文章总结： 本文解读IEEETIFS2024提出的ATVITSC加密流量分类模型，通过并行架构融合Transformer全局交互与CNN-RNN时空特征，并引入长度嵌入与动态融合机制。实验表明该模型在恶意流量识别、VPN分类等任务中Macro-F1值超97%，有效解决了传统串行模型特征损失问题，为加密网络审计提供高精度解决方案。 综合评分： 90 文章分类： AI安全,网络安全,恶意软件

TIFS 2024 | 深度学习加密流量分类新突破：ATVITSC 模型全维度解读

AIForSecurity AIForSecurity

AI安全这点事

2026年1月26日 18:08 安徽

随着网络加密协议（如 TLS 1.3）的普及，流量特征变得愈发随机，传统的分类方法难以为继。本文深度解读发表于网络安全顶刊 IEEE TIFS (2024) 的创新研究：ATVITSC。该模型通过并行架构，完美融合了 Transformer 的全局交互能力与 CNN-RNN 的时空特征提取能力。

01 论文概览

• 标题：ATVITSC: A Novel Encrypted Traffic Classification Method Based on Deep Learning
• 作者：Ya Liu, Xiao Wang, Bo Qu (通讯作者), Fengyu Zhao
• 单位：上海理工大学、广东科技学院、上海出版印刷高等专科学校
• 发表平台：IEEE Transactions on Information Forensics and Security (TIFS)

02 研究背景与挑战

1. 加密导致载荷特征消失：加密算法抹平了应用层的数据特征，使深度包检测（DPI）失效。
2. 现有模型短板：

• 级联结构瓶颈：传统的“CNN提取空间+RNN提取时序”是串行的，第一层特征损失会直接导致整流识别失败。
• 缺乏全局视野：卷积操作对长会话中跨度较大的报文（如握手包与数据结束包）之间的交互捕捉不足。
• 特征融合极化：在多路径融合时，模型容易产生“路径依赖”，导致其中一个模块被边缘化。

03 核心创新点

• 三重嵌入机制（Triple Embedding）：在 Transformer 输入端融合了像素、位置和长度信息。
• 并行双路架构：PVT（Packet Vision Transformer）负责全局关系，STFE（Spatiotemporal Feature Extraction）负责局部时空。
• 带温度参数的融合（FFC）：引入  参数，自适应调整不同模块的贡献度，防止过拟合。

04 核心方法：Transformer 编码深度详解

ATVITSC 的精髓在于其 PVT（数据包视觉 Transformer） 模块。它将每个数据包视为一个视觉单元，通过复杂的嵌入和自注意力机制学习“流量语境”。

1. 三重信息嵌入 (Input Representation)

为了不丢失任何细微线索，模型为每个数据包构造了三种嵌入向量：

• 数据包视觉嵌入()： 将  的灰度图像通过一个大小为  的卷积核进行线性投影，映射到  维空间。

• 位置嵌入()： 引入正余弦位置编码，让模型感知报文在会话中的先后顺序：

• 长度嵌入 ()： 加密虽然隐藏了内容，但报文长度是极具辨识度的漏网之鱼。模型将原始长度  转化为 One-hot 向量 ，再通过线性层投影：

最终输入向量：。。这种设计确保了模型同时拥有像素感官、时序逻辑和元数据信息。

2. 多头自注意力机制 (MHSA)

这是 PVT 捕捉全局依赖的核心。它计算会话中任意两个数据包之间的相互影响：

1. 映射查询、键、值矩阵：

2. 计算注意力分数：

其中  是缩放因子，防止梯度消失。 3. 多头融合： 通过多个独立头（Heads）并行运算，捕捉流量中不同层面的交互（如控制流与数据流的交互）：

最后，提取编码器最后一层的首个向量（Class Token）作为全局特征 。

05 核心方法：时空特征与动态融合

1. STFE 模块：局部时空提取

• ATResConv：使用残差连接和通道注意力（SE 机制）提取单个包的空间特征 。
• Bi-LSTM：双向读取特征序列，捕捉流量的“节拍”和动态演化规律：

2. FFC 模块：带温度参数的自适应融合

如何平衡和？模型使用了带温度参数的门控机制：

1. 得分计算：

2. 动态权重：

3. 融合向量： 温度参数  （设为 500）的作用是使权重分布在训练初期更平滑，强制模型在两个分支上共同发力。

06 实验评估

1. 四大挑战任务全胜

实验在权威数据集上进行，ATVITSC 的 Macro-F1 表现如下：

• 恶意流量识别 (USTC-TFS)：99.67%（几乎完美识别各种攻击流量）。
• 暗网识别 (ISCX-Tor)：98.79%（精准识别加密代理背后的服务）。
• 隧道加密分类 (ISCX-VPN)：97.88%（在高度混淆的 VPN 隧道中依然准确）。
• 移动端 App 识别 (Cross-Platform)：94.90%（具备极强的跨平台通用性）。

2. 消融实验证明有效性

• 长度嵌入的作用：加入  后，在 ISCX-VPN 数据集上的精度提升了 2.1%，证明了元数据对加密识别的重要性。
• 双路并行的必要性：当会话长度极短（如仅 1 个包）时，PVT 表现受限，此时 STFE 模块作为“安全垫”保证了基础精度；而在长序列中，PVT 则显著拉高了性能上限。

07 结论

ATVITSC 的成功在于它不再盲目追求“深”网络，而是追求“广”特征。通过 Transformer 全局建模、长度元数据嵌入以及动态权重平衡，该模型为加密环境下的网络安全审计提供了一套高精度、高鲁棒性的工业级解决方案。

参考文献：ATVITSC: A Novel Encrypted Traffic Classification Method Based on Deep Learning

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI安全这点事 AIForSecurity AIForSecurity《TIFS 2024 | 深度学习加密流量分类新突破：ATVITSC 模型全维度解读》