面向比特流的未知协议识别与分析技术综述

在日益严峻的网络安全形势下,为确保信息的安全性,大量的网络应用开始采用未知的私有协议进行数据传输,尤其是在军事对抗中的战场无线通信网络下,通信所采用的协议不仅未知,还有可能被加密。要从截获的通信比特流中提取可用信息并加以利用,推断出以比特流形式存在的未知协议的报文格式是首要前提。首先从整体上介绍了现有面向比特流的协议识别研究领域所涉及的主要内容,重点分析了现有未知协议格式推断方法,包括频繁模式挖掘、关联规则挖掘、比特流帧切分以及协议格式推断,最后总结其优缺点及下一步研究方向。     

面向比特流数据的未知协议关联分析与识别

针对移动无线网络比特流数据特征,提出了一种基于关联规则识别特定环境下未知协议的方法。该方法改进了传统协议识别技术,如通过端口号、协议已知固定特征等,避免了传统技术存在的局限性。通过截获无线环境中传输的比特流数据,利用机器学习机制,提取特征信息,挖掘关联规则来识别和标志未知协议,标志协议指纹信息,实现特定环境下未知协议的发现与分析识别。最后在两种协议上对提出的方法进行了评估,协议的平均识别率高于99%,而平均的错误识别率低于0.6%。     

零知识下的比特流未知协议分类模型

针对在零知识下识别比特流未知协议这一问题,提出了一种协议分类模型。该模型首先利用二进制流的固有特性来计算协议种类个数近似值K和初始聚类中心,然后使用改进的K-Means聚类算法指定K及初始聚类中心以进行聚类,最后使用基于信息熵的混杂度评价方法对聚类结果进行评价,可将评价结果较好的类簇作为一种协议类型进行标记,用于其他分析。使用林肯实验室发布的实验数据进行测试,结果表明该模型能以较高的准确率对未知协议进行分类,基于信息熵的类簇评价方法也具有一定实用性。     

基于译码表的字符预处理技术及其在协议识别中的应用

本文提出一种利用FPGA内部存储器构造译码表实现字符预处理来简化模式匹配电路的方法,并将其应用于高速链路的应用层协议识别。该方法利用共享的译码表对正则表达式的文字进行预译码,并将常见的应用层协议模式映射成简化的逻辑电路,再将电路并行化,从而用较少的硬件资源来达到最大的吞吐量,为当今高速主干链路的流管理提供了一种可行的解决方案。     

面向CCSDS协议的未知协议逆向工程

空间数据系统咨询委员会(CCSDS)标准协议是国际主流的空间天地链路通信协议,面向CCSDS协议的未知协议逆向工程,可以对卫星天地链路中的未知通信流进行行为分析,也有助于发现和分析针对空间站等国际联网实体的攻击。设计了一种CCSDS协议框架下的未知协议逆向工程分析系统,主要包括系统的架构设计和流程设计。针对该流程中未知协议会话报文字段的迭代式进化树聚类所导致的算法开销过大问题,提出了一种基于反馈型动态豫迟因子的仿射传播聚类算法。仿真实验结果表明,该算法相比通常的非权算术平均聚类算法可以有效提高针对未知协议的逆向工程效率。     

面向CCSDS协议的未知协议逆向工程

空间数据系统咨询委员会(CCSDS)标准协议是国际主流的空间天地链路通信协议,面向CCSDS协议的未知协议逆向工程,可以对卫星天地链路中的未知通信流进行行为分析,也有助于发现和分析针对空间站等国际联网实体的攻击。设计了一种CCSDS协议框架下的未知协议逆向工程分析系统,主要包括系统的架构设计和流程设计。针对该流程中未知协议会话报文字段的迭代式进化树聚类所导致的算法开销过大问题,提出了一种基于反馈型动态豫迟因子的仿射传播聚类算法。仿真实验结果表明,该算法相比通常的非权算术平均聚类算法可以有效提高针对未知协议的逆向工程效率。     

基于比特流的虹膜特征数据的隐藏算法

对生物特征数据的攻击是生物特征识别自身安全的主要威胁。为了提高虹膜特征数据的安全性,根据现有主要的虹膜识别方法中特征模板的数据特性和基于汉明距的比对方法,提出一种基于比特流的将虹膜特征模板数据嵌入人脸图像的数据隐藏算法。实验结果表明,该算法具有较强的隐蔽性,隐藏算法本身误码率为零,计算效率高,不会影响虹膜识别技术本身的性能,能够有效保护特征模板数据,增强虹膜识别系统自身的安全性。     

一种FPGA上防重放攻击的远程比特流更新协议的分析改进

Devic等提出的防重放攻击的远程比特流更新协议在密钥分发、密钥更新和存储方面具有较低的效率。 提出了一种改进协议 ,它利用密钥链取得请求密钥和确认密钥。改进协议可有效提高密钥管理的效率,降低协议参与方的存储负担。分析表明,改进协议满足机密性和完整性,且能够防止重放攻击。     

高速短波自适应数据通信协议的设计

给出改进型的半双工选择式ARQ协议。为减少短波交织RTT时间过长带来的效率影响,提出了数据发送与接收采用不同的交织模式。针对短波信道的时变特性,给出了交织模式与一次发送数据帧的帧数自适应调整方法。新协议的传输效率分析表明在信道质量发生变化或者信道质量恒定的情况下,传输效率有明显的提高。     

一个应用于短波通信的差错控制协议—动态滑动窗口协议

1.引言在短波信道上通信,人们普遍采用的差错控制协议为自动回询纠错(Automatic Repeat reQuest)协议,简称ARQ协议。ARQ是通过应答和超时实现的一类协议。传统的ARQ分为停等协议和滑动窗口协议两种。在具体应用时,人们通常根据两种协议的链路利用率、所需的缓冲区资源和通信方式(半双工还是双工)来决定选择何种协议。停等协议中发送方发送一个数据帧以后停下来,等应答帧到来后,发下一数据帧,否则重发该数据帧。滑动窗口协议     

基于AC算法的比特流频繁序列挖掘

为解决比特流频繁序列挖掘效率不高以及易受用户数据影响而导致准确率低的问题,首先从理论上论证了短频繁序列挖掘存在的局限性,根据不同长度的频繁序列挖掘时存在的特点,将其分为长频繁序列与短频繁序列,提出比特流协议头部字段定位算法;基于AC多模式匹配算法分别针对长、短频繁序列挖掘的不同特点,提出了相应的挖掘方法,提高了挖掘结果的准确性。最后通过实验验证了所提算法的有效性。     

数据流模式依赖挖掘及应用

针对数据流间“模式依赖”问题,给出了一种模式依赖挖掘算法,该算法包括：挖掘前时间序列分段和模式表示,条件规则元组的创建和维护,模式依赖的置信度和支持度计算,2个或N个数据流概要结构的设计等。股票数据实验和实际系统表明,该挖掘方法能够有效地发现数据流间的模式依赖,可用于预测。     

基于游程检测与快速傅里叶变换的加密比特流识别

为获得链路层中的加密与未加密比特流样本,首先提出了基于游程检测方法的链路层加密比特流识别方案,解决了未知网络环境下的加密与未加密比特流样本获取问题.同时,采用快速傅里叶变换分别对加密与未加密比特流样本进行处理,根据最大差异原则确定了快速傅里叶变换结果的特征点位置,并基于正态分布原理确定了特征点的取值,建立了特征模板.最后,以某无线网络链路层加密比特流为识别对象,对提出的方案的有效性进行了验证.结果表明,该方案对链路层加密与未加密比特流的识别率均可达到95％以上.     

基于数据挖掘的协议分析检测模型

针对现有入侵检测系统的不足,根据入侵和正常访问模式的网络数据表现形式的不同以及特定数据分组的出现规律,提出按协议分层的入侵检测模型,并在各个协议层运用不同的数据挖掘方法抽取入侵特征,以达到提高建模的准确性、检测速度和克服人工提取入侵特征的主观性的目的。其中运用的数据挖掘算法主要有关联挖掘、序列挖掘、分类算法和聚类算法。     

基于显露模式的数据流贝叶斯分类算法

基于模式的贝叶斯分类模型是解决数据挖掘领域分类问题的一种有效方法.然而,大多数基于模式的贝叶斯分类器只考虑模式在目标类数据集中的支持度,而忽略了模式在对立类数据集合中的支持度.此外,对于高速动态变化的无限数据流环境,在静态数据集下的基于模式的贝叶斯分类器就不能适用.为了解决这些问题,提出了基于显露模式的数据流贝叶斯分类模型EPDS（Bayesian classifier algorithm based on emerging pattern for data stream）.该模型使用一个简单的混合森林结构来维护内存中事务的项集,并采用一种快速的模式抽取机制来提高算法速度.EPDS采用半懒惰式学习策略持续更新显露模式,并为待分类事务在每个类下建立局部分类模型.大量实验结果表明,该算法比其他数据流分类模型有较高的准确度.     

数据流挖掘技术研究

在当今的网络监控、电信数据管理、传感器数据监控等应用中，数据采取的是多维的、连续的、快速的、随时间变化的流式数据的形式，对数据的访问也是多次和连续的，并要求即时的响应。数据流独特的特点，对传统数据的处理方法带来很大的挑战。数据流应用的出现，带动了相关技术的研究，其中包括数据流挖掘的研究。文中介绍了数据流的基本概念，讨论了数据流挖掘的研究现状及相关技术，包括数据流的介绍、流行的数据流处理技术和数据挖掘中的相关算法。     

数据流中一种快速启发式频繁模式挖掘方法

在现有的数据流频繁模式挖掘算法中,批处理方法平均处理时间短,但需要积攒足够的数据,使得其实时性差且查询粒度粗;而启发式方法可以直接处理数据流,但处理速度慢.提出一种改进的字典树结构--IL-TREE(improved lexicographic tree),并在其基础上提出一种新的启发式算法FPIL-Stream(frequent pattem mining based on improved lexicographic tree),在更新模式和生成新模式的过程中,可以快速定位历史模式.算法结合了倾斜窗口策略,可以详细记录历史信息.该算法在及时处理数据流的前提下,也降低了数据的平均处理时间,并且提供了更细的查询粒度.     

基于前导码挖掘的未知协议帧切分算法

针对未知协议帧切分技术存在的效率较低的问题,提出基于前导码挖掘的未知协议帧切分技术。首先介绍前导码作为标识链路帧起始位置的原理,分析候选序列选取问题是现有频繁序列挖掘方法无法对长度较长的前导码进行挖掘的原因,并针对该原因以及前导码挖掘的特点提出从目标比特流中发现候选序列、基于候选序列集合大小变化特征的候选序列选取等改进方法;然后提出未知前导码长度的判定与挖掘方法,从挖掘的众多频繁序列中找出前导码序列,进而对帧进行切分;最后通过采集的真实数据对所提方法的有效性进行了验证。实验结果表明,所提方法能够快速准确地挖掘未知协议比特流中的前导码序列,相比现有方法降低了空间与时间复杂度。