链路层上的协议帧结构识别技术研究
发布时间:2021-03-29 23:37
在信息技术越来越发达的今天,无论是电子对抗中的信号侦查,还是通信网中的安全维护,网络目标识别都具有迫切的现实需求,尤其是在军事领域,未知协议的使用尤为广泛。因此,未知协议的识别工作具有十分重要的研究意义。特别是以比特流形式存在的链路层协议,因其不具有任何的语义特征,且高层协议总是以数据形式封装在其协议帧中,在协议识别领域占据着重要地位,故本文的研究对象为链路层以比特流形式存在的未知协议。当前链路层未知协议识别的算法主要是基于模式匹配和数据挖掘,其基本流程为:模式序列统计、频繁序列挖掘、关联规则挖掘、链路帧切分和协议格式推测。后续结果是否正确总是依赖于前两个模块的效果,传统方案中利用AC(Aho-Corasick)快速统计进行模式序列挖掘时,存在数据库操作次数过大的缺点,基于枚举树剪枝的频繁序列挖掘也存在剪枝周期选择困难、存储结构复杂的弊端,故本文分别对模式序列统计、频繁序列挖掘和关联规则挖掘模块进行了改进。首先,对于模式序列统计和频繁序列挖掘模块,本文提出了基于统计的改进AC算法,该算法遍历一次目标序列仅统计最大长度的模式序列,其余短模式序列均通过统计公式计算获得。由于算法数据库操作次...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:81 页
【学位级别】:硕士
【部分图文】:
协议识别框架
电子科技大学硕士学位论文24第三章频繁序列挖掘技术从第1.3.3节的分析中可以看到,现有文献中基于模式匹配和数据挖掘的未知协议识别算法仍然有许多不可忽略的缺点,故从第三章开始,本文将进一步的改进相关的算法,其基本流程如图3-1所示。本章将介绍模式序列统计和频繁序列挖掘两个模块。对于模式序列的统计,现有的方案多是利用基于AC的快速统计算法,本文则将之改进,提出了基于统计的改进AC算法;对于频繁序列的挖掘,现有方案的典型代表为基于阈值的枚举树剪枝算法,鉴于本章首先改进了模式序列的统计算法,使之性能明显提升,故后续不再使用剪枝算法,直接利用阈值进行频繁序列的挖掘。图3-1基于模式匹配和数据挖掘的未知协议识别算法流程3.1相关定义和概念为了便于理解和叙述,首先明确一些比特流相关的概念:定义3-1[27]:对于两个模式序列110...mpppP和110...rqqqQ,若mr且110110......rrpppqqq,则称P为Q的父序列,Q为P的子序列。
第三章频繁序列挖掘技术333.4.2算法性能验证为了对改进频繁序列挖掘算法的性能进行验证,现利用Wireshark软件捕捉ARP协议数据帧,进行3-8比特频繁序列的统计,需要注意的是,利用Wireshark软件捕捉的ARP协议,不包含FCS字段,所有,每一个ARP数据帧的长度为60字节,即480比特。从前面算法的分析中可以看出,筛选系数1对频繁序列的筛选结果造成了很大的影响,为了更直观的分析其造成的影响,本文在不同筛选系数的作用下,对100个ARP协议数据帧进行了3-8比特频繁序列的挖掘,并定义筛选率为频繁序列与模式序列总数的差值占模式序列总数的百分比。其结果如图如图3-4和表3-5所示。表3-5400帧ARP协议的频繁序列筛选率筛选系数10.40.81.21.622.42.83.2模式序列数499499499499499499499499频繁序列数320169936648393125筛选率(%)35.8766.1381.3686.7790.3892.1893.7994.99图3-4400帧ARP协议的频繁序列筛选率
本文编号:3108408
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:81 页
【学位级别】:硕士
【部分图文】:
协议识别框架
电子科技大学硕士学位论文24第三章频繁序列挖掘技术从第1.3.3节的分析中可以看到,现有文献中基于模式匹配和数据挖掘的未知协议识别算法仍然有许多不可忽略的缺点,故从第三章开始,本文将进一步的改进相关的算法,其基本流程如图3-1所示。本章将介绍模式序列统计和频繁序列挖掘两个模块。对于模式序列的统计,现有的方案多是利用基于AC的快速统计算法,本文则将之改进,提出了基于统计的改进AC算法;对于频繁序列的挖掘,现有方案的典型代表为基于阈值的枚举树剪枝算法,鉴于本章首先改进了模式序列的统计算法,使之性能明显提升,故后续不再使用剪枝算法,直接利用阈值进行频繁序列的挖掘。图3-1基于模式匹配和数据挖掘的未知协议识别算法流程3.1相关定义和概念为了便于理解和叙述,首先明确一些比特流相关的概念:定义3-1[27]:对于两个模式序列110...mpppP和110...rqqqQ,若mr且110110......rrpppqqq,则称P为Q的父序列,Q为P的子序列。
第三章频繁序列挖掘技术333.4.2算法性能验证为了对改进频繁序列挖掘算法的性能进行验证,现利用Wireshark软件捕捉ARP协议数据帧,进行3-8比特频繁序列的统计,需要注意的是,利用Wireshark软件捕捉的ARP协议,不包含FCS字段,所有,每一个ARP数据帧的长度为60字节,即480比特。从前面算法的分析中可以看出,筛选系数1对频繁序列的筛选结果造成了很大的影响,为了更直观的分析其造成的影响,本文在不同筛选系数的作用下,对100个ARP协议数据帧进行了3-8比特频繁序列的挖掘,并定义筛选率为频繁序列与模式序列总数的差值占模式序列总数的百分比。其结果如图如图3-4和表3-5所示。表3-5400帧ARP协议的频繁序列筛选率筛选系数10.40.81.21.622.42.83.2模式序列数499499499499499499499499频繁序列数320169936648393125筛选率(%)35.8766.1381.3686.7790.3892.1893.7994.99图3-4400帧ARP协议的频繁序列筛选率
本文编号:3108408
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3108408.html
