基于数据分类的网络通信行为建模方法分析-计算机应用技术专业论文.docxVIP

I I 摘要 摘 要 随着网络规模迅速发展，网络数据流的交互呈指数增长。当前 Internet 主干带 宽已达 40Gb 。这就意味着这样高速高带宽的网络 1 分钟内通过的数据流量超过 上百万条。不但如此，早期制定的协议规范已经远远满足不了现在的网络需求。 因此，各种协议如雨后春笋般涌现。网络上 p2p 流，流媒体流，网络游戏协议流 大量出现，甚至私人制定的协议格式流和黑客发送的带有攻击性的协议流也充斥 着网络世界。这些协议的规范大多并不公开并且协议本身不遵守默认的端口约定， 这就给网络数据安全的监管提出了巨大的挑战。2014 年国家网络安全大会的召开， 表明信息网络安全与对抗已成为国家信息化战略的核心内容。这反映了当前网络 安全所面对的严峻形势，同时也刺激了新的对网络安全方面的探索和研究。 协议识别的研究一直以来都是网络安全领域的热门方向。协议识别是指通过 一定的流特征或负载特征将网络上的数据流分类成不同协议簇，而且分类得到的 每类协议簇应该只包含同一类别的协议。协议识别技术为运营商、网络管理员、 抓包软件等提供了识别和监管网络上数据信息的方法，同时也为发现带有恶意行 为的网络协议报文和防止敏感信息泄露提供了保障。 基于协议识别在网络安全防护方面的重要地位，本文章概述了协议识别技术 的背景、发展历程以及主要方法。对基于特征串选择的协议识别算法进行了深入 研究，同时介绍了几种经典的特征串选择算法。包括相关性特征选择（CFS），卡 方检验（ChiSquare），信息增益（InfoGain），信息增益率（InfoGainRatio）等，并 且分析了它们的原理，比较了各自的优缺点。 在对以上特征选择算法研究的基础上本文提出了二进制单协议报文环境下基 于互信息的无监督的特征选择方法。此方法主要解决对底层端口上抓取的二进制 数据帧进行特征选择从而完成协议识别的问题。方法结合了信息论中互信息的概 念，提出将“最大相关性-最小冗余度”作为特征选择依据，并且通过实验，与其 他特征选择算法进行对比分析。本文提出的基于互信息的无监督的特征选择算法， 实验结果的分类准确率达到了 90%以上。并且算法选择得到的特征串与协议真实 特征串比较，包含了区分其他协议的主要特征串，能够作为识别协议格式的依据， 这就验证了此算法对二进制协议报文识别的有效性。 通常的协议识别算法主要面向应用层协议流或文本文件进行协议识别，鲜有 直接对底层二进制报文格式的数据进行协议识别的。而研究协议的通信行为，势 必需要研究底层端口交互的数据流，也就是二进制数据流。本文研究的方法就是 II II 摘要 针对二进制协议报文的，并且，在不要求数据集合任何类别信息的条件下同样可 以完成特征选择和数据分类。这与传统方法相比是一大改进，也为进一步研究未 知通信协议识别模型提供了思路。 关键字：协议识别，特征选择，二进制报文，互信息 PAGE PAGE IV ABSTRACT ABSTRACT With rapid development of Internet ， Web date stream communication exponentially.The current Internet branch band width has reached 40Gb. This means that date traffic with high speed and high bandwidth network withthin 1 minutes by more than millions of. Not only so，early protocol cannot satisfy the demand of present network. Therefore，various protocols have sprung up. In the network，the P2p flow， the media class，game protocol appeared in large numbers，even private fomate flow with the hacker transmits has the aggressive ageeement is also follding the network world.The specification of these protocols are mostly not open and the protocal itself does not compy with the default pove agree，the presents a great challenge to the network date security sup