网的概念漂移下展现出最高的鲁棒性（能维持最高的精确率和最佳的“概念漂移”抵抗性能）。

6. 结论

DigTraffic 证明了：将流量视为一种客户端 – 服务器的“结构化对话”而非简单的“字节序列或图结构”是提升分类精度的关键。通过双通道 Transformer 与消息感知图结构在注意力模块中的深度结合，它不仅能理解“报文发了什么”，更能深度理解“报文是如何交互的”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI安全这点事 AIForSecurity《AAAI2025(Oral)|流量分类新突破：双通道交互图Transformer重塑流量分类》