基于多级CBF的长流识别

针对高速网络流量难测量的问题及长流占网络流量大部分的特点,提出一种基于多级CBF的长流识别算法,对报文进行抽样,将抽取的报文通过经过一系列哈希映射到长流信息表中,查找是否存在该流信息,若存在则更新流信息,若不存在则将该报文用多级CBF结构对流信息进行过滤,报文数达到阈值的流被识别为长流,并在长流信息表中创建和维护该长流的信息.该算法在很大程度上减少了短流因为哈希冲突而被误判为长流的概率,降低了资源开销,对指定报文数为阈值的长流识别具有很好的扩展性.     

利用报文抽样和二次哈希方法实现长流识别

识别长流对于网络操作和网络管理有着重要的意义。本文给出了利用报文抽样和二次哈希方法识别长流的算法。使用二次哈希的方法，极大的减少了哈希过程中的冲突。实验结果表明，该算法可以精确地获得长流的标识，并通过估计的方法得出的长度信息接近其真实值。     

一种短流优先的公平带宽分配机制

提出一种短流优先的公平带宽分配机制FPIP(fair PIP).通过区别处理短流和长流的报文,FPIP能够将带宽优先分配给短流,然后将剩余的带宽在长流之间公平分配.此外,FPIP采用主动队列管理机制AQM(active queue management)检测拥塞并控制队列长度.仿真结果表明,FPIP在保证公平性、控制队列长度、减小Web流的响应时间等方面具有良好的性能.     

基于抽样和Bloom Filters的长流检测

长流检测对网络检测和管理有着重要的意义.提出一种基于抽样和Bloom Filters的长流检测算法,首先对报文进行抽样,然后通过Bloom Filters哈希运算,在内存中用临时表和流信息表来判断到达阈值的流并维护其信息,满足了高速网络环境下长流检测的要求,在保证测量精度的同时有效得控制了资源消耗.实验分析表明,和已有的方法相比,具有简单易行、资源可控等优点.     

利用报文抽样和可逆的Bloom Filter实现长流识别

针对高速网络的发展和利用哈希技术在识别长流时难以还原主机信息的问题,提出了利用报文抽样和可逆的Bloom Filter识别长流的算法.采用带有部分主机信息的哈希函数,利用哈希串的重叠和数量上的一致性,能够很方便的还原出主机的信息.给每个哈希函数独立的存储空间,在很大程度上减少了哈希过程所带来的内部冲突.实验结果表明,这种算法可以精确地获得长流的标识与长度信息.     

基于Sample-CBF技术的长流识别实现

根据网络上的流统计呈现很强的重尾分布的特性，该文提出了使用周期抽样和counting bloom filter(CBF)技术相结合的方法，即Sample-CBF方法来实现长流识别，并根据抽样策略的不同，将其具体化为两种方法：PSample-CBF方法和FSample-CBF方法。理论分析和仿真结果表明，在存在可容忍流长度测量误差的条件下，两种方法都可以准确识别长流，有效地减少存储空间和提高处理速度。     

一种高效率的大流提取方法

随着网络带宽的不断提高,在线识别大流对于拥塞控制、异常检测等网络应用具有重要意义.提出了一种提取大流的算法FEFS(flow extracting with frequency&size),能够通过在线识别和淘汰小流,把大流信息保存在有限的高速存储空间中,从而快速提取大流.该算法利用LRU (least recently used)定位更新频率低的流,并进一步用流尺寸因子s和自适应调节因子M标记其中相对较小的流,最后用新到达的流将其替换.FEFS把LRU策略和尺寸因子s相结合,同时考虑了流的近期更新频率和累积报文数量,因此能够准确在线识别大流.LRU策略和尺寸因子都利用了流大小的重尾分布特征,因此FEFS能以很低的存储代价保存和更新大流信息.模拟实验表明,在限定存储条件下,FEFS的平均相对误差率明显低于经典的multi-stage filter算法,而平均报文处理时间也短于multi-stage filter算法.     

基于DPI的应用指纹自动提取方法研究

基于DPI的流量识别方法,通过匹配应用流量报文独有的特征字符串来识别移动应用程序产生的流量,具有较好的识别效果,但特征字符串需要人为提取。对此,提出一种通过全面观察移动应用程序产生的流量报文以自动学习移动应用指纹的方法。实验结果表明,该方法用于移动网络流量识别时的应用覆盖率可达83.3%,流覆盖率、字节覆盖率均可达较高水平。     

基于行为模型的IP Forwarding异常检测方法

通过研究网络流动态特征，基于路由变化、流变化和包延迟，以及IP报文头信息（例如TTL、源/目的地址、报文长度和路由器时间戳）建立网络行为模型，通过高性能测量和在线分析网络流和路由信息对初始网络异常产生实时报警，实现了IP forwarding网络异常的有效检测和识别。定义了网络行为模型的五种功能模块，通过关联空间和时间状态信息检测识别网络异常为大范围监测网络提供强大支持。     

基于行为特征加权的P2P流识别方法的研究

为识别网络中大量的P2P流,为网络管理提供技术支持,提出一种基于行为特征加权的P2P流识别模型.该方法不需深度报文检测(DPI),采用深度流行为检测(DFI),统计P2P应用的行为特征,并通过行为特征对P2P流识别的有效性的贡献进行分级,特征按所属级别被赋予不同的权值,通过特征匹配和加权;识别P2P流.仿真实验结果表明,该方法能够有效识别P2P业务流.     

一种基于粒子群的流识别

当今的网络黑客对网络的攻击十分频繁,因此日常的网络流量中常常夹杂着某些恶意流,这些流是由黑客发送的报文。为了有效应对来自网络的各种攻击,安全技术的研究人员必须对网络中的各种流进行识别。当今对流的识别算法是多种多样的,粒子群算法是一种智能性属性匹配算法。该算法已在多个领域进行应用,因此本文结合已有的网络技术和已有的网络知识,提出了一种基于粒子群的流识别算法。     

基于TCBF算法的网络流信息统计

针对传统的网络流信息统计算法容易溢出、频繁更新等特点,提出一种基于TCBF(time bloom filter & counting bloom filter)的网络流信息统计算法用于实时在线统计高速网络流信息.算法一方面利用短流超时特点使用time bloom filter抽取短流信息;另一方面利用网络流量分布呈现重尾分布的特性使用counting bloom filter 过滤长流报文.分析了算法的复杂度和误判率,并通过模拟数据分析了算法参数配置对于流信息统计准确性和抽样率的影响.理论分析和仿真结果表明,与标准counting bloom filter相比,TCBF算法可以在使用较少的存储空间的条件下,及时、准确地对网络流量信息进行统计,满足实际测量需要.     

应用于高速网络的基于报文采样和应用签名的BitTorrent流量识别算法

在高速网络上进行P2P流量识别具有极大的困难,因为基于端口号的方法已经不再准确,而基于应用签名的方法没有足够高的处理效率.提出了应用于高速网络的基于报文采样和应用签名的BitTorrent流量识别算法.建立了误检率和漏检率模型来分析报文采样率和签名率对识别准确度的作用,并指导应用签名和采样率的选择.通过开发流状态判别预处理器,在Snort平台上实现了该流量识别算法.实验结果表明该流量识别算法处理效率和准确度都是令人满意的,能应用于高速网络环境.在普通个人计算机上,对采样报文的处理效率在800Mbps以上.将该方法应用于报文处理,当采样率为0.5时漏检率为0.6%,当采样率为0.1时漏检率为5.9%,当采样率为0.05时漏检率为10.5%.将该方法应用于流数据分析,当采样率为0.5时漏检率为0.06%,当采样率为0.1时漏检率为0.33%,当采样率为0.05时漏检率为1.1%.该方法展现了优秀的误检性能,没有任何报文被误检.实验结果也表明误检率和漏检率模型是非常准确的.     

非标工业控制协议格式逆向方法研究

协议安全是工业控制系统信息安全中的一项重要内容,非标协议格式的正确识别是协议安全分析的基础。基于工控系统行业现状和工控协议的结构确定、传输重复、语义有限的特性,提出了基于网络流量的非标准工控协议逆向识别方法,通过单报文处理进行初步分词聚类,多报文处理进行报文序列比对,关键字段推断语义,最终得到协议格式。验证结果表明,该方法能较好地识别非标工控协议格式。     

基于离散序列报文的协议格式特征自动提取算法

针对缺少会话信息的离散序列报文,提出一种基于离散序列报文的协议格式（SPMbFSC）特征自动提取算法。SPMbFSC在对离散序列报文进行聚类的基础上,通过改进的频繁模式挖掘算法提取出协议关键字,进一步对协议关键字进行选择,筛选出协议格式特征。仿真结果表明,SPMbFSC在以单个报文为颗粒度的识别中对FTP、HTTP等六种协议的识别率均能达到95%以上,在以会话为颗粒度的识别中识别率可达90%。同等实验条件下性能优于自适应特征（AdapSig）提取方法。实验结果表明SPMbFSC不依赖会话数据的完整性,更符合实际应用中由于接收条件限制导致会话信息不完整的情形。     

IP报文应用层分类及其QoS的研究

随着网络流量日益剧增,网络QoS问题愈发重要,QoS要求网络设备能够根据报文业务类型进行区别处理,如保证语音、限制P2P等.为此,设计了高效宽适应性报文协议识别系统,分析报文的业务类型,在QoS处理中增加关于应用协议的匹配规则,可与通用的QoS类-策略-动作机制相结合实现基于业务的QoS.并总结了协议识别常用方法和系统运行设计中的常见问题.     

加密MANET端到端流的推断与识别研究

根据数据流的帧发送时序特性, 提出一种基于时序匹配和关联分析的端到端流推断算法。采用时序匹配、关联分析、流追踪与回溯等机制, 分析与追踪探测区域内的所有端到端流。该算法能够在无须解密报文的前提下进行流量分析, 推断出端到端流的源、目的节点、流路径、流开始时间和流持续时长等信息。仿真实验表明, 算法可以有效识别网络中的端到端流。     

基于流特征的数据中心非对称流负载均衡方法

数据中心边界广泛部署的地址转换技术产生的非对称流为负载均衡系统的设计带来了挑战.为了解决软件负载均衡系统不能充分发挥多核处理器和网卡硬件能力的问题,提出一种基于流特征的非对称流负载均衡方法.首先,分析网卡的数据包散列机制,提出数据包调度算法,将数据包调度至预期的CPU核;然后,基于会话报文序列的时间与空间特征,构建大象流识别算法;最后,基于识别结果,提出负载均衡方法.实验结果表明,非对称流负载均衡方法可以正确处理非对称流的负载均衡,平均吞吐率提升约14.5%.     

VoIP压缩码流说话人识别研究

研究基于微聚类算法的VoIP压缩码流说话人识别算法。给出直接从G．729,G．723．1（6.3Kb／s）,G．723．1（5．3Kb／s）压缩语音的码流中提取识别参数,以微聚类算法作为识别结构的说话人识别算法。实验结果表明,对比在压缩码流中使用同样识别参数的GMM模型,微聚类算法在识别正确率和效率上都有很大的提高。     

基于知识辅助和OOOI报文的飞机航段识别系统

针对航班多航段运行的实际过程中,由于人为因素、设备故障等原因导致OOOI报文异常的情况,提出一种基于知识辅助和OOOI报文的飞机航段识别方法.该方法借助专家系统的设计思路,选定报文的关键参数作为航段推理的事实依据,以机载燃油油量、预计到达时间和位置报等作为辅助知识,利用规则表示法整理了一套基于知识辅助和OOOI报文的航段识别逻辑及知识库.以真实报文为例,分析报文漏发的情况并进行航段识别.结果表明,利用航段改变、航段不变、报文无效和航段撤销等判别结果,该系统可有效地实现飞机航段识别.