微服务容器化部署的研究

由于对应用层信息的收集和识别能够实现更精确的性能分析和入侵检测,对提高网络安全性和性能具有重要意义,为此对SSH隧道下应用协议的识别进行了研究。首先,分析SSH协议以确定可以从连接建立阶段获得哪些信息。随后在流量监控基础架构所创建的扩展功能的基础上对所获取信息进行分析,获取SSH数据中所包含的应用层协议相关的信息。最后,在真实网络对SSH连接进行监测,并对监测结果进行分析。研究结果表明,通过对SSH流量数据的分析,可以识别包括端口、客户端软件在内等应用层协议,改进对暴力密码攻击等安全漏洞的检测。     

网络应用流分析与风险评估系统

针对网络中的各种应用服务的识别检测,采用应用层协议签名的流量识别技术和流量分组技术,实现网络应用流的分析和风险评估系统——TARAS,提出基于流量分组技术的应用流风险评估模型。该系统为网络资源分配和网络安全的预测提供有价值的依据。实验结果表明,TARAS系统具有良好的流量分析效率和风险评估准确性。     

基于载荷特征与统计特征的Shodan流量识别

针对Shodan扫描流量对工业控制系统产生的不安全问题,结合载荷特征与统计特征,构建一种将确定性有限自动机(DFA)与支持向量机(SVM)相结合的流量识别DFA-SVM模型。通过分析应用层的流量特征,以提取协议功能码序列作为载荷特征,并结合传统的流量统计特征对流量进行识别。采用VPS部署6个分布式蜜罐系统对处理后的32522个样本进行Shodan流量识别。实验结果表明,相比仅使用单一特征的模型,该模型可有效识别出27个Shodan扫描器IP,识别精度达到99.38%。     

城域网应用层流量预测模型

Internet流量是具有复杂非线性组合特征的季节性时间序列.目前国内外的网络流量预测研究主要集中在网络层和传输层,仅采用单一的ARMA(n,n-1)模型来描述网络的整体流量趋势,但该模型无法描述应用层流量的季节特性.因此提出基于应用层的流量预测分析模型,对国内某城域网出口链路上的应用层流量序列采用ARIMA季节乘积混合模型(P,d,q)(P,D,Q)s建模并预测.实验结果表明,在同一个城域网中不同的应用层流量表现出不同的行为特征,经ARIMA季节乘积混合模型(p,d,q)(P,D,Q)s预测的应用层流量趋势与实际曲线基本相似,平均绝对百分比误差在10%左右.     

基于Netfilter的流量检测与控制系统

P2P流量已成为互联网流量的重要组成部分,由于其占用大量带宽,严重影响了其他网络业务的运行,因此如何有效地检测和控制网络流量已成为目前面临的一个重要难题。基于Linux的Netfilter防火墙和连接跟踪机制,结合应用层协议识别工具L7-filter和流量控制器TC设计并实现了一个简单而高效的流量控制系统。该系统首先对数据包进行应用层协议识别并分类,然后对有限的网络带宽进行合理分配,实现流量控制。实验证明此系统能有效地检测和控制网络流量。     

面向服务的校园网流量监控系统设计与实现

大量桌面网络软件的应用,特别是P2P软件的广泛使用,使得校园网的应用层流量变得困难:大量带宽被非核心业务占用,而传统的基于端口和IP的流量管理难以满足要求,缺乏柔性.提出一个基于端口和特征串相结合的双层识别模型,实现了面向服务的应用层流量检测,从而进一步实现流量的控制.实验验证了系统具有良好的流量检测效率和控制性能.     

基于高斯混合模型的流量矩阵估算研究

针对源-目的流量估计解的不稳定性和求解方法的复杂性,提出一种基于高斯混合模型的流量矩阵估算算法,它充分利用高斯混合模型的物理意义,使数据聚类的次数减少,并利用Expectation-Maximization算法估算出模型的参数,提高求解的稳定性。实验结果证明了该方法的有效性。     

一种分布式并行服务器模型的性能分析与改进

设计一个分布式并行服务器,必需全面考虑网络层和应用层流量以及响应特性对性能的影响。分布式并行服务器模型（DPS）具有良好的响应特性和较强的服务能力,对它进行了全面的分析,重点研究了网络层流量对模型性能的影响,并且在理论分析和实验测试的基础上,将网络层流量和应用层流量按协议栈分布式处理,提出了改进的DPS模型。改进的DPS模型能够更好的处理网络层流量,有效地改善模型的性能。     

基于应用层签名的P2P流媒体流量识别*

通过对P2P流量识别技术现状的研究,提出了基于应用层签名的P2P流媒体流量识别方法。分析和提取了五种主流P2P流媒体平台的应用层签名特征,并通过实验验证了基于应用层签名的P2P流媒体流量识别方法的有效性。     

P2P流量识别技术综述

在归纳P2P流量识别问题概念的基础上,对现有的P2P流量识别技术进行了较全面地分析.借助分类模型形式化地定义P2P流量识别问题,依据所采用的识别特征将已有技术分为基于端口号、基于流量特征、基于应用层签名、基于双重特征和基于统计行为特征五类方法,并对各类方法进行了介绍、分析与优劣对比.探讨了新兴的P2P流媒体流量识别问题,总结了P2P流量识别技术的发展趋势.     

基于深度生成对抗网络的恶意TLS流量识别

恶意加密流量识别公开数据集中存在的类不平衡问题,严重影响着恶意流量预测的性能。本文提出使用深度生成对抗网络DGAN中的生成器和鉴别器,模拟真实数据集生成并扩展小样本数据,形成平衡数据集。此外,针对传统机器学习方法依赖人工特征提取导致分类准确度下降等问题,提出一种基于双向门控循环单元BiGRU与注意力机制相融合的恶意流量识别模型,由深度学习算法自动获取数据集不同时序的重要特征向量,进行恶意流量得识别。实验表明,与常用恶意流量识别算法相比,该模型在精度、召回率、F1等指标上都有较好的提升,能有效实现恶意加密流量的识别。     

互联网流量采集分析系统设计与实现

为解决复杂网络环境下的多链路数据采集、互联网数据分发、流量识别与分析、数据发布等问题,利用虚拟管道、组播、网络数据采集与协议分析等技术,设计实现一个面向IP网络的数据汇聚分发采集分析系统。应用结果表明,该系统能识别网络流量中90%以上的应用协议,可识别的协议种类超过2 000种。     

基于加权累积和检验的加密流量盲识别算法

针对加密流量的在线普适识别问题,提出一种基于加权累积和检验的时延自适应加密流量盲识别算法。利用加密数据的随机性特点,对网络报文逐一实施累积和检验,根据报文长度将结果进行加权综合。无需解密操作,也无需匹配特定内容,实现了对加密流量的普适识别。可动态调整报文的检测数量,以达到时延和准确率的统一,实现在线识别。仿真结果显示,对公开和未公开的加密协议流量,识别率均可达到90%以上。     

基于Netfilter的P2P流量测量系统*

分析了P2P流量的特征,讨论了当前有关P2P流量识别与测量的研究现状。在分析一个通过应用层匹配来识别P2P流量的模块IPP2P基础上,给出了一个基于Netfilter的P2P流量测量系统。该系统通过高速的内核字符串匹配来识别P2P数据流,在此基础上运用连接跟踪技术进行高效的流量统计,实现对P2P流量的实时测量。     

Android系统下SAE J1939协议的移植

针对Android系统下的控制器局域网(CAN)总线缺少应用层驱动的现状,提出了一种将Linux系统中的CAN总线应用层驱动移植到Android系统中的方法。选择SAE J1939协议作为Android系统下CAN总线应用层协议并移植由Kurt Van Dijck和Pieter Beyens维护的linux-can-j1939项目。首先分析项目结构,将对应文件合并到Android内核代码中;然后修改头文件、协议实现代码并增加内核缺失的结构体、函数等;最后修改Makefile和Kbuild文件并编译生成内核。实验结果表明:编译后的Android内核实现了SAE J1939协议所规定的地址声明、数据拆包重组、网络管理等功能。应用层驱动移植后,通过调用Android应用层接口就可开发丰富的基于CAN总线的Android应用程序。     

面向移动App流量的多特征集合集成聚类方法研究与应用

针对移动互联网流量识别问题,基于多项性能评估指标,分析K-均值和谱聚类算法在不同特征集合或不同识别目标流量数据集上的聚类性能,并提出基于多特征集合的集成聚类方法。比较分析实验表明,相同聚类方法在不同特征集合或不同识别目标数据集上性能有所不同,集成聚类方法能够有效提高利用单个特征集合聚类方法的性能。进一步将集成聚类方法应用于App关联分析,分析结果可为移动App的划分和用户行为分析提供客观依据。     

实现网络视频流多分类的迁移学习算法

在现实世界中,可用的训练数据通常较少,且很容易过时,所以需要不断采集和标记大量新的数据集;针对此问题,提出一种基于SAMME和TrAdaBoost算法的迁移学习分类方法。该方法的核心思想是：从老视频流数据集中筛选出有用的样本来帮助模型识别新的未知视频流集样本,这里新老视频流数据集的样本特征分布是不相同的。同时该方法结合SAMME算法将TrAdaBoost算法从只可实现两分类扩展至多分类。实验结果表明,与现有方法比较,该方法能更好地实现对六种类型视频流的精细分类,并减少大量已标注老数据集的浪费。     

基于MSE协议特征的BT加密流量识别方法

P2P（Peer-to-Peer）系统在文件共享、协同计算、流媒体等领域获得了广泛应用。随着P2P技术的发展,越来越多的P2P应用对数据进行加密传输,加大了对其流量的识别难度。通过对MSE（Message Stream Encryption）协议特征的分析,提出了还原MSE协议消息流,实现BT（BitTorrent）加密流量识别的方法。修改了开源BT客户端Vuze,利用其收集的真实BT流量信息来检验本方法,结果表明该方法与现有的DPI（deep packet inspection）技术结合,对网络中BT流量进行识别,具有较高的召回率和准确率,同时保持了较低的误报率。     

自适应聚类的未知应用层协议识别方法

应用层协议识别是指从承载应用层协议数据的网络流量中提取出可以标识应用层协议的关键特征,并以这些关键特征为基础,将同种类型的应用层协议数据划分在一起。针对现有网络流量识别方法对未知应用层协议识别率低的问题,提出了一种自适应聚类的未知应用层协议识别方法。该方法以传统的AGNES层次聚类算法为基础,依据网络流应用层协议数据的负载特征,基于相似度对应用层协议进行聚类。方法将聚类算法中相似度计算划分为聚类前应用层协议数据间的相似度计算和聚类中簇间的相似度计算两部分,避免了重复性地计算应用层协议数据间的相似度,提升了算法的聚类效率。实验结果表明所提出的方法能够高效准确地对未知协议的网络流量进行识别。     

Parallel overlays for high data-rate multicast data transfer

Recently a number of application-layer multicast (ALM) protocols have been proposed as a promising alternative to deploying multicast services in the unicast-only Internet. Current ALM protocols work very well for low data-rate applications but can suffer from link-level load imbalance, and consequently link congestions, when applied to high data-rate applications. This work addresses this problem by extending the well-known NICE protocol to use multiple parallel overlays in the same ALM session to spread the data traffic across more available network links, and thus leading to significantly improved performance. Extensive simulation results show that the proposed protocol can support three times the data-rate compared to NICE and yet can reduce the end-to-end data delivery delay by more than 50%.