电力信息通信网络流量识别技术探析.docVIP

电力信息通信网络流量识别技术探析 　　【摘要】：电力信息通信网络对安全性有较高要求，所以选择流量识别方法首先要了解这些方法。本文着重介绍了目前使用范围较广网络流量识别方法，并分析得出适用于电力信息通信网络的流量识别方法 【关键词】：电力信息通信网；网络流量；识别方法 引言 IP报文集合会通过网络观测点，并且它是在某个固定时段内通过的，我们把这种的集合称之为流。在同一个特定流范围内的报文，常常具备相同的属性。流量由流组成，一定数量的流构成了流量。流量具备不同特征，根据这些特征对流量进行区分和选择，就是流量的分类和识别。用具体的理论方法进行描述时，为“分类”；用具体的应用分析进行描述时，就是“识别”。如果没有特别说明和要求，通常是不会过于严格区分的 1、网络流量识别方法的分析 1.1基于端口映射的流量识别方法 主要有两种途径：①分析传输控制协议（TransmissionControlProtocol，简称TCP）数据包中的端口号；②分析用户数据报协议（UserDataProtocol，简称UDP）数据包中的端口号。分析端口号之后，再比较它和熟知的端口号之间的不同，判断其应用类型 这种方法操作起来比较简单，能够很好的识别分类高速网络中的流量，而且是实时流的分类。但是它有一些缺点。对于那些没有把端口号在互联网数据分配机构（theInternetAs-signedNumbersAuthority，简称IANA）进行注册的应用，和那些未知端口的应用来说，是无法利用这种方法进行流量识别的。另外，常见的P2P应用中运用的是动态分配端口技术，也没有办法实施基于端口映射的流量识别方法。如果网络互连协议层上有加密，那么利用?@种方法是不能获得端口号的，这种方法在面对加密情况时，无法产生正常效用 1.2基于有效负载的流量识别方法 传统的网络流量识别方法，其判断过程过分依赖端口号。为了减少这种依赖，基于有效负载的网络流量识别方法应用而生。包的有效负载中存在一些字段，基于有效负载的网络流量识别方法主要对包中存在的已知应用的字段进行分析，通过分析实现流的分类。这种方法的准确性比基于端口映射的流量识别方法要高出许多。它的具体操作过程是：对尚未识别的应用层协议进行详细分析。每个协议中都包含着不同于其他协议的字段，分析应用层协议中这些不同字段并将其视为应用协议的特征。识别流量过程中，需要对报文的负载部分进行检测，而且检测必须使用深度包检测技术。检测完成后，比较已知协议特征和检测结果，如果二者能够匹配，就可以将该流归类于对应的应用中。这种方法也有非常明显的不足。它虽然能够快速识别那些并没有加密且已知的流量，但是面对那些未知流量，这种方法却没有实际作用。由于这种识别方法主要通过分析应用层中的内容来实现识别的，时常会出现侵犯隐私甚至其他性质严重的安全性问题 1.3基于主机行为的流量识别方法 前面介绍的两种方法，虽然能够实现流量识别，但是它的缺陷也对其识别范围造成一定影响。研究者在前两种方法的基础上，提出了基于主机行为的流量识别方法。这种方法能产生效果，主要通过对主机中传输层特有的行为模式及其特征进行分析，最终实现流量识别或分类。这里的主机行为包括TCP协议的使用顺序和IP地址的数目，还包括UDP协议的使用顺序和相关传输速度的变化。通过对这些主机行为及其特征的详细分析，能够判断出它对应的应用类型。基于主机行为的流量识别方法的特点有三个：①利用它识别流量不需要了解端口号及与之相关的信息，不会出现前两种方法中无法识别未知或动态端口的情况，更不会出现受到端口误导的情况。②不需要对负载进行解读，不会出现侵犯隐私的情况或者其他安全性问题。③这种方法主要是分析路由器上的NetFlow信息，所以在设备方面的投入比较小。当然，这种方法也存在一定局限性，具体表现在：不能识别某些特定的应用类型，比如这种方法虽然能将P2P类型的流量识别出来，但却无法确定具体是哪种P2P应用 2、适用于电力信息通信网络的流量识别方法 电力通信网络要传输语音、图像、视频等数据信息，而且因为电力行业比较特殊所以它比较重视网络的安全性。电力信息通信网络流量识别方法须达到这些要求和标准：①流量识别技术的识别率要达到将近100%，而流量识别的准确程度不能低于92%。②应用于电力信息网络中的流量识别方法要具备非常高的安全系数，在使用方法的效用范围内，尽量保证数据内容的安全。③要快速识别出端口可变业务以及其他加密业务或者可变IP的业务。④流量识别方法能够感知多种应用，快速识别出HTTP、BLOG等应用。根据电力信息通信网络的特征和它对网络流量识别方法的要求，再结合第一部分中介绍到的网络流量识别方法，可以看出，基于机器学习的流量识别方法是最合适的选择。原因是：