基于数据分类的网络通信行为建模方法研究

发布时间：2020-07-31 12:45

【摘要】：随着网络规模迅速发展,网络数据流的交互呈指数增长。当前Internet主干带宽已达40Gb。这就意味着这样高速高带宽的网络1分钟内通过的数据流量超过上百万条。不但如此,早期制定的协议规范已经远远满足不了现在的网络需求。因此,各种协议如雨后春笋般涌现。网络上p2p流,流媒体流,网络游戏协议流大量出现,甚至私人制定的协议格式流和黑客发送的带有攻击性的协议流也充斥着网络世界。这些协议的规范大多并不公开并且协议本身不遵守默认的端口约定,这就给网络数据安全的监管提出了巨大的挑战。2014年国家网络安全大会的召开,表明信息网络安全与对抗已成为国家信息化战略的核心内容。这反映了当前网络安全所面对的严峻形势,同时也刺激了新的对网络安全方面的探索和研究。协议识别的研究一直以来都是网络安全领域的热门方向。协议识别是指通过一定的流特征或负载特征将网络上的数据流分类成不同协议簇,而且分类得到的每类协议簇应该只包含同一类别的协议。协议识别技术为运营商、网络管理员、抓包软件等提供了识别和监管网络上数据信息的方法,同时也为发现带有恶意行为的网络协议报文和防止敏感信息泄露提供了保障。基于协议识别在网络安全防护方面的重要地位,本文章概述了协议识别技术的背景、发展历程以及主要方法。对基于特征串选择的协议识别算法进行了深入研究,同时介绍了几种经典的特征串选择算法。包括相关性特征选择(CFS),卡方检验(ChiSquare),信息增益(InfoGain),信息增益率(InfoGainRatio)等,并且分析了它们的原理,比较了各自的优缺点。在对以上特征选择算法研究的基础上本文提出了二进制单协议报文环境下基于互信息的无监督的特征选择方法。此方法主要解决对底层端口上抓取的二进制数据帧进行特征选择从而完成协议识别的问题。方法结合了信息论中互信息的概念,提出将“最大相关性-最小冗余度”作为特征选择依据,并且通过实验,与其他特征选择算法进行对比分析。本文提出的基于互信息的无监督的特征选择算法,实验结果的分类准确率达到了90%以上。并且算法选择得到的特征串与协议真实特征串比较,包含了区分其他协议的主要特征串,能够作为识别协议格式的依据,这就验证了此算法对二进制协议报文识别的有效性。通常的协议识别算法主要面向应用层协议流或文本文件进行协议识别,鲜有直接对底层二进制报文格式的数据进行协议识别的。而研究协议的通信行为,势必需要研究底层端口交互的数据流,也就是二进制数据流。本文研究的方法就是针对二进制协议报文的,并且,在不要求数据集合任何类别信息的条件下同样可以完成特征选择和数据分类。这与传统方法相比是一大改进,也为进一步研究未知通信协议识别模型提供了思路。
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08

【参考文献】