差分隐私保护的Android应用流量行为混淆方法

针对Android用户在终端传输数据和发送信息所带来的网络应用行为暴露等问题,通过结合自定义流量混淆和差分隐私无关流量干扰两种方法的优势,能够在保证Android应用网络连接状态和数据传输内容不变的前提下,通过改变流量数据包的时序和数目特征,达到对指定用户应用行为特征的隐私保护。实验结果表明,选取Android典型应用流量并提取六种主要流量特征,对比混淆前后数据包特征,所提混淆方法能够有效地改变Android终端的应用流量,抵御支持向量机（Support Vector Machine,SVM）和BP（Back Propagation）神经网络算法的识别,准确率高达96.55%,最终实现对Android终端应用行为的保护。     

基于可控重连的Tor流量隐蔽

以往的Tor(The Onion Router)流量隐蔽方案(Pluggable Transports,PT)使用对通信数据的混淆或伪装等手段来躲避检测,但仍无法隐藏TCP连接层面的流量特征,如连接时长和数据包大小,应用机器学习等检测方法仍能识别出Tor流量。对此,提出面向Tor的可控重连算法,从连接层面开展了Tor流量隐蔽的研究工作,即对PT客户端与服务端之间的TCP通信进行定时断开和重连,实现对连接时长的精细控制,同时控制数据包的大小使之与正常流量分布接近。实验证明,在局域网环境下,该算法能以秒级精度控制连接时长,并生成大小符合正常流量分布的数据包,有助于提升Tor流量隐蔽的效果。     

尺度变换下Internet流量的Gamma特征

网络流量特征分析与研究对流量产生和流量工程具有重要意义.现有工作集中在特定尺度下考察分析.基于不同地点采集得到的流量集合,采用尺度变换的方法,以时间间隔与数据包个数作为尺度变换的对象,分析不同粒度下流量特征,发现网络流量在特定尺度范围之上满足Gamma分布的特征.且在传输层上表现有所不同,TCP流量在特定尺度范围之上满足Gamma分布,UDP流量则在任何尺度都无明确的统计分布特征.     

基于卷积神经网络的加密流量分类方法

针对传统加密网络流量分类方法准确率较低、泛用性不强、易侵犯隐私等问题,提出了一种基于卷积神经网络的加密流量分类方法,避免依赖原始流量数据,防止过度拟合特定应用程序的字节结构。针对网络流量的数据包大小和到达时间信息,设计了一种将原始流量转换为二维图片的方法,直方图中每个单元格代表到达相应时间间隔的具有相应大小数据包的数量,不依赖数据包有效载荷,避免了侵犯隐私;针对LeNet-5卷积神经网络模型进行了优化以提高分类精度,嵌入Inception模块进行多维特征提取并进行特征融合,使用1*1卷积来控制输出的特征维度;使用平均池化层和卷积层替代全连接层,提高计算速度且避免过拟合;使用对象检测任务中的滑动窗口方法,将每个网络单向流划分为大小相等的块,确保单个会话中训练集中的块和测试集中的块没有重叠,扩充了数据集样本。在ISCX数据集上的分类实验结果显示,针对应用流量分类任务,准确率达到了 95%以上。对比实验结果表明,训练集和测试集类型不同时,传统分类方法出现了显著的精度下降乃至失效,而所提方法的准确率依然达到了89.2%,证明了所提方法普适于加密流量与非加密流量。进行的所有实验均基于不平衡数据集,如果对数据集进行平衡化处理,准确率可能会进一步提高。     

基于改进的NetFPGA的网络流量控制系统研究

OpenFlow是一种软件定义网络的解决方案,而现有的OpenFlow并没有考虑网络中不同连接的优先级。针对该方法的不足,基于开源的NetFPGA平台基础上,提出并设计了一种带优先级网络流量控制系统。系统通过报头解析器对数据包的优先级进行识别;在数据包处理模块中,将不同优先级别的数据包分配到不同的队列中,并通过令牌对队列进行管理;通过NOX控制器设置数据流的优先权和速率。由于加入了带优先级的流量处理模块,可以在满足整个网络流量约束的情况下对具有高优先级的连接数据优先处理;通过TCP和UDP两种连接环境下的实验验证了系统的有效性是具有一定的实际应用价值。     

TCP有限状态机和协议解析在伪警报去除中的应用

面对入侵检测系统(IDS)产生的海量警报,提出了一种基于协议解析和传输控制协议(TCP)有限状态机的伪警报去除方法。对于无连接的请求/应答协议,同时分析请求数据包的攻击特征和应答数据包的返回状态码来去除伪警报;对于TCP,在协议分析的基础上建立TCP数据包的有限状态机的模型,通过判断系列数据包是否为同一TCP连接、是否包含攻击序列来去除伪警报。在DARPA2000的数据集上的实验结果表明,此方法的误警率平均降低了59.47%,对TCP和请求/应答协议的警报的识别率达到76.67%。该方法简单又有效,依赖IDS的攻击特征库,可以插件的形式在线实现。     

基于TCP三次握手特性的高效连接管理方法

为提升高速网络环境下的数据包处理与分析性能,基于传输控制协议（TCP）的三次握手特性,提出一种高效的连接管理方法,即待建连接缓冲法（ECB）。在分析IP网络中TCP连接建立过程特点的基础上,将待建连接从整个连接表中分离出来以单独进行缓冲,对数据包进行分类,给出每类数据包的连接管理实现流程。借助实际高速网络的流量样本,对ECB连接管理法进行性能评估,实验结果表明,ECB的查找性能比传统的单连接表管理方法提高近50％以上。     

基于特征分布分析的网络流量监测系统

多数现有网络流量监测系统只关注流量大小,没有分析流量内部信息。该文利用熵来衡量源IP地址、目的IP地址、目的端口等流量特征参数的分布变化,从特征分布的角度对网络流量进行分析。采用该方法实现一个流量监测系统,实验结果证明,该系统具有较高检测率和较低误报率。     

基于特征分组聚类的异常入侵检测系统研究

利用网络连接数据可以按照连接的基本特征、内容特征、网络流量特征和主机流量特征进行分组的特点,基于K-means算法,提出一种按照特征分组进行聚类的方法,以高效实现特征约简和数据降维.通过调整聚类参数保留特征分组内的差异信息,使用决策树C4.5算法对降维后的数据进行入侵分类处理.实验结果表明,该方法能够使kddcup99数据集的聚类特征数由41个降为4个,且对网络连接数据的总检测率为99.73%,误检率为0,其中正常网络连接和刺探攻击Probe的检测率均为100%.     

基于Netfilter内核态网络流量分析研究

网络流量采集与分析是网络流量测量的核心技术.本文基于Linux平台内核空间下的Netfilter框架,提出并实现了内核级的流量采集和分析的方法,能对流经局域网内的所有数据包进行监控,并且能对TCF连接进行了状态检测.实验证明,该方法高效可行.