基于有监督学习的应用识别研究.pdfVIP

广东技术师范学院学报(自然科学) 2013年第7期 Journalof Normal University GuangdongPolytechnic 基于有监督学习的应用识别研究 蔡君1，王宇2 摘要：网络应用识别是网络管理、研究、规划、安全等一系列事务的基本前提，基于分组端口号和分组载荷的 应用识别技术逐渐不能满足需求．根据不同应用具有各不相同的流量特性这一原理，可利用机器学习技术挖掘各 种应用的流量模式，从而进行有效识别．本文使用简单的流量特征作为观测值进行有监督应用识别．通过比较多种 通用的机器学习算法，找出最适用于应用识别问题的有监督学习方案，同时应用特征选择算法找出关键的流量特 征． 关键词：应用识别；网络流量；机器学习；有监督分类；特征选择 中图分类号：TM641 文献标识码：A 文章编号：1672—402X(2013)07—0093一06 下，基于分组载荷的方法更为可靠，通过重构应用协 0引言 议的对话过程或者进行应用协议的特征字段匹配陟 应用识别的目标是将网络中的所有流量与产生 71都可以较为准确的识别应用．但是该方法不能识别 它们的应用程序对应起来。确切地掌握实际网络中 加密协议，而且计算复杂度极高，在高速链路环境下 运行着何种应用程序。这是各种网络相关事务的基 难以实施；另外，分析协议过程或找出特征字段都涉 本前提．网络管理者需要知悉管辖范围内的网络应 及繁重的人工干预，而且该工作必须不断重复，以适 用使用情况，通常还需要根据管理策略为不同的应 应应用的版本更新：文献和提出使用自动方法来构 用赋予不同的优先等级．网络研究者通过掌握日常 造应用协议的特征字段。摆脱需要繁重人工干涉的 网络中的应用迁徙趋势．对未来的网络基础体系结 限制． 构进行规划设计．网络安全系统如入侵检测系统等， 为了克服这些限制．一些新的研究不直接解析 通常将应用识别作为其首要任务【l,-3． 网络分组，转而寻求其他线索．基于流量特性的方法 传统的应用识别方法基于分组端口号或分组载 使用流量的统计特征对网络流进行描述。并利用机 荷．端口号方法检测每个分组的端口号，然后根据 器学习技术分类识别．该方法具有识别准确率较高、 IANA的知名端口号和注册端口号列表将分组与应计算复杂度较低、不涉及分组载荷等诸多优点，因此 用对应起来．其优点在于简单高效。其缺点是对于未 注册的应用、动态协商端口号的应用、随机生成端口 个角度出发提出了BLINC盲分类器。其通过描述网 号的应用、故意伪装的应用．以及经过端口转换的流 络主机在社会层、网络层和应用层三个层次的内在 量都无法识别．近年一些研究验证了端口号方法的 行为特性来识别主机的角色．从而识别该主机运行 失效，女IKaragiannis等人报告基于端口号的识别率 低于70％，Sen等人则发现对于Kazaa这种P2P应用． 交互为边构建流传播图(trafficdispersiongraphs， 使用标准端口号的流量仅占总流量fl勺30％．相比之 收稿日期：2013_06-10 1 目(s201204000784)． 作者简介：蔡君(1981-)，男，博士，广东技术师范学院电子与信息学院讲师．研究方向：计算机网络安全、复杂网络。网络流量分类． 王宇(1983一)，男，博士，中山大学电子与通信工程系高级工程师．研究方向：网络安全、网络流量的建模与分类． 万方数据 ·94· 蔡君，王宇：基于有监督学习的应用识别研究 第7期 进行网络流量的分类．