返回
一种以dpi为核心网络流量识别方案

一种以dpi为核心网络流量识别方案

ID:5246235

大小:28.50 KB

页数:7页

时间:2017-12-06

一种以dpi为核心网络流量识别方案_第1页
一种以dpi为核心网络流量识别方案_第2页
一种以dpi为核心网络流量识别方案_第3页
一种以dpi为核心网络流量识别方案_第4页
一种以dpi为核心网络流量识别方案_第5页
资源描述:

《一种以dpi为核心网络流量识别方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一种以DPI为核心网络流量识别方案  摘要:网络流量的识别是流量控制、计费和内容安全等需求实现的前提条件,是适应当前网络急速增长和解决当前网络威胁的有效途径。提出了一种以深度数据包检测(DeepPacketInspection,DPI)为主要识别技术,结合端口、统计等多种识别技术的识别方案。以谷歌的GoogleTalk为例,对各种场景的应用和采用不同协议的情况,进行了细致的分析。测试结果表明,该方案能精确地识别各种类型的协议。关键词:流量识别;深度数据包检测;特征匹配中图分类号:TP302文献标识码:A文章编号文章编号:16727800(2014)001002303作者简介作者简介:

2、吴军(1964-),男,硕士,江西理工大学信息工程学院副教授,研究方向为嵌入式系统及SOPC技术研究及应用;杜泽华(1989-),男,江西理工大学信息工程学院硕士研究生,研究方向为流量识别。0引言7伴随着大量新型网络应用的研发,很多应用和冗余信息充斥着网络,导致带宽滥用,多种网络攻击横行,对网络互连的企业或个人造成了很大的威胁。要想解决这些问题,就必须对流量进行识别并分类处理。流量识别作为基础,是分类处理的先决条件。本文综合了多种识别技术,能有效地识别现网流量。对网络监控的迫切需求和反监控技术的不断演变是流量识别技术持续更新的动力。SalmanA.Baset和HenningG.Sch

3、ulzrinne[1]采用了早期的端口识别,利用端口80和443对Skype部分场景进行识别阻断。这种传统的端口识别对端口固定的应用有很好的识别效果,但是由于动态端口、规避端口和非常规端口的采用使纯粹的端口识别显得苍白无力。在这种情况下,提出了深度包检测识别方法,例如,南京邮电大学的李鸿斌[2]设计了DPI系统对流量进行有效识别;AnatBremlerBarr等[3]通过DPI识别算法的改进,使特征匹配速度上升了60%。DPI识别技术具有识别速度快、准确度高、原理简单的优点,但是存在两个缺陷,一是对加密协议的识别,二是无法自动识别新推出应用,需重新分析并提取特征。针对DPI识别的第一

4、点缺陷,统计识别应运而生,统计识别提取业务流的发包间隔、包长、包数和连接等特性作为特征信息,巧妙地突破了加密协议无法识别的困境。例如,美国麻省理工学院的FivosConstantinou[4]统计了P2P协议的基本特性,进而识别P2P流量;李兵等[5]提出了一种将统计识别与主机行为相结合的VOIP识别方法;随后,北京邮电大学的米淑云[6]提到了一种DPI与深度流检测(DeepFlow7Inspection,DFI)相结合的识别方法,解决DPI和DFI单独识别时存在的局限性。端口识别速度快但通用性不高;DPI识别准确度高、速度较快,然而无法识别加密流量;统计识别能识别加密协议,但易误报

5、;DPI和DFI结合的方式对设备性能要求较高,以上各种识别方法优缺点都相当明显。本文介绍了一种有机结合各种识别技术的方法,利用这种方法,能对现网流量达到很高的识别效果,并以谷歌公司的即时聊天软件—GoogleTalk为例进行了分析。1流量识别网络拓扑与识别方案设计流量识别中,流作为最基本的单位,实现原IP到目的IP之间的通信,每条流都包含了唯一的五元组信息,即[原IP,原端口(Port),目的IP,目的端口(Port),传输协议(TCP/UDP)],凭借这个特性,流能够被唯一标识出来,在此基础上对其包头和负载进行检测,提取有效特征。本章介绍流量识别的网络拓扑,如图1所示,接着,详细地

6、讲解各种流量识别技术的原理,最后通过分析对比,得出最优解决方案。1.1流量识别网络拓扑7防火墙是一种高级访问控制设备,是流量识别的硬件载体,如图1所示,通过直连接入网络,设置在网络不同安全区域之间。它既是内网流量的入口,也是通向外网的必经之路。通过企业下发的安全策略,防火墙实现控制出入的网络流量。1.2识别技术分析和识别方案流量识别技术经过这么多年的发展、演变,研究者提出了很多具有针对性的流量识别方法。端口识别:以流量的五元组中端口号作为识别特征。如表1所示,很多应用层协议都会在IASA上注册端口,从而依靠这些端口对协议进行识别,但是由于应用层协议常使用公用端口、动态分配端口、非常用

7、端口[7]等,使得纯粹的端口识别已经不能达到预期效果。单包识别:单个包中特征足以标识出所在流的情况下,特征都是从此单个包中提取。凡属命中此数据包的规则,必定会命中包含此数据包的流。每条流有多个数据包,而特征一般出现在前几个包中,运用此识别方式,必须设定扫描的数据包个数,以降低系统消耗。多包识别:当特征存在于一条流的多个包中时,每个包都对应提取出单包特征,且标出各包之间是否存在先后顺序、是否同方向、是否需要依次识别的关系,当这些关系和多个单包特征同时满足时,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。