融合自动化逆向和聚类分析的协议识别方法
TP393; 网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效.针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA).该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测.该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题.通过对多个加密协议(如迅雷、BT、QQ和GYalk等)真实流...
Saved in:
| Published in | 计算机科学与探索 no. 5; pp. 397 - 408 |
|---|---|
| Main Authors | , , |
| Format | Journal Article |
| Language | Chinese |
| Published |
清华大学清华信息科学与技术国家实验室(筹),北京100084
2012
清华大学计算机科学与技术系,北京100084%清华大学清华信息科学与技术国家实验室(筹),北京100084 清华大学信息技术研究院,北京100084 |
| Subjects | |
| Online Access | Get full text |
| ISSN | 1673-9418 |
| DOI | 10.3778/j.issn.1673-9418.2012.05.002 |
Cover
| Summary: | TP393; 网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效.针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA).该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测.该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题.通过对多个加密协议(如迅雷、BT、QQ和GYalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可.因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别. |
|---|---|
| ISSN: | 1673-9418 |
| DOI: | 10.3778/j.issn.1673-9418.2012.05.002 |