本文關(guān)鍵詞：比特流協(xié)議分析與特征識(shí)別技術(shù)研究

  更多相關(guān)文章： 位置信息 特征選擇 地址探測 聚類分析 協(xié)議分析

【摘要】：隨著互聯(lián)網(wǎng)信息技術(shù)的不斷更新與快速發(fā)展,大量僵尸網(wǎng)絡(luò)與惡意通信的出現(xiàn)嚴(yán)重威脅了網(wǎng)絡(luò)安全。盡管目前協(xié)議解析技術(shù)發(fā)展已經(jīng)相當(dāng)成熟,但是在零先驗(yàn)知識(shí)的情況下對(duì)于純比特流的未知協(xié)議卻無法使用現(xiàn)有的協(xié)議解析工具進(jìn)行識(shí)別與解析。本文提出了一種基于零先驗(yàn)知識(shí)的比特流協(xié)議分析與特征識(shí)別方法。該研究源于一項(xiàng)國家自然基金項(xiàng)目,本文研究以比特流協(xié)議數(shù)據(jù)分幀和多協(xié)議識(shí)別模型的設(shè)計(jì)為前提基礎(chǔ),將分離出的比特流單協(xié)議數(shù)據(jù)幀作為本文研究的原始輸入數(shù)據(jù)。本文引入特征序列位置信息作為協(xié)議特征提取的約束條件,將特征序列及其位置信息構(gòu)成二維的復(fù)合特征,解決了特征字符串重復(fù)性的問題。通過設(shè)計(jì)特征選擇算法篩選出能夠標(biāo)識(shí)協(xié)議不同類型消息的特征字段。以特征選擇算法提取出的最少維數(shù)的復(fù)合特征作為聚類的屬性,對(duì)協(xié)議數(shù)據(jù)進(jìn)行聚類分析,將具有相似格式的消息聚到一起。通過設(shè)計(jì)消息數(shù)據(jù)幀向量化算法,簡化聚類過程從而避免繁瑣的計(jì)算。目前關(guān)于將多方通信的數(shù)據(jù)流分離成點(diǎn)對(duì)點(diǎn)雙方通信的數(shù)據(jù)流的研究幾乎沒有,本文以大量的通信協(xié)議數(shù)據(jù)作為研究對(duì)象,在基于統(tǒng)計(jì)學(xué)理論的基礎(chǔ)上提出了協(xié)議特征識(shí)別方法以及基于零知識(shí)的協(xié)議消息地址探測方法,通過該方法來探測協(xié)議的通信模式,并且將多方通信的協(xié)議數(shù)據(jù)分離成點(diǎn)對(duì)點(diǎn)的消息數(shù)據(jù),該方案發(fā)表在國外核心會(huì)議。最后在前面研究的基礎(chǔ)上推斷出協(xié)議消息數(shù)據(jù)幀的模式。本文設(shè)計(jì)并實(shí)現(xiàn)了一套基于零知識(shí)的比特流協(xié)議識(shí)別系統(tǒng),采用比特流協(xié)議數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)驗(yàn)證,并設(shè)計(jì)了實(shí)驗(yàn)評(píng)價(jià)指標(biāo),結(jié)果表明本文提出的比特流協(xié)議數(shù)據(jù)識(shí)別方案通過特征字段偏移位置的引入,加以約束了特征集合的維度,降低冗余數(shù)據(jù)的同時(shí)也提高了協(xié)議識(shí)別的準(zhǔn)確程度。以ARP協(xié)議和ICMP協(xié)議為例,對(duì)ARP消息類型的識(shí)別的準(zhǔn)確率和召回率可以到達(dá)100%,而對(duì)于ICMP協(xié)議可以到達(dá)98%。該系統(tǒng)并且能夠探測出協(xié)議消息中的包括固定字段、協(xié)議消息類型標(biāo)識(shí)字段以及地址交叉字段等主要特征,以及各個(gè)字段的邊界長度,有助于未知協(xié)議消息的解析研究。
【關(guān)鍵詞】：位置信息 特征選擇 地址探測 聚類分析 協(xié)議分析
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.04
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 緒論10-19
• 1.1 研究背景與意義10-12
• 1.2 國內(nèi)外研究現(xiàn)狀12-15
• 1.2.1 協(xié)議分析與識(shí)別現(xiàn)狀12-14
• 1.2.2 特征提取的研究現(xiàn)狀14-15
• 1.3 本文研究內(nèi)容15-17
• 1.4 論文的主要內(nèi)容與結(jié)構(gòu)17-19
• 第二章 協(xié)議特征識(shí)別算法分析19-31
• 2.1 協(xié)議分析與特征識(shí)別相關(guān)概念19-20
• 2.2 協(xié)議分析與識(shí)別技術(shù)20-26
• 2.2.1 基于聚類分析的協(xié)議識(shí)別20-24
• 2.2.2 基于分類的協(xié)議識(shí)別24-26
• 2.3 協(xié)議關(guān)鍵特征提取相關(guān)技術(shù)26-30
• 2.3.1 n-gram模型26-27
• 2.3.2 特征選擇算法27-29
• 2.3.3 基于零知識(shí)的協(xié)議分析與特征識(shí)別技術(shù)29-30
• 2.4 本章小結(jié)30-31
• 第三章 比特流未知協(xié)議消息類型分析與識(shí)別研究31-53
• 3.1 比特流協(xié)議數(shù)據(jù)的特點(diǎn)32-33
• 3.2 比特流協(xié)議數(shù)據(jù)單元化方法33-37
• 3.2.1 PMNGram算法33-36
• 3.2.2 數(shù)據(jù)單元篩選36-37
• 3.3 比特流未知協(xié)議的復(fù)合特征提取方法37-42
• 3.3.1 PMFSE算法38-40
• 3.3.2 MI-LIS算法40-42
• 3.3.3 PMCFS算法42
• 3.4 基于零知識(shí)的比特流協(xié)議消息分類方法42-45
• 3.5 評(píng)價(jià)指標(biāo)及實(shí)驗(yàn)結(jié)果分析45-52
• 3.5.1 評(píng)價(jià)指標(biāo)45-46
• 3.5.2 實(shí)驗(yàn)結(jié)果及分析46-52
• 3.6 本章小結(jié)52-53
• 第四章 比特流未知協(xié)議特征字段識(shí)別研究53-70
• 4.1 協(xié)議消息數(shù)據(jù)幀中固定特征識(shí)別PMFFI算法54-57
• 4.2 零知識(shí)下未知協(xié)議地址字段識(shí)別PMAD算法57-65
• 4.3 零知識(shí)下未知協(xié)議消息格式的推斷PMF-FSM算法65-69
• 4.4 本章小結(jié)69-70
• 第五章 基于零知識(shí)的比特流協(xié)議識(shí)別分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)70-84
• 5.1 系統(tǒng)的體系結(jié)構(gòu)70-72
• 5.1.1 引言70
• 5.1.2 開發(fā)環(huán)境配置70-71
• 5.1.3 系統(tǒng)框架設(shè)計(jì)71-72
• 5.2 模塊設(shè)計(jì)與實(shí)現(xiàn)72-77
• 5.2.1 數(shù)據(jù)采集模塊72-74
• 5.2.2 協(xié)議識(shí)別模塊74-75
• 5.2.3 協(xié)議消息類型識(shí)別模塊75
• 5.2.4 協(xié)議通信地址探測模塊75-77
• 5.3 比特流協(xié)議識(shí)別分析系統(tǒng)測試77-83
• 5.3.1 測試數(shù)據(jù)集77
• 5.3.2 系統(tǒng)模塊測試77-81
• 5.3.3 結(jié)果分析81-83
• 5.4 本章小結(jié)83-84
• 第六章 總結(jié)與展望84-86
• 6.1 本文工作總結(jié)84-85
• 6.2 未來展望85-86
• 致謝86-87
• 參考文獻(xiàn)87-91
• 攻讀碩士學(xué)位期間取得的成果91-92

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前10條

1 劉淵;張春瑞;孟凡治;李桐;岳e，

本文編號(hào)：684567