流數據協議特征分析.pdf

1、近年來，網絡信息安全與防護已經成為一個不容忽視的問題，保護網絡信息安全也是國家信息化所要面臨的主要問題。在某些特別的環(huán)境下，通過各種手段使用非常規(guī)的專用未知協議進行竊密的行為日益普遍，危害日趨嚴重；與此同時，從獲取的流數據中對未知協議進行分析識別，應用通行的監(jiān)測手段和協議分析與識別方法并不能很好的達到預期效果。
　　流數據是一連串高速傳送、無限長度（隨時間增加）、順序不可逆的數據序列。本文所講述的流數據是數據鏈路層上的流數據（即二

2、進制0、1代碼）。
　　因為數據鏈路層流數據即比特流并沒有語義且單一，目前研究者多從應用層入手考慮，而對于數據鏈路層上的二進制流數據的協議識別則研究較少，所以對于二進制流數據的協議特征分析并沒有很好的解決辦法。隨著網絡協議的發(fā)展，協議識別呈現出新的特點，比如某些協議進行了加密、使用動態(tài)形式的端口、還有采用 P2P方式。為了達到網絡信息安全的目標，并能夠及時對危險進行預警，當前急切的需要能夠在如此復雜的網絡環(huán)境下研究出一種能夠對未知

3、協議進行分析識別的、效率高的、準確率高的方法。在網絡的現實復雜情況下，流數據協議特征分析成為一個新的研究領域。
　　本文通過對已知協議和未知協議的分析與識別方法的研究，認為流數據的未知協議的特征也有其固定的特點和規(guī)律，當截獲大量、快速、連續(xù)到達的數據序列時，就可以通過實施一定的技術手段和方法對其進行分析和識別，找到其中所蘊含的規(guī)律信息。從海量的流數據中分析和識別未知協議的方法就是要對數據進行挖掘，找尋其中所包含的特征序列，在沒有經

4、驗和已知協議的特征序列對照的情況下，達到對頻繁序列的快速提取。本課題的內容是：首先對數據鏈路層上傳輸的流數據（二進制）進行合理的幀切分，而后選擇合適的標識和特征選擇算法，其次驗證所用算法在協議識別中的效果，最后篩選出能準確描述協議的指紋信息。針對以上步驟，本文基于聚類算法對數據幀進行聚類操作，并且設計了一個無監(jiān)督的基于最小冗余最大相關的特征選擇算法提取數據幀的特征。
　　本課題的研究正式基于這樣的依據，針對大量、快速、連續(xù)到達的數