基于特征串的应用层协议识别

随着各种P2P协议的广泛应用以及逃避防火墙检测的需要,传统的基于常用端口识别应用层协议的方法已经出现问题。文章通过分析可用的文档和实际报文TRACE,分别为七种应用层协议找出其实际交互过程中必须出现且出现频率最高的固定字段,并将这些固定字段作为协议的特征串来识别这七种协议。实验结果表明,相较于端口方法,使用特征串方法识别这七种应用层协议具有更高的准确性,并且时间消耗的增长不会超过2%。

基于有效载荷分析的BT流量识别技术

为提高现有BT流量识别技术的准确性,通过分析BT协议和BT实际传输数据,找出BT传输过程中必会出现的各种固定字串,以之作为特征字串,从而利用增加特征字串个数来提高识别准确性。实验表明,对比现有的技术,该方法能提高识别的准确性,克服因未捕获握手包而无法识别数据流的缺陷。

基于卡方统计的应用协议流量行为特征分析方法

引入统计理论中的卡方统计检验,提出一种通用的应用协议流量行为特征分析方法——ABSA(application behavior significance assessment).该方法不针对特定的应用协议,旨在提出描述各应用协议间行为测度分布差异情况的统一量化标准,使其可进行比较,从而判断各协议的流量行为特征,并评估相应的显著程度.理论分析及实验结果表明,ABSA方法不仅可以为协议识别提供更丰富、更准确的特征信息,优化协议识别的结果,而且保证特征显著程度的评估与协议样本在总样本中所占的比例无关,并可用于NetFlow等路由器所用的报文抽样环境下,保持以任意比例抽样后的特征相对显著程度顺序评估结果不变,简化了抽样比变化时的特征重选择过程.

一种Ares协议的精确识别方法

针对单独的深度数据包检测(Deep packet inspection,DPI)技术无法识别加密报文,以及基于流量特征识别方法对流量检测的模糊性等问题,采用DPI和基于流量特征相结合的方法来对Ares协议进行精确的识别,以提高对Ares协议的识别效果,实验表明准确率可以达到97%以上。

网络协议特征的自动提取方法

介绍了提取网络协议特征的研究意义和传统方法,提出了自动提取协议特征的方法,提取流量中的频繁字符串作为协议的特征字符串。设计了实验分析方法,并阐述和分析了实验结果。实验结果表明,提出的方法能较准确地自动提取网络流量中的协议特征字符串。