应用协议特征签名的特征库管理系统开发

作     者：刘栓 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：黄小红

授予年度：2013年

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 081202[工学-计算机软件与理论] 

主      题：流量识别 生成树 特征管理 可视化 

摘      要：随着互联网规模的扩张和用户的增长,全球范围内的互联网数据流量也出现了爆炸式的增长,预计到2014年的数据规模将是2010年的四倍以上。伴随着网络流量的暴增,新的网络业务类型也是层出不穷,故而对网络流量的测量与分析也越发显得重要。 有别于基于端口号的流量识别、基于流量统计特征的流量分类识别和基于用户社会行为的流量识别方式,基于深度包检测技术的识别方式是一种准确性和实用性都很优异的网络流量识别方式,因而在实际的网络运营管理中得到了广泛的应用。基于深度包检测技术的识别主要依赖于系统中的特征库对流量进行识别,特征管理的效率和质量将直接影响识别的效果。目前传统的系统主要使用数组或者链表式进行管理,其效率难以跟上新应用不断出现带来的更新需要,因此需要提出一种更好的特征库管理方案来适应这些需求。 本论文根据目前的特征管理方式,借鉴了蠕虫攻击检测领域对蠕虫特征的特征管理方式,提出了利用新的使用特征生成树来管理应用协议特征的方法,利用树形结构效率上的优势,提高了协议特征的使用效率。同时使用机器学习的方法,能够动态的确定特征的准确率和误判率,使得特征能够在使用中不断调整参数,提升判断的可靠率。最后实现了一套用于特征可视化的系统,帮助使用者更好的观察和理解特征之间的关联与变化。