基于双重特征的协议识别方法.pdfVIP

基于双重特征的协议识别方法 胡庆安 ，吴明慧 (西南交通大学 信息科学与技术学院，四川 成都 610031) 誊 j| l 。 特征就有可能发生变化，要准确识别就需要重新分析提取 设线性可分的训练样本集 毒 0i规则，而这一类流行软件的升级是很频繁的。另外，基于 s={(x，Y．)lX；∈Rn；Y ∈{+l，-1)li=l，2， ，n} 鹫 规则的分析和提取如果要面面俱到，也是难以做到的。还 满足 y；(w x；+b)一l≥0 有很多软件采用的是加密协议，要想破解其加密算法是很 此时分类间隔等于2／llw ¨，使间隔最大等价于 困难的，甚至是不可能的。 使 ① (w)= ¨w ll 最小。此时求最优分类面的问题可 以转化为下面的约束优化 问题 ： 3基于流量特征的sVM识别方法 在约束条件缶 ’r刮和fl；；}0，i-I，2，…，n下对ai 与基于payload特征的方法相比，基于流量特征的方 求解下列函数的最大值 ： 法有下列优点： r 1 H {max∑q一言∑∑ Y*Y(xrxj) (1)易于识别加密协议。只关注流量特征，不关注具 L l=l ‘l=li=I 体负载数据特征，完全不受数据加密的影响。 SVM 的核心思想是利用满足Mercer条件的核函数代 (2)利用从观测数据 (样本 )获得的规律对未来数据可 替一个非线性映射，使得输入空间中的样本点能映射到一 以进行预测。即使是经常版本升级的软件 ，其使用的协议 个高维的特征空间，并使之在该空间中线性可分，然后构 一 般来说不会有大的变化 ，大部分都是小的修改，这样就 造一个最优超平面来逼近理想分类结果。 可以通过以前的流量特征对它进行预测。 SVM算法有以下几个显著 的优点 ： (3)通过智能识别的方法，不需要对每个数据包的净 (1)它是专 门针对有限样本情况的，根据有限的样本 载进行匹配和深度探测，所以效率和安全性更高。 信息在模型的复杂度和学习能力之间寻求最佳折衷，以期 它的缺点在于 ：识别方法较为复杂，在协议的实时细 获取最好的推广能力。 分上指向性不强。 (2)算法最终将转化成为在线性条件限制下的二次优 流量特征包含了网络用户数据请求与服务器响应发送 化问题 ，理论上得到的是全局最优点，解决了在神经网络 数据包过程中的各类行为要素，包括时间、频度、IP、端 方法 中无法避免的局部极值问题 。 口、包长、协议声明特征、发送指纹等。在统计分析中的 (3)算法将实际问题通过非线性变换转换到高维的特 行为特征上，不同协议类型的应用数据传送之间具有很高 征空间，在特征空间中构造线性判别函数来实现原空间中 的区分度，且不论内容如何，均相对为固有特征。因此， 的非线性判别函数，巧妙地避免 了 “维数灾难”问题其算 ■本模型采用的基于SVM的流量特征检测方法可以准确地 一一，对网络协议进行分类。 法复杂度与特征空间的维数无关。 SVM (支撑向量机 )是基于结构风险最小化的普适， 而有效的统计学习理论最具代表性的新型小样本学