基于支持向量机的加密流量识别方法

针对现有的加密流量识别方法难以区分加密流量和非加密压缩文件流量的问题,对互联网中的加密流量、txt流量、doc流量、jpg流量和压缩文件流量进行分析,发现基于信息熵的方法能够有效地将低熵值数据流和高熵值数据流区分开.但该方法不能识别每个字节是随机的而全部流量是伪随机的非加密压缩文件流量,因此采用相对熵特征向量{h_0,h_1,h_2,h_3}区分低熵值数据流和高熵值数据流,采用蒙特卡洛仿真方法估计π值的误差p_(error)来区分局部随机流量和整体随机流量.最终提出基于支持向量机的加密流量和非加密流量的识别方法 SVM-ID,并将特征子空间SVM={h_0,h_1,h_2,h_3,p_(error)}作为SVM-ID方法的输入.将SVM-ID方法和相对熵方法进行对比实验,结果表明,所提方法不仅能够很好地识别加密流量,还能区分加密流量和非加密的压缩文件流量.     

P2P应用多层次识别方法研究

根据TCP连接的状态转换过程特点建立了一个P2P应用的多层次识别模型,给出了三层识别方法的具体实现.当连接建立时,采用启发式识别方法,迅速将所有流量划分为疑似P2P流量和非P2P流量,过滤非P2P流量;在数据传输的开始阶段,采用基于应用载荷深度识别的方法识别大多数非加密P2P流量;在数据传输了一段时间后,采用模糊识别的方法,识别运用了加密技术的P2P流量.最后,根据流量识别的结果分析出局域网内每台主机上正在运行的P2P应用.测试结果表明:对未加密的文件共享类应用流量识别率在91%以上,L7-filter的流量识别率为70%左右,本系统对加密的文件共享类应用和流媒体类应用的流量识别率在83%左右,而L7-filter的流量识别率在40%以下.     

利用明文特征和朴素贝叶斯分类识别P2P流量

明文特征是基于应用层静态特征的一种识别方法,需要提取出应用层数据的特征信息;而朴素贝叶斯分类是基于大量统计信息的一种识别方法,主要用来识别加密的Peer-to-Peer(P2P)流量。着重介绍了采用明文特征和朴素贝叶斯分类相结合的方法,对加密的以及未加密的P2P流量进行识别。测试结果表明,这种方法可以较准确地识别出P2P流量。     

互联网流量识别研究综述

基于互联网流量识别对于互联网的管理与安全的重要性,就互联网流量识别产生的背景和主要的识别方法进行全面的阐述。针对基于机器学习的流量识别、早期流量识别以及实时在线流量识别3个研究热点,阐述了国内外的研究进展情况。总结了当前互联网流量识别研究中存在的关键技术问题,包括基础数据采集困难、特征提取技术以及非平衡识别技术有待突破等问题。指出该领域研究未来发展的3个重要方向:移动互联网的流量识别;高速网络环境下的流量识别;云计算环境下的流量识别与分析。     

一种基于DPI自关联数据包检测分类方法

随着互联网的不断发展,越来越多的非传统业务兴起,由于大量采用迂回机制、加密隐藏技术,使得这些业务变得难以控制管理,影响传统业务的正常性能.现有识别方法普遍采用端口识别以及深度包检测技术DPI,难以识别迂回流量以及加密流量.因此本文提出一种基于DPI自关联检测分类方法,该方法首先通过与样本流之间七元组关联关系识别迂回流量,这部分称为强关联(SA),然后提取检测流特征值,通过本文提出的分类决策函数进行识别,这部分称为弱关联(WA),实验结果表明,该方法能克服DPI技术不能识别迂回流量以及加密流量的缺点,提高业务流识别准确率.     

基于节点及流量行为特征的P2P流量识别

由于P2P软件普遍采用动态端口以及负载加密技术,使得基于传输层端口和深度包检测技术的对等网流量识别受到限制。通过对P2P流量的分析发现其两种特性:一是P2P节点具有双面性特征,即P2P节点可以同时上传下载数据;二是P2P流量的正向流与反向流包到达时间间隔方差比始终在一定区间内波动。由此提出基于节点及流量行为特征的P2P流量识别方法,并将其应用于网络流量监测。实验表明:该方法可识别新应用及加密流量,具有客观性,其流识别率为93%,字节识别率为95.5%。     

基于复合特征的P2P业务识别系统的研究与实现

着重分析了P2P流量统计特征,根据不同应用的流量模式和实验结果,提出了一种基于流统计特征的P2P识别方法.这种方法不需要对数据报文载荷信息进行检查,因此不受数据是否加密的限制,扩大了P2P识别的范围.论文将基于流统计特征的识别方法与端口法、有效载荷特征串识别法等结合起来,构成复合的P2P流量识别系统.实验数据证明,该系统不仅能识别出更多的P2P应用,而且还具有较高的识别率和较低的误报率和漏报率,应用到实际网络中效果良好.     

在线/离线非单调CP-ABE方案构造

提出了支持非单调访问结构的在线/离线的CP-ABE方案。在离线加密阶段,完成了密文的主要构成部分的计算;在线加密阶段,将正属性集合上的非单调访问控制结构转变成由正、负属性集合上的基于线性秘密共享方案的单调访问控制结构,利用少量的加法和乘法操作生成密文的其余构成部分。在n-(B)假设成立条件下,证明了该方案具有选择性安全性。与原来的非单调CP-ABE方案相比,该方案系统参数和私钥规模保持不变,加密的总体计算复杂度仅有少量增加,但在线加密阶段的计算复杂度较小,可与解密外包服务相结合,使得该方案的离线加密和解密阶段都可在资源受限的小型设备上完成。     

基于深度学习的SSL VPN加密流量的分类识别

随着虚拟专用网技术的广泛使用，VPN加密流量的分类识别对于网络安全管理的重要性愈发明显，而传统流量分类技术在提取特征和关键协议字段时效率较低.因此，本文提出一种基于卷积神经网络的深度学习模型，用以实现SSL VPN加密流量的分类识别，并减少特征工程中的人力成本.首先，将流量区分为VPN加密流量和非VPN加密流量，并且确定出这两类流量所属的服务类型；然后对所有流量进行分类，识别出产生流量的应用类型.考虑到网络流量中存在的时序关系，采用一维卷积神经网络作为深度学习的模型，通过构建Pytorch的实验环境，采用ISCX2016数据集，实现对VPN加密流量的分类任务.通过参数优化，除数据量较小的数据类型外，应用识别的平均F1-score为91.73%,流量识别的平均F1-score为91.13%.实验结果表明，基于一维卷积神经网络的深度学习方法对于识别SSL VPN流量是可行和有效的.     

基于小波分解的链路层加密数据识别方法

从链路层未加密数据与已加密数据的随机统计特性角度出发,提出了一种基于随机性检测的链路层加密数据识别方法,解决了未知网络中的链路层加密数据及未加密数据样本获得问题.在基于随机性检测的链路层加密数据识别基础上,结合小波分解的多尺度特性,提出了基于小波分解的链路层加密数据识别方法,解决了方案实施过程中小波选择、特征参数提取、模板匹配及阈值选择等关键问题.研究结果表明:提出的方法具有更好的适用性及更高的识别率.对某无线网络链路层加密与未加密数据的识别率均达到95%以上.     

基于S_Kohonen神经网络的乒乓球运动识别

针对乒乓球运动识别方法通常无法实时识别、识别率低和识别算法复杂度高,从而导致穿戴式设备续航能力差等问题,提出一种基于遗传算法优化S_Kohonen(supervisedKohonen)神经网络的乒乓球运动实时识别方法,并完成系统设计.该系统通过单MPU6050六轴加速度传感器采集运动信号,采用动作端点检测算法提取动作始末端点,基于db4小波对动作信号进行3层分解,同时用遗传算法优化S_Kohonen神经网络对乒乓球常见的6种动作进行识别.实验结果表明:该运动识别方法离线平均识别率为99.17%,实时平均识别率为91.67%,待机功耗为0.28 mW,运行模式功耗为14 mW,识别时间为2 ms,证明该方法识别迅速、功耗低、识别准确率高.     

基于卷积神经网络的网络流量识别技术研究

近年来,深度包检测技术和基于统计特征的网络流量识别技术迅速发展,但它们分别存在不能识别加密流量和依赖人对特征主观选择的缺陷.文章提出了基于卷积神经网络的流量识别方法,将网络数据按照一定的规则转换为灰度图像进行识别,并根据TCP数据包的有序性和UDP数据包的无序性,对原始的网络数据进行了扩展,以进一步提高识别率.实验数据表明,该方法对应用程序和应用层协议两个层次的网络流量具有较高的检测率.     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

基于流的时间相关特征的VPN加密流量识别

随着网络流量规模和来源的增加,对网络流量监控和分析的挑战也随之增加,尤其是 对加密流量进行识别的问题,该挑战性问题在于如何对加密流量不解密的情况下直接识别加密流 量。因此,针对加密流量识别问题,本文提出了一种基于流的时间相关特征的VPN加密流量识别 方法。通过设置2个实验场景,实现了加密流量与非加密流量的识别,并根据流的类型将加密流量 划分为不同的类别,在识别出加密流量的基础上又实现了应用识别和服务类型的识别。最后在公 开数据集ISCXVPN2016上利用不同的机器学习算法进行了对比实验,实验结果表明：使用较短的 流超时值可以提高识别准确率,在流超时值为15 s时结果最优。上述实验结果也证明了时间相关 特征是表征加密流量和VPN流量的良好分类准则。     

基于深度图序列和时空占用模式的人类行为识别研究

针对人类行为识别问题,提出一种基于深度图序列和时空占用模式的行为识别方法。首先,使用深度图序列将空间和时间轴分为多个部分,从而定义一个4D网格;然后,将网格中的每个单元与占用值相关联,利用高维特征向量的所有单元占用值组成时空占用模式。最后,利用基于正交级别学习的主成分分析降维获得低维特征向量,并完成最终的行为识别。在公共3D行为数据集MSR上的实验结果表明,提出的离线识别方法比现有方法所获得的识别准确度较高。     

一种基于自主学习的DPI业务识别方法

随着数据通信技术的发展,因特网服务提供商面临着沉重的P2P和Vo IP流量管理问题.针对目前已有的业务识别方法大都存在带宽消耗价大,实现复杂等问题,提出一种基于自主学习的深度包检测(DPI)业务识别方法,利用关联流量和统计分析等方法识别新的业务流量.能够在统计系统中实时的增加新的识别流矢量,因此无需人工分析和标记就能够对统计数据集进行更新.实验结果证明了该方法的准确性和流量识别的高度可靠性.     

可扩展在线识别P2P流的架构

为了整合多种已有的端到端(P2P)流识别方法,支持对新识别方法的迅速扩展,提高分布式环境中的远程管理能力,提出了一种可扩展在线识别P2P流的架构(EAIOPF).首先,提出了识别程序最优序列的思想,即通过优化多个识别程序的运行顺序,提高系统的运行效率;然后,提出了在线更新识别方法的机制,根据该机制,无需重新编译程序就能扩展P2P流的识别功能;最后,设计了一种远程管理机制,实现对识别程序的远程更新、启动与停止.针对原型系统的测试结果表明,EAIOPF能有效提高识别系统的性能,支持在线更新识别方法和远程管理,为高速网络环境中整合多种P2P流识别方法提供了可行方案.     

约束UKF初始参数对Bouc-Wen模型参数识别的影响

为获得约束UKF初始参数对模型参数识别的影响规律,针对Bouc-Wen模型给出基于约束UKF在线参数识别方法,通过数值模拟分析初始状态估计均值与协方差、过程噪声协方差、观测噪声协方差等滤波器初始参数对模型参数识别精度与收敛速度的影响,提出相应的参数取值建议.结果表明：在无模型误差的情况下,约束UKF对初始参数的设置具有较好的鲁棒性;适当地增大初始状态估计协方差,减小过程噪声,采用真实系统观测噪声协方差以及减小初始参数值与真实值的偏差,可以有效提高参数识别收敛速度和精度.该研究为基于约束UKF的非线性结构模型在线参数识别方法提供了参考.     

基于多元增量分析的全网络在线异常检测方法

现有的全网络流量异常检测方法大多是离线方法或是对其进行数据更新的简单在线化改造,无法提供良好的在线检测性能.以全网络多维流量数据为研究的数据源,采用多元增量分析的方法,提出一种非先验自适应的在线异常检测算法.该算法以增量的方式构建流量矩阵的常态模型,不需要特殊的训练数据和独立的训练阶段.采用仿真实验数据和骨干网Abilene的采集数据,并通过与现有广泛采用的离线和在线方法进行对比分析,结果表明该算法在保持较好的检测性能的基础上实现了全网络在线异常检测.     

基于基础特征的P2P流量识别技术研究

首先分析了常见的P2P流量识别方法;提出了一种基于大网络直径、主机既充当客户端又充当服务器这两个P2P协议基础特征来识别P2P流量的新方法;设计并实现了用来进行P2P流量识别的识别器。