网络协议流量识别方法研究

网络协议流量识别旨在识别流量所属的网络应用或者协议,进而及时发现和处理网络故障和安全漏洞,提高网络服务质量和保障网络空间安全.首先总结4种主要网络协议流量识别方法:基于行为的识别方法、基于负载随机性的识别方法、基于有效负载的识别方法和基于统计学特征的识别方法;然后分别基于在线加密流量、在线非加密流量、离线加密流量和离线非加密流量4种应用场景,对相关研究成果进行归类总结和讨论;最后总结全文并展望未来网络协议流量识别方法的研究方向.     

P2P应用多层次识别方法研究

根据TCP连接的状态转换过程特点建立了一个P2P应用的多层次识别模型,给出了三层识别方法的具体实现.当连接建立时,采用启发式识别方法,迅速将所有流量划分为疑似P2P流量和非P2P流量,过滤非P2P流量;在数据传输的开始阶段,采用基于应用载荷深度识别的方法识别大多数非加密P2P流量;在数据传输了一段时间后,采用模糊识别的方法,识别运用了加密技术的P2P流量.最后,根据流量识别的结果分析出局域网内每台主机上正在运行的P2P应用.测试结果表明:对未加密的文件共享类应用流量识别率在91%以上,L7-filter的流量识别率为70%左右,本系统对加密的文件共享类应用和流媒体类应用的流量识别率在83%左右,而L7-filter的流量识别率在40%以下.     

基于数据流多维特征的移动流量识别方法研究

随着移动互联网的快速发展,移动设备的数量激增至历史新高.从大量混杂流量中识别出移动流量并对流量进行分析,是深入研究移动互联网特性的第一步,同时可以为移动网络测量与管理、移动安全和隐私保护提供有价值的信息.本文综合整理了网络流量识别的常见方法,提出了基于数据流多维统计特征的移动流量识别方法.该方法从硬件特征、操作系统指纹和用户使用习惯三个方面提取了数据流中具有代表性的特征并对特征进行分析,使用集成学习的方法生成识别模型.移动流量的识别准确率和主流的5种操作系统流量分类的准确率都达到了99%以上.本文方法比UAFs方法准确率提高了8%左右.本方法提取的特征具有多维性并且具有实际意义,整合了网络层和传输层的数据流特征,相较于使用深度数据包检测的方法,基于数据流多维特征的方法同样适用于加密流量的分类.     

利用明文特征和朴素贝叶斯分类识别P2P流量

明文特征是基于应用层静态特征的一种识别方法,需要提取出应用层数据的特征信息;而朴素贝叶斯分类是基于大量统计信息的一种识别方法,主要用来识别加密的Peer-to-Peer(P2P)流量。着重介绍了采用明文特征和朴素贝叶斯分类相结合的方法,对加密的以及未加密的P2P流量进行识别。测试结果表明,这种方法可以较准确地识别出P2P流量。     

基于深度学习的SSL VPN加密流量的分类识别

随着虚拟专用网技术的广泛使用，VPN加密流量的分类识别对于网络安全管理的重要性愈发明显，而传统流量分类技术在提取特征和关键协议字段时效率较低.因此，本文提出一种基于卷积神经网络的深度学习模型，用以实现SSL VPN加密流量的分类识别，并减少特征工程中的人力成本.首先，将流量区分为VPN加密流量和非VPN加密流量，并且确定出这两类流量所属的服务类型；然后对所有流量进行分类，识别出产生流量的应用类型.考虑到网络流量中存在的时序关系，采用一维卷积神经网络作为深度学习的模型，通过构建Pytorch的实验环境，采用ISCX2016数据集，实现对VPN加密流量的分类任务.通过参数优化，除数据量较小的数据类型外，应用识别的平均F1-score为91.73%,流量识别的平均F1-score为91.13%.实验结果表明，基于一维卷积神经网络的深度学习方法对于识别SSL VPN流量是可行和有效的.     

多类型的雷达有源干扰感知新方法

针对雷达有源干扰可识别的类型有限且识别效果欠佳的问题,提出了一种多类型雷达有源干扰识别新方法。该方法首先利用变分模态分解对雷达有源干扰信号进行分解,得到具有不同中心频率带宽有限的固有模态分量,然后分别计算每个固有模态分量相应的矩形积分双谱,并计算其Renyi熵以组成特征参量,最后采用随机森林分类器将多个随机决策树的结果取众数,从而实现了雷达有源干扰类型的识别。仿真结果表明,所提方法不但能够有效地识别多种不同类型的雷达有源干扰,而且具有良好的抗噪声性能和稳健性。与基于熵理论的识别方法和基于时频特征的识别方法相比,当信噪比为5 dB时,压制式干扰识别率分别提高了0.33%和1.75%;与基于时频图的识别方法和基于时频分布的识别方法相比,当信噪比为0 dB时,拖引欺骗干扰识别率分别提高了3.89%和5.06%。     

基于多尺度熵和动态时间规整的步态身份识别

针对现有人体步态身份识别算法单一、准确率较低的问题,提出了一种基于多尺度熵和动态时间规整（DTW,dynamic time warping）的人体步态身份识别方法。采用自制的APP软件在较低采样率下采集人体步行加速度数据,实验中共采集50名志愿者的正常行走加速度数据,使用多尺度熵算法进行数据处理,得到在各个尺度下的熵值,最后采用DTW算法对多尺度熵值进行特征匹配,得到的相对错误率（EER,equal error rate）为13.7%,仿真结果表明基于多尺度熵和DTW算法相结合的方法较好提高了身份识别的准确率,为人体步态身份识别提供了一个新的思路。     

基于复合特征的P2P业务识别系统的研究与实现

着重分析了P2P流量统计特征,根据不同应用的流量模式和实验结果,提出了一种基于流统计特征的P2P识别方法.这种方法不需要对数据报文载荷信息进行检查,因此不受数据是否加密的限制,扩大了P2P识别的范围.论文将基于流统计特征的识别方法与端口法、有效载荷特征串识别法等结合起来,构成复合的P2P流量识别系统.实验数据证明,该系统不仅能识别出更多的P2P应用,而且还具有较高的识别率和较低的误报率和漏报率,应用到实际网络中效果良好.     

一种基于DPI自关联数据包检测分类方法

随着互联网的不断发展,越来越多的非传统业务兴起,由于大量采用迂回机制、加密隐藏技术,使得这些业务变得难以控制管理,影响传统业务的正常性能.现有识别方法普遍采用端口识别以及深度包检测技术DPI,难以识别迂回流量以及加密流量.因此本文提出一种基于DPI自关联检测分类方法,该方法首先通过与样本流之间七元组关联关系识别迂回流量,这部分称为强关联(SA),然后提取检测流特征值,通过本文提出的分类决策函数进行识别,这部分称为弱关联(WA),实验结果表明,该方法能克服DPI技术不能识别迂回流量以及加密流量的缺点,提高业务流识别准确率.     

基于可变长序列的恶意加密流量检测方法

本文引入组合恶意加密流量数据集,结合随机森林对各个特征的重要性进行对比,构建可变长二维特征序列,提出一种针对可变长序列的恶意加密流量检测方法。该方法采用BiGRU-CNN深度学习模型,通过引入Masking层,有效解决变长序列问题,能够同时提取流量数据中时间和空间的多重特征,最终实现对恶意加密流量的二分类检测。实验结果表明,该方法与基于CNN、LSTM等单一模型相比在精确率、召回率和F1值均有所提升,准确率达到94.61%,且在非训练集实验中能达到94.93%的平均识别准确率,具有较好的应用价值。     

基于卷积神经网络的网络流量识别技术研究

近年来,深度包检测技术和基于统计特征的网络流量识别技术迅速发展,但它们分别存在不能识别加密流量和依赖人对特征主观选择的缺陷.文章提出了基于卷积神经网络的流量识别方法,将网络数据按照一定的规则转换为灰度图像进行识别,并根据TCP数据包的有序性和UDP数据包的无序性,对原始的网络数据进行了扩展,以进一步提高识别率.实验数据表明,该方法对应用程序和应用层协议两个层次的网络流量具有较高的检测率.     

基于流的时间相关特征的VPN加密流量识别

随着网络流量规模和来源的增加,对网络流量监控和分析的挑战也随之增加,尤其是 对加密流量进行识别的问题,该挑战性问题在于如何对加密流量不解密的情况下直接识别加密流 量。因此,针对加密流量识别问题,本文提出了一种基于流的时间相关特征的VPN加密流量识别 方法。通过设置2个实验场景,实现了加密流量与非加密流量的识别,并根据流的类型将加密流量 划分为不同的类别,在识别出加密流量的基础上又实现了应用识别和服务类型的识别。最后在公 开数据集ISCXVPN2016上利用不同的机器学习算法进行了对比实验,实验结果表明：使用较短的 流超时值可以提高识别准确率,在流超时值为15 s时结果最优。上述实验结果也证明了时间相关 特征是表征加密流量和VPN流量的良好分类准则。     

一种基于自主学习的DPI业务识别方法

随着数据通信技术的发展,因特网服务提供商面临着沉重的P2P和Vo IP流量管理问题.针对目前已有的业务识别方法大都存在带宽消耗价大,实现复杂等问题,提出一种基于自主学习的深度包检测(DPI)业务识别方法,利用关联流量和统计分析等方法识别新的业务流量.能够在统计系统中实时的增加新的识别流矢量,因此无需人工分析和标记就能够对统计数据集进行更新.实验结果证明了该方法的准确性和流量识别的高度可靠性.     

基于小波分解的链路层加密数据识别方法

从链路层未加密数据与已加密数据的随机统计特性角度出发,提出了一种基于随机性检测的链路层加密数据识别方法,解决了未知网络中的链路层加密数据及未加密数据样本获得问题.在基于随机性检测的链路层加密数据识别基础上,结合小波分解的多尺度特性,提出了基于小波分解的链路层加密数据识别方法,解决了方案实施过程中小波选择、特征参数提取、模板匹配及阈值选择等关键问题.研究结果表明:提出的方法具有更好的适用性及更高的识别率.对某无线网络链路层加密与未加密数据的识别率均达到95%以上.     

基于数据包特征的加密流量分类

随着加密技术在网络应用中的广泛应用,如何在不侵犯用户隐私的情况下对加密流量进行分类成为新的挑战。文章提出了一种基于数据包的加密流量分类方法,这种方法不仅安全,而且可以有效防止恶意攻击流量。在流量传输过程中,每个数据包的任务是不同的。有些数据包负责维护连接,有些负责数据交互。以往的研究忽略了数据包行为对流量分类的影响。基于数据包的方法旨在通过聚类算法来区分正常和恶意数据包对流量分类的影响,以识别加密的恶意流量。该方法使用公共流量数据集和实验室收集的流量数据集进行验证,并与其他2种方法进行比较,证明了基于数据包的加密流量分类方法的有效性。     

基于交叉熵顺序统计滤波的语音端点检测算法

为提高语音端点检测在强噪声环境下的准确率,提出了一种基于交叉熵顺序统计滤波(OSF)的语音端点检测算法。该算法以子带交叉熵为语音/非语音的区分特征,首先将每帧语音的频谱划分成若干个子带,估计出每个子带能量与背景噪声之间的交叉熵,然后把相继若干帧的子带能量交叉熵经过一组顺序统计滤波器,最后根据各帧交叉熵的值对输入的语音进行分类。实验结果表明:该算法能够有效地区分语音和非语音。特别是在强噪声环境下依然能够保持很高的检测率,具有鲁棒性。通过实验结果比较,该算法在性能上优于最近提出的基于能量顺序统计滤波和单纯交叉熵判别的两种方法。     

基于相对幅值法的接箍深度识别方法

提出一种基于相对幅值法的接箍深度识别方法.该方法利用计算机处理技术对接箍曲线应用相对幅度鉴别方法,自动跟踪识别接箍深度,尤其是能够自动跟踪识别受套管磁化干扰信号影响的接箍深度.该方法识别的接箍深度比使用简单的门限值,识别范围及最大值方法计算的接箍深度更准确,精度也更高,能够有效确定射孔作业深度,防止误射孔发生,为油田薄油层的开采提供技术保证,应用效果良好.     

疾病命名短语识别的最大熵方法

提出一种基于最大熵模型的中文疾病命名短语识别方法,在模型特征选择上,将领域本体信息作为模型的一种特征.由此实现的疾病命名短语识别分类器具备有监督学习和利用领域知识的能力.实验结果表明,对于疾病命名短语识别的准确率达到89.7%,召回率87.6%,F-评价值88.64%.     

疾病命名短语识别的最大熵方法

提出一种基于最大熵模型的中文疾病命名短语识别方法,在模型特征选择上,将领域本体信息作为模型的一种特征.由此实现的疾病命名短语识别分类器具备有监督学习和利用领域知识的能力.实验结果表明,对于疾病命名短语识别的准确率达到89.7%, 召回率87.6%, F-评价值88.64%.     

基于改进随机减量法和小波变换的

基于改进随机减量法和小波变换提出了一种新的结构模态参数统计识别方法.随机减量法改进后可直接处理零均值非平稳响应信号,得到自由衰减响应,小波变换的时频域特性可解耦密频、低阻尼系统,自助分布的统计估计能力考虑和降低模态参数识别的不确定性.对提出的方法进行了完整的理论推导,并通过一个四自由度系统的数值算例验证了该方法可靠性.相比较传统的时域方法和直接小波变换方法,该方法具有更高的识别精度,尤其是阻尼比系数.随后的抗噪能力验证结果表明该方法在15dB噪声干扰下仍能够稳定、准确地识别出系统的模态参数,可适用于环境激励下模态参数识别.