基于载荷特征的加密流量快速识别方法

针对加密流量难以识别的问题,提出一种快速的网络流量识别方法。该方法无需对数据包载荷进行深入分析,使用256维向量描述数据包负载中256个ASCII字节发生的频率,根据载荷特征量化后的均值和方差进行数据特征提取,采用决策树算法对加密流量进行分类识别。实验结果表明,该方法可以对常见的加密网络流量进行准确识别,并能检测部分恶意攻击产生的流量。     

基于流量智能识别网络安全风险的技术研究

任何形式的信息传输都会面临信息丢失、攻击和窃取等风险，为此针对现阶段网络加密流量进行检测，以此实现对目标网络安全态势的感知。随着人们对网络信息安全防范意识的不断增强，HTTPS和VPN等加密形式开始逐渐应用到各种网络当中，这在一定程度上会破坏明文数据的数据格式和统计特点，导致一些恶意攻击流量可以通过防火墙的隔离危害用户网络。为此基于加密技术的加密协议随机性与网络上下报文等，研究并设计加密流量智能识别网络体系框架，提高对加密流量数据的深度检测能力，以期为加密流量的检测工作提供帮助。     

网络加密流量识别与分析技术研究

目前,越来越多的网络通信采用了流量加密技术,以Tor、SSL、VPN、Do H为代表的加密应用得到了广泛使用。但是加密流量的应用给网络安全防护和监管带来了难题,如何识别分析和还原网络加密流量成为网络空间安全领域的重要研究方向。目前,业界从加密流量分类、参数识别、恶意流量识别等多个方面开展了深入研究,取得了显著的研究成果。本文将介绍主流的流量加密技术,并从多个角度进行对比分析,介绍目前的加密流量识别分析技术、应用场景和研究方向,总结分析加密流量分析技术存在的不足和难点问题,最后对该领域下一步研究路线进行展望。     

基于趋势感知协议指纹的Skype加密流量识别算法

P2P技术极大地方便了互联网上的资源共享,在网络流量中比例最大且多以加密形式出现,但存在带宽消耗大、分享内容缺乏监管等弊端。准确快速识别基于P2P架构的Skype加密流量,对于提高网络服务质量、优化网络带宽分配、加强安全管控有着重要意义。在分析Skype信令交互和内容传输阶段流量统计特征的基础上,提出一种基于趋势感知协议指纹的Skype加密流量识别算法。通过定义趋势感知加权函数,真实反映了流量特征的变化趋势;利用异常相似度,对Skype加密流量进行实时检测。实验结果表明,该方法的精确度和实时性均优于经典的协议指纹算法和C4.5等最新的加密流量识别方法。     

互联网加密流量检测、分类与识别研究综述

互联网流量分析是网络管理与安全的核心途径,传统基于明文的分析方法在加密流量大势所趋的环境下已基本失效.虽有部分针对加密流量的分析方法,但其忽略了不同加密流量分析目标需求内在的逻辑性与层次性,并缺乏对加密流量本质特征的研究,难以系统化地解决加密流量分析的难题.本文首先面向网络管理与安全监管的实际需求,将互联网加密流量分析按照目标需求划分为检测、分类、识别三个阶段,并描述其目标与方法上的差异;接着基于现有研究成果,分别对现有检测、分类、识别方法从多个粒度、角度进行划分,系统性地归纳与比较现有研究的优缺点;最后,本文基于目前研究,结合未来互联网网络环境发展趋势和加密流量概念漂移的实际问题,从加密流量样本数据集完善、复杂新型网络协议下的加密流量分类与识别、基于应用层特征的加密流量分类与识别、多点协同分布式加密流量分类与识别四个方面分析与展望了未来互联网加密流量检测、分类与识别中可能的研究方向.     

基于混合方法的IPSec VPN加密流量识别

文中提出了一种混合方法,将指纹识别与机器学习方法相结合,实现了IPSec VPN加密流量的识别。该方法首先基于负载特征从网络流量中筛选出IPSec VPN流量;接着,基于时间相关的流特征,利用随机森林算法建立了IPSec VPN流量分类模型,通过参数优化以及特征选择,整体流量识别的准确率达到了93%。实验结果验证了通过流特征提取的机器学习方法识别IPSec VPN流量的可行性;同时表明了该方法能够有效均衡识别精度与识别速度,达到了高效识别IPSec VPN加密流量的效果。     

基于MSE协议特征的BT加密流量识别方法

P2P（Peer-to-Peer）系统在文件共享、协同计算、流媒体等领域获得了广泛应用。随着P2P技术的发展,越来越多的P2P应用对数据进行加密传输,加大了对其流量的识别难度。通过对MSE（Message Stream Encryption）协议特征的分析,提出了还原MSE协议消息流,实现BT（BitTorrent）加密流量识别的方法。修改了开源BT客户端Vuze,利用其收集的真实BT流量信息来检验本方法,结果表明该方法与现有的DPI（deep packet inspection）技术结合,对网络中BT流量进行识别,具有较高的召回率和准确率,同时保持了较低的误报率。     

流量分析系统TAS的设计实现

留量分析系统可以应用于网管,也可以作为入侵检测系统的一部分。提出了一种可扩展的流量分析系统,可以使用各种插件来处理报文,以统计流量和检测入侵。PCAP采集端捕获报文后,交处理端分析。该处理端使用加权流量对主机列表进行排序,根据二八原则来减少内存的消耗。然后利用各种插件对报文、处理端结果进一步进行分析。在插件部分,介绍了插件的结构和数据导出插件的原理,该导出插件基于RRD。     

GBDT与LR融合模型在加密流量识别中的应用

随着网络应用服务类型的多样化以及网络流量加密技术的不断发展,加密流量识别已经成为网络安全领域的一个重大挑战。传统的流量识别技术如深度包检测无法有效地识别加密流量,而基于机器学习理论的加密流量识别技术则表现出很好的效果。因此,本文提出一种融合梯度提升决策树算法(GBDT)与逻辑回归(LR)算法的加密流量分类模型,使用贝叶斯优化(BO)算法进行超参数调整,利用与时间相关的流特征对普通加密流量与VPN加密流量进行识别,实现了整体高于90%的流量识别准确度,与其他常用分类模型相比拥有更好的识别效果。     

TLS协议恶意加密流量识别研究综述

随着5G时代的来临,以及公众对互联网的认识日益加深,公众对个人隐私的保护也越来越重视。由于数据加密过程中存在着恶意通信,为确保数据安全,维护社会国家利益,加密流量识别的研究工作尤为重要。针对TLS流量详细的阐述,分析了早期识别方法的改进技术,包括常见的流量检测技术、DPI检测技术、代理技术以及证书检测技术。介绍了选取不同TLS加密流量特征的机器学习模型,以及无需特征选择的深度学习模型等诸多最新研究成果。对相关研究工作的不足进行总结,并对未来技术的研究工作和发展趋势进行了展望。     

结合多特征识别的恶意加密流量检测方法

随着加密流量的广泛使用,越来越多恶意软件也利用加密流量来传输恶意信息,由于其传输内容不可见,传统的基于深度包分析的检测方法带来精度下降和实时性不足等问题.本文通过分析恶意加密流量和正常流量的会话和协议,提出了一种结合多特征的恶意加密流量检测方法,该方法提取了加密流量会话的包长与时间马尔科夫链、包长与时间分布及包长与时间...     

基于大小突发块划分的微信支付行为识别模型

针对微信红包与转账功能被用于红包赌博、非法交易等违法活动,且现有的研究工作难以识别微信中收发红包与转账行为的具体次数,以及存在低识别率和高资源消耗的问题,提出了一种划分大、小流量突发块的方法来提取流量特征,从而对收发红包与转账行为进行有效识别。首先,利用收发红包与转账行为流量的突发性,设定大突发时间阈值将这类行为的流量突发块分隔开;然后,针对收发红包与转账行为由多次连续的用户操作组成的特性,设定小突发阈值将流量块进一步细化为小突发块;最后,综合大突发块中各个小突发块的特征,得到最终的特征。实验结果显示,该方法在时间效率、空间占用率、识别准确率、算法普适性等方面普遍优于微信支付行为识别方面的现有研究,平均准确率最高可达97.58%。真实场景的测试结果表明,所提出的方法基本能准确识别出一段时间内用户收发红包与转账行为的次数。     

基于多跳LEACH防御流量分析攻击算法研究

针对流量分析中三类常见攻击方式,即速率监控攻击、时间相关性攻击与ID分析攻击,对多跳LEACH无线传感器网络构成的威胁,提出了基于多跳LEACH路由协议的分布式位置隐私算法（Distributed Location Privacy Algorithm,DL-PA）与匿名通信算法（PseudonymsCommunicationAlgorithm,PCA）。DLPA将“路径多样化”与“伪装包注入”相融合,PCA通过动态产生的假名片隐藏所有参与通信节点的真实ID。仿真结果表明,该算法实现了数据包传输路径的多样化,隐藏了节点ID与网络流量模式,能够抵御流量分析攻击,保护基站位置隐私。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

流量调节防火墙的设计与实现

论述了防火墙技术可以对进出网络的数据进行控制,有效地对内部网络实施保护,而流量调节技术通过按优先级发送不同类别的信息量,达到改善网络服务质量的目的,文中将两种技术相结合,构建了某企业ＣＡＤ网络的防火墙ＷＱ－Ｆｉｒｅｗａｌｌ的安全系统,以求在获得安全的同时提高网络性能,在Ｌｉｎｕｘ系统上实现了加权优先级队列的防火墙,在对ＩＰ包进行过滤的同时,根据其ＩＰ地址、ＴＣＰ端口协议类型等信息,为它们分配了不同     

一种混合式BitTorrent流量检测方法

P2P流量已经成为互联网流量的主要部分,消耗大量的带宽,影响了服务质量,准确并实时检测出P2P流量有助于对P2P应用的监管,并研究其行为和发展。针对P2P流量中比例最大的BT流量,提出了一种混合式的检测方法。该方法由三个子方法构成,分别针对BT流量中的明文流、密文流和信令流进行检测,并预知即将发生的BT流量。实验结果表明,该方法的召回率、准确率和实时性,均优于目前实时性最好的几种机器学习方法。     

一种新型P2P流媒体协议及其流量模型研究

针对FlashP2P技术,对其RTMFP协议进行了深入分析,提出了一种基于RTMFP包检测的FlashP2P流量识别算法,并采用该算法对国内主流视频网站的FlashP2P流进行了有效的识别。在此基础上,对FlashP2P流量特征进行分析并证明其具有自相似性。最后,提出了一种基于ARIMA模型的经验模式分解预测自相似网络流量的方法,而且进行了仿真验证。结果表明,该模型不仅降低了算法的复杂度,并且对短期预测精度较高。     

基于隐马尔可夫模型的加密恶意流量检测

近年来,随着网络加密技术的普及,使用网络加密技术的恶意攻击事件也在逐年增长,依赖于数据包内容的传统检测方法如今已经无法有效地应对隐藏在加密流量中的恶意软件攻击.为了能够应对不同协议下的加密恶意流量检测,提出了基于ProfileHMM的加密恶意流量检测算法.该方法利用生物信息学上的基因序列比对分析,通过匹配关键基因子序列,实现识别加密攻击流量的能力.通过使用开源数据集在不同条件下进行实验,结果表明了算法的有效性.此外,设计了两种规避检测的方法,通过实验验证了算法具有较好的抗规避检测的能力.与已有研究相比,该工作具有应用场景广泛以及检测准确率较高的特点,为基于加密流量的恶意软件检测研究领域提供了一种较为有效的解决方案.     

一种无线Ad Hoc网络动态混淆匿名算法

无线Ad Hoc网络的特殊性决定了它要受到多种网络攻击的威胁,现有的加密和鉴别机制无法解决流量分析攻击.在比较了抗流量分析的匿名技术基础上,提出混淆技术可以满足无线Ad Hoc网络的匿名需求,但现有的混淆算法在Ad Hoc网络下却存在安全与效率的问题.提出了一种动态混淆的RM(pseudo-random mix)算法,该算法主要对混淆器的管理部分进行重新设计. RM算法根据混淆缓冲区的情况进行决策,当缓冲区未满时采用时延转发方式,缓冲区满后采用随机数转发方式,这样既保证了无线Ad Hoc节点的匿名性,同时又解决了停等算法的丢包现象.对RM算法的安全性和效率进行了分析,仿真结果与理论分析相一致,表明RM算法在无线Ad Hoc网络下具有较好的自适应性和实用价值.