论文部分内容阅读
互联网快速发展,各类网络应用给大众生活带来便捷,同时也给网络监控和管理带来了巨大的挑战,如P2P应用流量逐年上涨,互联网服务提供商(ISP)不得不对该类型流量做适当策略限制,以免影响其他用户正常使用网络。而要实现上述的管理机制,离不开对网络流量的分析和识别,只有知道当前网络中的流量成分,才能采取进一步的分析和处理工作,因此流量分析与识别方法是众多安全监控技术的基石。然而,在目前高速网络环境下,网络流量暴涨,传统的流量识别方法面临着很多问题,如处理时延、内存瓶颈等。因此,本课题主要研究了面向高速网络环境的流量分析与识别方法,围绕如何利用少量的载荷数据准确识别流量以及如何加速识别过程这两个问题,取得了如下研究成果: 1、提出一种基于n-gram多特征的网络流量载荷类型分类方法:在使用每条流lk字节数据的情况下,用n-gram方法分割子串,并在高频子串集合上提取多种特征,能够将网络流量分为文本、音频、视频、图片、可执行程序、压缩等7种类型。实验结果表明,本文方法提高了多载荷类型分类的准确率和召回率。 2、提出一种针对非加密网络应用的协议特征词提取方法:DPI方法识别准确度高,需要载荷数据少,被广泛应用于安全设备中,但其依赖于有效的协议指纹特征,为了应对网络应用快速更新的节奏,本文提出一种自动化提取有效特征词的方法,主要分为两步,首先利用无监督方法生成协议候选词,并根据词频、位置等信息减小词集规模;然后利用基于频繁项集挖掘的特征词提取方法,通过评估候选词的共现关系删除噪声词和冗余词,最终按照覆盖率提取出有效的协议特征词。最后通过实验比较,验证了本文方法的特征词提取效果。 3、提出一种基于DstIP-DstPort服务标记的流量快速识别方法:目前已有的流量分类识别方法为了保证识别效果难免计算量大、占内存,因此本文使用已识别的历史日志,通过三级缓存技术来有效标记DstIP-DstPort的服务信息,在有新网络流时,通过查表方式输出流量的应用类型,避免冗余的识别操作。实验结果表明,通过DstlP-DstPort服务标记识别流量准确率能达到99%以上,且能够加速较大比例的流量。