基于快速求解高斯混合模型的流量聚类算法

基于聚类算法可以对多个属性聚类的特点,提出一种基于快速求解高斯混合模型的聚类算法,用于研究网络流量的分类,使其达到更佳的聚类效果。通过与其他算法比较,讨论了该种方法在流量聚类中的适用性。仿真结果表明,该方法聚类精度高,经过初始聚类中心后的EM算法用于求解GMM有较高的估算准确性,有效地提高了EM算法的收敛速度。

基于GainRatio降维算法的流量聚类研究

随着网络数据流量的快速增长,需要高效的流量分类技术来实现网络管理、流量控制和安全检测。传统基于端口和有效负载的流量分类方法准确率低,无监督学习方法往往仅采用单一的聚类算法对数据进行聚类分析,且较少研究对数据本身的处理。为了解决上述问题,提出了先运用GainRatio信息增益率方法对原始数据进行降维处理,再将降维后的数据进行聚类的方法。实验结果表明:提出的方法不仅有效地提高了运行效率,而且随着聚类个数的增加,也明显地提高了高准确率的收敛速度。

基于集成聚类的流量分类架构

流量分类是优化网络服务质量的基础与关键.机器学习算法利用数据流统计特征分类流量,对于识别加密私有协议流量具有重要意义.然而,特征偏置和类别不平衡是基于机器学习的流量分类研究所面临的两大挑战.特征偏置是指一些数据流统计特征在提高部分应用识别准确率的同时也降低了另外一部分应用识别的准确率.类别不平衡是指机器学习流量分类器对样本数较少的应用识别的准确率较低.为解决上述问题,提出了基于集成聚类的流量分类架构(traffic classification framework based on ensemble clustering,简称TCFEC).TCFEC由多个基于不同特征子空间聚类的基分类器和一个最优决策部件构成,能够提高流量分类的准确率.具体而言,与传统的机器学习流量分类器相比,TCFEC的平均流准确率最高提升5%,字节准确率最高提升6%.

基于集成分类器的恶意网络流量检测

针对目前网络大数据环境攻击检测中因某些攻击步骤样本的缺失而导致攻击模型训练不够准确的问题,以及现有集成分类器在构建多级分类器时存在的不足,提出基于多层集成分类器的恶意网络流量检测方法。该方法首先采用无监督学习框架对数据进行预处理并将其聚成不同的簇,并对每一个簇进行噪音处理,然后构建一个多层集成分类器MLDE检测网络恶意流量。MLDE集成框架在底层使用基分类器,非底层使用不同的集成元分类器。该框架构建简单,能并发处理大数据集,并能根据数据集的大小来调整集成分类器的规模。实验结果显示,当MLDE的基层使用随机森林、第2层使用bagging集成分类器、第3层使用AdaBoost集成分类器时,AUC的值能达到0.999。

基于流量分析的XML嵌套数据流无损压缩算法

为避免基体的反复压缩操作,提出一种基于流量分析的XML嵌套数据流无损压缩算法。利用GDDStream算法对高相似度的XML嵌套数据流进行聚类分析,并表述成“簇中心(基体)+个体差异量”形式,分解数据流,完成一次基体压缩;仅对差异量进行压缩,极大减少对基体的反复压缩操作;利用改进LZW算法实现XML嵌套数据流无损压缩。实验结果表明,压缩后不仅数据完整性得到了保证,数据量也大幅减少,数据冗余度降低,与压缩前数据相比,压缩后数据未出现变化,说明压缩算法性能较好。

一种优化的互联网用户流量定向调度

利用软件定义网络架构,建立互联网用户流量分析预测—在线调度机制,通过互联网用户流量分析预测、异常流量识别以及在线调度等步骤,实现互联网用户流量定向调度;同时,利用SRv6服务链技术优化互联网用户流量的路由选择机制,从而有效避免链路中出现流量堵塞,并采用基于半监督学习的流量聚类方法进行互联网用户流量聚类,以缩短流量调度时间.实验结果表明,该方法的最大链路利用率低、吞吐率高、调度时间短,能够使调度后的网络负载更均衡,提高节点活性和调度效率.

基于模糊测试的网络协议自动化漏洞挖掘工具设计与实现

文章针对传统网络协议挖掘的缺陷,着重分析了传统网络协议的分析手段、漏洞类型、产生原因和挖掘方法。文章针对传统网络协议挖掘中协议的分析过程不能自动化、构造Fuzz的数据不符合网络协议格式规范和交互的流程导致无法深入快速地进行漏洞挖掘的缺点,提出了一种基于自动化协议分析算法、流量聚类分类算法、深度数据包检测技术、Fuzz技术相互整合的自动化协议分析漏洞挖掘工具设计方案。文章设计了一套自动化协议分析的漏洞挖掘系统,给出了系统的工作流程和组织结构,以及各个模块的功能和相互之间的关系,实现了一个自动化协议分析漏洞挖掘系统的原型。文章的最大创新是通过自动化协议分析、流量聚类分类算法和DPI技术的有机结合,实现了自动化协议分析、自动形成测试路径的网络协议漏洞挖掘技术。

Clustering algorithm for multiple data streams based on spectral component similarity

A new algorithm for clustering multiple data streams is proposed.The algorithm can effectively cluster data streams which show similar behavior with some unknown time delays.The algorithm uses the autoregressive （AR） modeling technique to measure correlations between data streams.It exploits estimated frequencies spectra to extract the essential features of streams.Each stream is represented as the sum of spectral components and the correlation is measured component-wise.Each spectral component is described by four parameters,namely,amplitude,phase,damping rate and frequency.The ε-lag-correlation between two spectral components is calculated.The algorithm uses such information as similarity measures in clustering data streams.Based on a sliding window model,the algorithm can continuously report the most recent clustering results and adjust the number of clusters.Experiments on real and synthetic streams show that the proposed clustering method has a higher speed and clustering quality than other similar methods.

Accurate Classification of P2P Traffic by Clustering Flows

P2P traffic has always been a dominant portion of Internet traffic since its emergence in the late 1990s. The method used to accurately classify P2P traffic remains a key problem for Internet Service Producers （ISPs） and network managers. This paper proposes a novel approach to the accurate classification of P2P traffic at a fine-grained level, which depends solely on the number of special flows during small time intervals. These special flows, named Clustering Flows （CFs）, are de- fined as the most frequent and steady flows generated by P2P applications. Hence we are able to classify P2P applications by detecting tlle appearance of corresponding CFs. Com- pared to existing approaches, our classifier can realise high classification accuracy by ex- ploiting only several generic properties of flows, instead of extracting sophisticated fea- tures from host behaviours or transport layer data. We validate our framework on a large set of P2P traffic traces using a Support Vector Machine （SVM）. Experimental results show that our approach correctly classifies P2P ap- plications with an average true positive rate of above 98% and a negligible false positive rate of about 0.01%.