TPCAD:一种文本类多协议特征自动发现方法

流量分类在深度包检测等网络信息安全领域具有广泛应用,而协议特征的发现是流量分类中的一个重要问题。基于文本类协议的特点提出了一种准确、高效的多协议特征自动提取方法。利用网络流量中文本内容的语义特点,将流量解析成语义单位,提出了一个在语义空间上的相似性比较方法,并据此对文本类的流量进行聚类。然后合并同一类的网络流量并提取出同类流量所共有的特征。实验表明,该方法对常见文本类协议拥有超过95%的准确率,并可以实现对流量的在线学习和分类。

基于应用协议特征的流量控制系统

Internet网络规模的不断扩大以及用户需求的不断增多,出现了许多新型的网络应用程序,通过端口号来控制应用存在着偏差,应用层协议特征成为识别应用的重要依据。在Linux平台上,以Netfilter为框架,结合流量控制,设计实现一个针对应用协议特征的流量控制系统。实验证明,该系统能有效地针对应用软件进行流量控制。

适用于协议特征提取的多级T+序列树挖掘算法

网络流量识别对于网络规划、网络管理和安全监测等非常重要。基于应用层的协议特征检测技术已成为网络流量识别的主流方法。但是在高速的网络流量识别的过程中,针对传统协议特征提取算法效率较低、可信度较差等问题,提出了一种适用于协议特征提取的多级T+序列树挖掘算法。该方法首先将序列数据库装入内存,构建多级T+序列树,接着对该树进行裁剪,然后通过构建投影T+序列树和连接等操作得到协议特征序列,最后通过一个实例说明了该算法的执行过程。实验结果表明:该算法较基于Prefix Span的协议识别算法能有效地减少扫描和产生序列数据库的次数,降低磁盘I/O操作的时间,提高了运行效率,从而保证了提取不同协议特征的正确性和可靠性。

工业控制系统未知协议特征提取及异常流量检测

工业控制场景为了满足自动化和机械化生产的需求,往往具有高度的周期性,因此工业控制系统的流量也具有周期性的特点,同时为了保证生产安全,工业协议基本都是私有协议。针对工业控制系统的流量研究,可以从周期特性入手,利用自然语言分析的方法,结合统计学规律与关联规则算法,提取出工业控制系统数据流中未知协议的流量特征,建立有限状态机模型,通过西门子工控实验仿真平台验证流量检测模型的有效性。

网络协议特征的自动提取方法

介绍了提取网络协议特征的研究意义和传统方法,提出了自动提取协议特征的方法,提取流量中的频繁字符串作为协议的特征字符串。设计了实验分析方法,并阐述和分析了实验结果。实验结果表明,提出的方法能较准确地自动提取网络流量中的协议特征字符串。

具有抗噪性能的协议分类特征研究

针对未加密条件下的协议分类问题,研究了具有抗噪能力的协议特征构造方法。利用局部敏感哈希算法,筛选出协议样本数据中高频相似的数据片段,在此基础上提出了一种能够反映协议数据取值分布固有属性的协议特征。相比于基于协议流量统计测量的外部特征,协议数据内容的内在特征不易受到网络传输环境的干扰。采用多种典型分类器对该特征的分类性能进行实验验证,结果表明协议分类的准确率大多能达到80%以上,在有噪声干扰的仿真测试条件下,该特征表现出较好的分类抗噪性能。

协议签名特征自动发现方法

数据包应用层固定位置频繁出现的字节组合是识别应用层协议的一种重要的签名特征(signature)。数据挖掘中经典的Apriori算法在提取协议签名特征时具有准确性高、覆盖面广等优势,但同时也存在候选集规模大、重复扫描数据库等问题。在运用深度包检测技术的基础上改进Apriori算法,有效降低计算复杂度,并能够自动发现一种由确定的字节值和字符类型组合而成的协议签名特征。实验表明,文章的方法产生的签名特征具有准确的协议区分能力,并且在协议版本更新情况下的适应能力强,同时具有较好的未知协议特征发现能力。

基于离散序列报文的协议格式特征可变域挖掘算法

针对格式特征提取算法无法挖掘出具有可变取值的协议格式特征问题,提出一种基于离散序列报文的协议格式特征可变域自动提取算法(VFSC)。VFSC在对离散序列报文进行聚类的基础上,通过改进的频繁模式挖掘算法提取出具有可变域的协议关键字,筛选出具有可变域的协议格式特征。仿真结果表明,VFSC在以单个报文为颗粒度的识别中对7种协议的识别率达到95%以上,在与Apriori算法的比较中证明拥有识别新型报文种类的能力。实验结果表明,VFSC不依赖完整会话,能够发现识别新类型报文,更符合实际应用中由于接收条件限制导致会话信息及训练数据集不完整的情形。

融合协议信息的TOR匿名网络流量识别方法

TOR(The Onion Router)匿名网络流量识别是一项重要的加密流量检测任务,随着TOR混淆模式的迭代更新,引入OBFS4(Object-Based File System4)混淆协议后对TOR的检测较为困难。详细研究了TOR行为和混淆协议特性,将关键行为特征与OBFS4混淆协议特征进行融合,增强了面向混淆协议的TOR流量的检出能力。另外构造了包含浏览网页、视频直播、聊天等多业务数据集进行实验。结果显示,该研究方法在基于OBFS4混淆协议的TOR流量检测任务上效果显著,其中lightGBM模型检测效果最佳,在融合协议特征的方法下准确率达到98.89%。同时该方法面向不同版本的TOR流量开展复测,在不同版本的TOR流量检测任务中准确率均高于97%。

设计与实现一种面向协议栈特征的测试程序

针对传统的测试工具难以全面包含通信协议栈特征的问题,基于用户数据报协议的数据传输算法,设计并实现了一种能够全面体现协议栈特征的测试程序.该程序由用户侧的基准程序和基站侧的基站协议栈软件两部分构成,综合考虑了实际协议栈中需要维护的数据信息与特征,从而对基站接收上行数据进行模拟,最终在虚拟化平台中对程序进行实验测评.实验结果表明,该程序能够在虚拟化平台中模拟协议栈的上行数据流,并能够基本反映出数据流的特征.

未知协议的逆向分析与自动化测试

在工业控制、军事通信、金融信息等创新型网络中,大量未知(私有或半私有)协议被广泛采用.对通信协议及其实现进行严格的测试是确保网络系统安全性的重要手段,现有测试手段与方法大多只能针对已知协议进行,未知协议的广泛采用对协议测试提出了挑战.本文提出了针对未知协议的逆向分析与自动化测试方法,其基本思想是基于对协议流量的逆向分析,识别出协议特征,动态生成多维测试数据,自动监控被测系统的运行状态,获得准确的测试结果,为系统安全可靠运行提供依据.具体贡献包括:(1)自动化模糊测试框架;(2)基于协议特征库的逆向分析方法;(3)基于多维变异的测试数据生成方法;(4)基于主动探测的测试执行与异常定位方法.本文设计实现了自动化测试工具UPAFuzz,试验结果表明,UPAFuzz能够基于网络流量实现协议特征的自动识别,并自动生成海量模糊测试数据,对被测系统进行测试;在生成的测试数据量达到千万级时,UPAFuzz的内存占用率为现有模糊测试工具Boofuzz的50%,且其耗时仅为Boofuzz的10%,大大提升了测试执行效率.

基于模糊测试的工控网络协议漏洞挖掘方法

为解决传统漏洞挖掘方法不能在工控系统中直接应用的问题,提出一种基于模糊测试的工控网络协议漏洞挖掘方法。使用工控网络协议测试用例变异因子生成协议特征值,每个变异因子代表一类工控系统漏洞的特征。变异因子结合Modbus TCP协议特征生成不同的测试用例。通过Modbus TCP请求与响应的协议特征对应关系和旁路监听方法解决难以确定测试用例是否有效的问题。为对工控私有协议进行模糊测试,建立了工控私有协议树,并对私有协议数据集进行了分类。采用可变字节值概率统计方法、长度域学习方法、Apriori和Needleman/Wunsch算法学习私有协议特征,有效提高了私有协议的测试用例接收率。通过对真实工控设备的实验分析,证明了该方法能够有效检测工控公有、私有协议的漏洞。

基于Apriori算法的流量识别特征自动提取方法

提出了一种基于Apriori算法自动提取协议识别特征的方法,该方法可以自动提取2种最常用的协议识别特征——特征字符串和包长特征,提取特征的效率较传统方法有很大的提高。通过识别率、准确率、正误识别率和负误识别率等指标验证了所提取特征的准确性和完整性,并根据结果反馈指导特征提取的过程,保证了提取特征的可靠性。

基于协议偏离的程序协议指纹提取与识别

针对传统协议指纹提取技术耗时耗力,且无法提取与识别加密协议指纹问题,提出了一种基于协议偏离的程序协议指纹自动提取方法。协议偏离描述了协议各版本实现程序的网络行为差异,以动态二进制分析技术为支撑,分别从协议偏离会话流层面与偏离消息层面对协议特征进行提取。实验结果不仅验证了所提方法的可行性,还为提取与识别加密协议应用程序指纹提供了一条新思路。

电子商务环境下生物特征识别框架与应急响应计划研究

本文提出完全身份盗窃的概念,在生物识别的电子商务时代,完全的身份盗窃成为可能。通过分析现有认证水平和特点,提出电子商务环境下生物特征识别要有相应的应急计划,提出了基于PKI的生物特征认证协议和应急响应应用框架。

基于离散序列报文的轮廓格式特征提取方法

针对格式特征提取算法无法在协议关键字内容不可知的情况下进行特征提取问题,提出一种基于离散序列报文的轮廓格式特征自动提取算法(OSC)。首先对离散序列报文进行二值图像转换使其轮廓格式特征予以显现;接着通过改进的聚类算法将二值图像聚类成簇;最后通过距离加权判决算法提取协议轮廓格式特征进行分类识别。仿真结果表明,OSC对ACARS协议ARINC-618规范中的5种报文类型提取的协议轮廓格式特征与标准格式特征相比,相似度、召回率均达到80%以上。实验结果表明,OSC不依赖完整会话,拥有一定的抗噪能力,更符合实际应用中会话信息不完整及报文内容不可知的情形。

基于网络时间协议的被动式路由器指纹识别技术

作为网络安全的重要内容，面向路由器等核心网络设备的指纹识别研究正逐渐兴起。针对网络应用中主流路由器的识别技术，本文提出一种基于网络时间协议（NTP）特征分析的被动式路由器指纹识别方法。该方法以NTP协议为研究对象，提取NTP报文中的时间特征，通过计算其时间间隔来刻画报文处理时间，进行路由器型号的识别与区分，最后利用支持向量机对所提出的特征进行训练学习，对四类典型思科路由器的识别准确率能达到98．9％。实验结果表明，该方法能够对路由器型号进行有效地被动识别，可为后期路由设备特征指纹的研究提供技术参考与借鉴。

试析DTN网络中的路由协议及其评估

本文首先对DTN网络进行了概述,介绍了DTN网络的基本特征,分析了DTN路由设计时应注意的问题,因传统Internet体系结构无法有效地在DTN网络中应用,故提出了新的DTN路由评估指标,从而为构建DTN网络路由协议评估模型奠定基础。

TCP与UDP网络流量对比分析研究

网络带宽不断增长,越来越多的音/视频、在线游戏等应用成为网络空间的主体。基于实时性考虑,这些新兴应用协议多选择UDP作为其底层的传输协议,使得UDP流量呈上升趋势,而以往的流量测量工作一般基于TCP进行,忽略了UDP协议。对国内某骨干网流量进行了连续12h的在线测量,在传输层和应用层分别对TCP和UDP及其应用层协议的流的总数、长度分布、持续时间分布、流的速度分布等进行了详尽的分析,并对TCP和UDP的应用层协议流的大小、长短、快慢作了详细的分类。为网络流的分类技术、网络行为发现、网络设计等提供了数据支持。

实时识别P2P-TV视频流的方法研究

基于P2P的IPTV(P2P-TV)是当前发展最为迅速的因特网应用之一,实时识别P2P-TV视频流是管理网络P2P-TV流量和理解网络行为的关键一步。通过分析以PPLive为代表的P2P-TV体系结构、通信过程、报文结构以及系统特征,该文提出了一种实时的基于爬虫的识别视频流CIVF算法和一种实时的基于协议特征的识别视频流PIVF算法,CIVF算法通过爬虫程序获取P2P-TV节点信息来识别P2P-TV视频流,而PIVF算法则基于视频流的通信时序和应用层负载特征实现实时识别。在因特网环境的试验分析结果表明,CIVF算法具有实现便捷但识别率不够高且节点信息残存时间较长的特点,PIVF算法则具有准确率较高、识别速度较快和扩展性强的特点。