本文關(guān)鍵詞： 網(wǎng)絡(luò)應(yīng)用 加密流量 識別 隨機(jī)性 特征提取 趨勢感知　出處：《解放軍信息工程大學(xué)》2014年碩士論文　論文類型：學(xué)位論文

【摘要】：當(dāng)前網(wǎng)絡(luò)加密流量比例不斷提高,而木馬、社交應(yīng)用等多以加密流量形式在網(wǎng)絡(luò)中傳播,給網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理帶來了嚴(yán)峻挑戰(zhàn)。因此有效識別網(wǎng)絡(luò)應(yīng)用層加密流量是識別惡意流量,實(shí)現(xiàn)網(wǎng)絡(luò)管控的前提�，F(xiàn)有網(wǎng)絡(luò)應(yīng)用層加密流量的識別方法主要存在以下三個(gè)問題：(1)網(wǎng)絡(luò)中加密流量的比例相對明文流量很小,使得多數(shù)基于統(tǒng)計(jì)思想的加密流量識別方法易受到明文流量的干擾而導(dǎo)致識別精確度較低。(2)基于應(yīng)用特征自動提取的識別方法時(shí)間復(fù)雜度較高。(3)基于傳輸層流級統(tǒng)計(jì)特征的經(jīng)典協(xié)議指紋識別方法精確度較低。針對上述問題,本文依托國家863計(jì)劃項(xiàng)目“面向三網(wǎng)融合的統(tǒng)一安全管控網(wǎng)絡(luò)”的相關(guān)課題,對現(xiàn)有上述存在的技術(shù)問題進(jìn)行了深入的分析和研究,提出了基于串行檢驗(yàn)的網(wǎng)絡(luò)加密流量識別算法ETI-ST,粗粒度識別網(wǎng)絡(luò)協(xié)議不相關(guān)加密流量；然后針對不同應(yīng)用場景識別方法的缺陷,分別提出基于ECLAT樹結(jié)構(gòu)的特征自動提取算法FEA-ET和基于指紋趨勢感知的Skype協(xié)議識別算法ISP-FT,達(dá)到細(xì)粒度識別網(wǎng)絡(luò)應(yīng)用層加密流量的目的。論文所提方法都通過仿真實(shí)驗(yàn)進(jìn)行了對比分析,驗(yàn)證了算法的有效性。具體研究工作如下：1.提出了基于串行檢驗(yàn)的網(wǎng)絡(luò)加密流量識別算法。針對多數(shù)基于統(tǒng)計(jì)思想的應(yīng)用層加密流量識別方法易受到明文流量干擾的問題,根據(jù)網(wǎng)絡(luò)加密流量的隨機(jī)性特征,提出了基于串行檢驗(yàn)的網(wǎng)絡(luò)加密流量識別算法ETI-ST,該算法利用網(wǎng)絡(luò)數(shù)據(jù)間的相關(guān)性對隨機(jī)性評估的影響,采用串行檢驗(yàn)方法對序列隨機(jī)性進(jìn)行量化。仿真實(shí)驗(yàn)表明：與現(xiàn)有基于熵的方法相比,ETI-ST的精確度可達(dá)到82.3%,提高了約15%。2.提出了基于ECLAT樹結(jié)構(gòu)的應(yīng)用特征自動提取算法。針對現(xiàn)有應(yīng)用特征自動提取方法時(shí)間復(fù)雜度高的問題,提出了基于ECLAT樹結(jié)構(gòu)的應(yīng)用特征自動提取算法FEA-ET,并應(yīng)用DPI技術(shù)來識別網(wǎng)絡(luò)應(yīng)用層加密流量。FEA-ET算法僅掃描一次待測網(wǎng)絡(luò)加密流量集得到各位置頻繁字節(jié)的支持度；構(gòu)建ECLAT樹結(jié)構(gòu),自動化挖掘不同數(shù)據(jù)報(bào)文的頻繁字節(jié)串集。仿真實(shí)驗(yàn)表明：與經(jīng)典的APRIORI算法相比,該算法減少了I/O負(fù)載,在特定參數(shù)下,時(shí)間復(fù)雜度平均降低了20%,提高了挖掘效率。3.提出了基于指紋趨勢感知的Skype協(xié)議識別算法。針對基于傳輸層流級統(tǒng)計(jì)特征的經(jīng)典協(xié)議指紋識別方法精確度較低的問題,本文通過研究私有加密協(xié)議Skype通聯(lián)初期穩(wěn)定的流級統(tǒng)計(jì)特征變化趨勢,定義了趨勢感知加權(quán)函數(shù),提出了一種基于指紋趨勢感知的Skype協(xié)議識別算法ISP-FT。仿真實(shí)驗(yàn)表明：與經(jīng)典的協(xié)議指紋算法和C4.5算法相比,ISP-FT算法在召回率相差0.1%的前提下,精確度至少提高4%,準(zhǔn)確率至少提高3.3%,且僅處理前6個(gè)數(shù)據(jù)包即可識別Skype協(xié)議,在一定程度上滿足了實(shí)時(shí)性要求。
[Abstract]:At present, the proportion of network encrypted traffic is increasing, while Trojan horses, social applications, etc., spread in the network in the form of encrypted traffic. It brings a severe challenge to network security and network management. Therefore, to effectively identify network application layer encrypted traffic is to identify malicious traffic. The existing network application layer encryption traffic identification methods mainly have the following three problems: 1) the proportion of encrypted traffic in the network is very small compared with the plaintext flow. It makes most of the encrypted traffic recognition methods based on statistical thought easy to be interfered by plaintext traffic, which leads to low recognition accuracy.) the recognition method based on automatic extraction of application features has higher time complexity. 3) based on transport laminar flow level. The precision of the classical protocol fingerprint recognition method based on statistical features is low. Based on the national 863 project "the unified security management and control network for the three networks", this paper makes a deep analysis and research on the existing technical problems mentioned above. A network encryption traffic identification algorithm ETI-STbased on serial test is proposed, in which coarse-grained network protocol is used to identify the irrelevant encrypted traffic, and then the defects of different application scenarios are analyzed. An automatic feature extraction algorithm (FEA-ET) based on ECLAT tree structure and an ISP-FT-based Skype protocol recognition algorithm based on fingerprint trend perception are proposed, respectively, to achieve the purpose of fine-grained network application layer encryption. A comparative analysis was carried out. The effectiveness of the algorithm is verified. The specific research work is as follows: 1. A network encryption traffic identification algorithm based on serial test is proposed. In view of the problem that most of the application layer traffic identification methods based on statistics are susceptible to the interference of plaintext traffic, According to the randomness characteristics of network encrypted traffic, a network encryption traffic identification algorithm ETI-ST-based on serial test is proposed. The algorithm uses the correlation between network data to influence the randomness evaluation. The method of serial test is used to quantify the randomness of sequences. The simulation results show that the accuracy of ETI-ST can reach 82.3 compared with the existing methods based on entropy, and the accuracy of ETI-ST can be improved by about 15.2. The automatic feature extraction algorithm based on ECLAT tree structure is proposed. To solve the problem of high time complexity of existing automatic feature extraction methods, This paper presents an application feature extraction algorithm based on ECLAT tree structure, FEA-ET. and uses DPI technology to identify the network application layer encryption traffic. FEA-ET algorithm only scans the network encryption traffic set to be tested once to get the support of frequent bytes in each position, and constructs the ECLAT tree structure. The simulation results show that compared with the classical APRIORI algorithm, the algorithm reduces the I / O load, and under the specific parameters, the proposed algorithm can be used to automatically mine the frequent byte strings of different data packets. The average time complexity is reduced by 20%, and the mining efficiency is improved. (3) an Skype protocol recognition algorithm based on fingerprint trend perception is proposed, aiming at the problem of low accuracy of the classical protocol fingerprint recognition method based on the statistical features of transport laminar flow. In this paper, the trend of steady flow level statistical characteristics in the initial stage of private encryption protocol Skype connection is studied, and the trend perception weighting function is defined. An Skype protocol recognition algorithm based on fingerprint trend perception is proposed. The simulation results show that ISP-FT algorithm is 0.1% different from the classical fingerprint algorithm and C4.5 algorithm. The accuracy is improved by at least 4 and the accuracy is improved by at least 3.3, and the Skype protocol can be recognized by only processing the first 6 packets, which meets the requirement of real-time to some extent.
【學(xué)位授予單位】：解放軍信息工程大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 楊錚;李國元;左敏;;一個(gè)嵌入式網(wǎng)絡(luò)流量識別系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)系統(tǒng)應(yīng)用;2008年06期

2 辛峰;於建華;;互聯(lián)網(wǎng)流量識別技術(shù)的研究及實(shí)現(xiàn)[J];廣東通信技術(shù);2008年03期

3 李晗;劉瀧;;應(yīng)用層流量識別方法的研究[J];廣東通信技術(shù);2008年04期

4 梁偉;李晗;;網(wǎng)絡(luò)流量識別方法研究[J];通信技術(shù);2008年11期

5 張玲;李君;孫雁飛;;快速應(yīng)用層流量識別方法的研究與實(shí)現(xiàn)[J];電信快報(bào);2009年10期

6 葛體富;;網(wǎng)絡(luò)流量識別技術(shù)以及實(shí)現(xiàn)方案淺議[J];電腦知識與技術(shù);2011年22期

7 侯艷;;基于深度包和流的流量識別系統(tǒng)設(shè)計(jì)[J];電子設(shè)計(jì)工程;2013年22期

8 馬保雷;宋穎慧;劉亞維;;基于概念漂移檢測的自適應(yīng)流量識別的研究[J];智能計(jì)算機(jī)與應(yīng)用;2013年06期

9 張眾;楊建華;謝高崗;;高效可擴(kuò)展的應(yīng)用層流量識別架構(gòu)[J];通信學(xué)報(bào);2008年12期

10 吳震;劉興彬;童曉民;;基于信息熵的流量識別方法[J];計(jì)算機(jī)工程;2009年20期

相關(guān)會議論文 前7條

1 馬永立;壽國礎(chǔ);胡怡紅;錢宗玨;區(qū)海平;;新型網(wǎng)絡(luò)流量識別分析系統(tǒng)及其性能評估[A];第六屆全國信息獲取與處理學(xué)術(shù)會議論文集（2）[C];2008年

2 張娜娜;;P2P流量識別方法研究[A];江蘇省電子學(xué)會2010年學(xué)術(shù)年會論文集[C];2010年

3 高長喜;辛陽;鈕心忻;楊義先;;基于行為特征分析的P2P流量識別技術(shù)的研究[A];第一屆中國高校通信類院系學(xué)術(shù)研討會論文集[C];2007年

4 許劉兵;;基于人工神經(jīng)網(wǎng)絡(luò)的P2P流量識別模型的研究[A];中國電子學(xué)會第十五屆信息論學(xué)術(shù)年會暨第一屆全國網(wǎng)絡(luò)編碼學(xué)術(shù)年會論文集（上冊）[C];2008年

5 賈波;鄒園萍;;基于無監(jiān)督學(xué)習(xí)的P2P流量識別[A];浙江省信號處理學(xué)會2011學(xué)術(shù)年會論文集[C];2011年

6 王波;周曉光;蘇志遠(yuǎn);;基于節(jié)點(diǎn)狀態(tài)的P2P流量識別系統(tǒng)[A];中國電子學(xué)會第十五屆信息論學(xué)術(shù)年會暨第一屆全國網(wǎng)絡(luò)編碼學(xué)術(shù)年會論文集（下冊）[C];2008年

7 王波;周曉光;蘇志遠(yuǎn);;基于節(jié)點(diǎn)狀態(tài)的P2P流量識別系統(tǒng)[A];2008通信理論與技術(shù)新發(fā)展——第十三屆全國青年通信學(xué)術(shù)會議論文集（下）[C];2008年

相關(guān)博士學(xué)位論文 前7條

1 侯穎;網(wǎng)絡(luò)流量測量與識別關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2015年

2 林冠洲;網(wǎng)絡(luò)流量識別關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

3 田旭;互聯(lián)網(wǎng)流量識別技術(shù)研究[D];北京郵電大學(xué);2012年

4 彭建芬;P2P流量識別關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

5 張劍;寬帶接入網(wǎng)流量識別關(guān)鍵技術(shù)研究[D];北京郵電大學(xué);2011年

6 李冰;VoIP和P2P IPTV流量的識別與測量研究[D];天津大學(xué);2010年

7 郭振濱;互聯(lián)網(wǎng)測量與建模研究[D];北京交通大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 龔雪梅;基于用戶感知的無線網(wǎng)絡(luò)流量識別與控制的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2015年

2 王煒;網(wǎng)絡(luò)應(yīng)用層加密流量識別技術(shù)研究[D];解放軍信息工程大學(xué);2014年

3 練琪;基于聚類分析的應(yīng)用層流量識別研究[D];湖南大學(xué);2010年

4 朱欣;基于數(shù)據(jù)流挖掘技術(shù)的流量識別[D];蘇州大學(xué);2011年

5 張波;基于流特征的加密流量識別技術(shù)研究[D];哈爾濱工業(yè)大學(xué);2012年

6 孫海霞;基于關(guān)聯(lián)規(guī)則的流量識別方法研究[D];合肥工業(yè)大學(xué);2009年

7 左建勛;網(wǎng)絡(luò)流量識別技術(shù)研究及其應(yīng)用[D];重慶大學(xué);2007年

8 馬保雷;基于概念漂移檢測的自適應(yīng)流量識別研究[D];哈爾濱工業(yè)大學(xué);2013年

9 羅平;網(wǎng)絡(luò)層流量識別與關(guān)鍵內(nèi)容提取系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2014年

10 崔月婷;基于分類算法與聚類算法流量識別系統(tǒng)的研究[D];北京郵電大學(xué);2010年

，

本文編號：1512847