文献综述
近十年来,由于网络服务质量(QoS)、安全性、计费、设计和工程等机制的实现,流量分类技术受到了越来越多的关注[1,4]。由于其重要性,许多不同的方法已经发展了多年,以适应不同应用场景的多样化和不断变化的需求,尤其是通信领域的新进展,包括加密技术和端口混淆,但同时也给网络分类带来了新的挑战[2]。
随着网络技术的发展以及人们对隐私的重视,各种加密技术在网络通信中得到了广泛的应用,加密网络流量已成为网络管理的一大挑战。对加密流量分类的研究不仅有助于提高网络服务质量,而且有助于提高网络服务质量。使用加密技术的新应用的出现导致了加密流量的出现,给流量分类领域带来了新的挑战[3]。
加密和端口混淆等技术的使用为加密网络协议和加密网络应用的精细化识别和准确识别带来了额外挑战,使得流量分析和网络管理还存在一定的难度。因此,能够快速准确地进行加密协议和加密应用的识别与分类,对于很多网络安全相关的任务具有基础性作用和非常重要的实际意义。
根据加密层次的不同,流量加密技术可分为应用层加密、表示层加密和网络层加密。应用层加密是指应用程序在应用层(如BitTorrent或Skype)实现自己的安全数据传输协议,在一些论文中也称为常规加密。表示层加密和网络层加密是指应用程序从上层对整个数据包进行加密,典型的技术是TLS和IPsec,一些隧道技术如VPN(包括sslvpn、ipsecvpn、pptpvpn和l2tpvpn[12])就是基于这些技术的[11]。这种加密类型也称为协议封装。在某些情况下,通过常规加密的加密流量可以通过协议封装进一步加密(例如,通过VPN的Skype流量:Skype是一个加密的P2P(Peer-to-Peer)VoIP应用程序。Skype以其广泛的功能而闻名,包括免费的语音和视频会议,以及利用P2P技术克服常见防火墙和NAT问题的能力[13])。
根据需求粒度的不同,加密流量分类可分为加密流量识别、加密流量特征化和详细加密流量分类。加密流量识别是指从未加密的流量中识别出加密的流量,目前对这一问题的研究很多。详细的加密流量分类意味着将流量与特定应用程序相关联。由于应用程序和版本的多样性,这项任务相对比较困难。加密流量特征表示将流量与一种应用程序(如聊天或流媒体)相关联[6]。
网络流量分类方法可以分为以下三大类:基于端口的、有效负载检查以及统计和机器学习[5,6,9,13,16]。
1.基于端口的方法:基于端口的分类器使用数据包的TCP/UDP报头中的信息来提取假定与特定应用程序相关联的端口号。提取端口号后,将其与分配的IANA TCP/UDP端口号进行比较,以进行流量分类。提取过程简单,端口号不受加密方案的影响。由于提取过程的快速性,这种方法通常用于防火墙和访问控制列表(ACL)。基于端口的分类是最简单、最快速的网络流量识别方法之一。然而,端口混淆、网络地址转换(NAT)、端口转发、协议嵌入和随机端口分配的普遍性大大降低了这种方法的准确性。基于这些原因,需要更复杂的流量分类方法来对现代网络流量进行分类。
2.有效载荷检查技术:这些技术基于对数据包的应用层有效载荷中可用信息的分析。大多数有效负载检查方法,也称为深度包检查(DPI),使用诸如正则表达式之类的预定义模式作为每个协议的签名,然后使用导出的模式来区分协议。深度包检查是检测网络攻击很有效的方法[7]。每当发布新协议时都需要更新模式,用户隐私问题是这种方法最重要的缺点之一。因此,DPI等提出了一种新的检查用户隐私的有效负载的方法(HTTP),而DPI等只能对其进行解密[10]。
3.统计和机器学习方法:其中一些方法(主要称为统计方法)有一个有偏见的假设,即每个应用程序的底层流量具有一些统计特征,这些特征对于每个应用程序来说几乎是唯一的。每种统计方法都使用其函数和统计信息。
以上是毕业论文文献综述,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。
