一种联合DPI和DFI的网络流量检测方法 被引量：12

1

作者 叶文晨 汪敏 +1 位作者 陈云寰 张之远 《计算机工程》 CAS CSCD 北大核心 2011年第10期102-104,107,共4页

提出一种以深度包检测(DPI)技术为主、深度流检测(DFI)技术为辅的网络流量检测方法。基于MPC8572网络处理器的模式匹配引擎模块,利用DPI实现细粒度检测,对于DPI的误识别情况,通过DFI进行鉴别并提示重新检测,以达到纠错目的。实验结果表... 提出一种以深度包检测(DPI)技术为主、深度流检测(DFI)技术为辅的网络流量检测方法。基于MPC8572网络处理器的模式匹配引擎模块,利用DPI实现细粒度检测,对于DPI的误识别情况,通过DFI进行鉴别并提示重新检测,以达到纠错目的。实验结果表明,联合方法具有检错和纠错功能,且能提高网络流量检测的准确率。 展开更多

关键词 深度包检测 深度流检测 网络流量检测 模式匹配引擎

在线阅读 下载PDF 职称材料

OpenDPI报文识别分析 被引量：7

2

作者 魏永 周云峰 郭利超 《计算机工程》 CAS CSCD 北大核心 2011年第S1期98-100,103,共4页

传统数据流分析方法不能实现对数据流的精细化管理。为此,介绍开源深度报文检测程序OpenDPI,研究其源代码的设计结构和功能,分析报文识别的原理和过程,解决数据流会话的有效期和多报文处理问题。分析结果表明,OpenDPI可实现对报文协议... 传统数据流分析方法不能实现对数据流的精细化管理。为此,介绍开源深度报文检测程序OpenDPI,研究其源代码的设计结构和功能,分析报文识别的原理和过程,解决数据流会话的有效期和多报文处理问题。分析结果表明,OpenDPI可实现对报文协议规则的动态添加与更新。 展开更多

关键词 Opendpi源代码 网络管理 数据流 深度报文检测 报文识别

在线阅读 下载PDF 职称材料

一种基于DPI和负载随机性的加密流量识别方法 被引量：9

3

作者 孙中军 翟江涛 戴跃伟 《应用科学学报》 CAS CSCD 北大核心 2019年第5期711-720,共10页

随着加密技术的发展和私有协议的不断出现,加密流量的识别已经成为信息安全领域的重要研究方向.该文在现有加密流量识别技术研究基础上提出一种基于深度包检测技术(deep packet inspection,DPI)和负载随机性的加密流量识别方法,该方法... 随着加密技术的发展和私有协议的不断出现,加密流量的识别已经成为信息安全领域的重要研究方向.该文在现有加密流量识别技术研究基础上提出一种基于深度包检测技术(deep packet inspection,DPI)和负载随机性的加密流量识别方法,该方法主要分为三部分:首先用DPI技术对网络流量快速筛选识别;其次对DPI无法识别流量的有效负载计算信息熵值和蒙特卡罗仿真估计π值的误差;最后输入C4.5决策树分类器进行分类评估.所提方法不仅可克服了DPI无法完全识别协议交互阶段的加密数据和私有协议的缺陷,同时解决了用信息熵识别加密流量和非加密压缩流量误判的问题.实验表明,所提方法较现有的识别模型对加密流量的识别效果有较大提高,同时验证了所提方法的鲁棒性. 展开更多

关键词 加密流量 深度包检测技术 信息熵 蒙特卡罗仿真 C4.5决策树

在线阅读 下载PDF 职称材料

深度包检测中一种高效的正则表达式压缩算法 被引量：29

4

作者 徐乾 鄂跃鹏 +1 位作者 葛敬国 钱华林 《软件学报》 EI CSCD 北大核心 2009年第8期2214-2226,共13页

提出一种基于确定的有穷状态自动机(deterministic finite automaton,简称DFA)的正则表达式压缩算法.首先,定义了膨胀率DR(distending rate)来描述正则表达式的膨胀特性.然后基于DR提出一种分片的算法RECCADR(regular expressions cut a... 提出一种基于确定的有穷状态自动机(deterministic finite automaton,简称DFA)的正则表达式压缩算法.首先,定义了膨胀率DR(distending rate)来描述正则表达式的膨胀特性.然后基于DR提出一种分片的算法RECCADR(regular expressions cut and combine algorithm based on DR),有效地选择出导致DFA状态膨胀的片段并隔离,降低了单个正则表达式存储需求.同时,基于正则表达式的组合关系提出一种选择性分群算法REGADR(regular expressions group algorithm based on DR),在可以接受的存储需求总量下,通过选择性分群大幅度减少了状态机的个数,有效地降低了匹配算法的复杂性. 展开更多

关键词 正则表达式 确定的有穷状态自动机(deterministic finite automaton 简称DFA) 深度包检测(deep packet inspection 简称dpi) 多模式匹配算法 入侵检测

在线阅读 下载PDF 职称材料

深度报文检测中基于GPU的正则表达式匹配引擎 被引量：10

5

作者 王磊 陈曙晖 +1 位作者 苏金树 许孟晋 《计算机应用研究》 CSCD 北大核心 2010年第11期4324-4327,共4页

提出了一种基于GPU的正则表达式匹配引擎来加速深度报文检测中的模式匹配过程。该引擎基于DFA模型,在匹配时每一个GPU线程处理一个报文,通过大量的并行线程来提高引擎的吞吐量。基于NVIDIA GeForce 9800GT GPU的实验表明,该引擎处理实... 提出了一种基于GPU的正则表达式匹配引擎来加速深度报文检测中的模式匹配过程。该引擎基于DFA模型,在匹配时每一个GPU线程处理一个报文,通过大量的并行线程来提高引擎的吞吐量。基于NVIDIA GeForce 9800GT GPU的实验表明,该引擎处理实际网络报文时的吞吐量达到了7.91 Gbps。 展开更多

关键词 深度报文检测 模式匹配 正则表达式 图形处理单元

在线阅读 下载PDF 职称材料

基于网络通信指纹的启发式木马识别系统 被引量：7

6

作者 唐彰国 李焕洲 +1 位作者 钟明全 张健 《计算机工程》 CAS CSCD 北大核心 2011年第17期119-121,139,共4页

对比传统木马检测技术的原理及特点,根据网络数据流检测木马的需求,提出一种基于网络通信特征分析的木马识别方法。引入通信指纹的概念扩展通信特征的外延,用实验方法归纳木马在连接、控制和文件传输阶段表现出的通信指纹信息,设计并实... 对比传统木马检测技术的原理及特点,根据网络数据流检测木马的需求,提出一种基于网络通信特征分析的木马识别方法。引入通信指纹的概念扩展通信特征的外延,用实验方法归纳木马在连接、控制和文件传输阶段表现出的通信指纹信息,设计并实现一个启发式木马网络通信指纹识别系统。测试结果表明,该系统运行高效、检测结果准确。 展开更多

关键词 木马识别 通信指纹 启发式 深度包检测 数据流

在线阅读 下载PDF 职称材料

基于智能会话关联的腾讯语音流量识别算法 被引量：4

7

作者 王攀 金婷 +2 位作者 张顺颐 陈雪娇 李薇 《计算机工程》 CAS CSCD 北大核心 2007年第17期137-139,共3页

通过实验分析了国内流行的即时通信软件——腾讯QQ的流量特征以及其语音会话的流量特征,应用净荷深度检测(DPI)和智能会话关联(ISA)技术来识别腾讯语音通话流量,设计了腾讯语音业务流量的识别模型和算法。模型和算法的准确性、可扩展性... 通过实验分析了国内流行的即时通信软件——腾讯QQ的流量特征以及其语音会话的流量特征,应用净荷深度检测(DPI)和智能会话关联(ISA)技术来识别腾讯语音通话流量,设计了腾讯语音业务流量的识别模型和算法。模型和算法的准确性、可扩展性和健壮性在电信运营商IP骨干网中得到了验证。 展开更多

关键词 净荷深度检测 流量识别 VoIP识别 会话关联

在线阅读 下载PDF 职称材料

基于稀疏矩阵存储的状态表压缩算法 被引量：5

8

作者 姚远 刘鹏 +1 位作者 王辉 笱程成 《计算机应用》 CSCD 北大核心 2010年第8期2157-2160,2217,共5页

正则表达式匹配对于网络安全应用至关重要。将稀疏矩阵和索引表引入确定的有限自动机的状态转换表,提出了一种稀疏矩阵索引的状态压缩表算法,并给出了稀疏矩阵和索引表的构造方法。而后同字母压缩表算法结合,给出了该算法的优化策略。... 正则表达式匹配对于网络安全应用至关重要。将稀疏矩阵和索引表引入确定的有限自动机的状态转换表,提出了一种稀疏矩阵索引的状态压缩表算法,并给出了稀疏矩阵和索引表的构造方法。而后同字母压缩表算法结合,给出了该算法的优化策略。最后在实际规则集上进行评估,实验结果证明了算法的压缩效果,并进一步得出了算法的适用范围。 展开更多

关键词 确定的有限自动机 深度包检测 正则表达式 稀疏矩阵 压缩算法

在线阅读 下载PDF 职称材料

基于距离比较的AC自动机并行匹配算法 被引量：8

9

作者 姜海洋 李雪菲 杨晔 《电子与信息学报》 EI CSCD 北大核心 2022年第2期581-590,共10页

随着网络带宽的快速增长,作为网络安全设备核心模块的多模式匹配(MPM)算法面临严峻的性能挑战。该文提出一种高效的数据包分割和并行匹配算法—距离比较并行匹配算法(DCPM)。和已有方法相比,并行的DCPM线程间不存在同步开销,引入的冗余... 随着网络带宽的快速增长,作为网络安全设备核心模块的多模式匹配(MPM)算法面临严峻的性能挑战。该文提出一种高效的数据包分割和并行匹配算法—距离比较并行匹配算法(DCPM)。和已有方法相比,并行的DCPM线程间不存在同步开销,引入的冗余检测开销达到理论最小。基于Aho-Corasick(AC)算法,在8核处理器平台上将DCPM算法与已有的数据包分割方法进行了性能比较。实验结果表明,和已有方法相比,DCPM算法的适应性更好,性能受网络流量中模式串占比、模式串长度及自动机状态数等因素的影响更小;在处理真实数据集时,DCPM算法的加速比提升1.3~3.5倍。 展开更多

关键词 模式匹配 多线程 多核 深度包检测 AHO-CORASICK算法

在线阅读 下载PDF 职称材料

因子分解机算法在基于深度数据包检测的手机应用推荐中的应用 被引量：3

10

作者 孙良君 范剑锋 +1 位作者 杨婉琪 史颖欢 《计算机应用》 CSCD 北大核心 2016年第2期307-310,共4页

为了从网络数据包中抽取相关特征进行手机应用推荐,使用江苏电信运营商在互联网服务提供商(ISP)机房抽取的网络深度数据包数据,从中抽取运营商所关心的热点手机用户的App访问信息,然后使用基于矩阵分解(包括奇异值分解(SVD)和非负矩阵分... 为了从网络数据包中抽取相关特征进行手机应用推荐,使用江苏电信运营商在互联网服务提供商(ISP)机房抽取的网络深度数据包数据,从中抽取运营商所关心的热点手机用户的App访问信息,然后使用基于矩阵分解(包括奇异值分解(SVD)和非负矩阵分解(NMF))的推荐算法、奇异值分解推荐算法以及因子分解机推荐算法进行手机App推荐。实验表明,因子分解机算法取得了较好的推荐效果。这说明因子分解机在手机应用推荐的场景中可以更好地描述用户和物品之间的隐含关联。 展开更多

关键词 手机App 深度数据包检测 奇异值分解 非负矩阵分解 因子分解机

在线阅读 下载PDF 职称材料

基于深度报文检测和安全增强的正向隔离装置设计及实现 被引量：10

11

作者 曹翔 张阳 +3 位作者 宋林川 胡绍谦 汤震宇 张春合 《电力系统自动化》 EI CSCD 北大核心 2019年第2期162-167,共6页

为了提高新的网络安全环境及配电网接入环境中电力系统内部通信网络的安全性,提出了基于深度报文检测和安全增强的正向隔离装置。在对传统正向隔离装置原理和脆弱性分析的基础上,通过采用现场可编程门阵列(FPGA)作为隔离岛部件提高了隔... 为了提高新的网络安全环境及配电网接入环境中电力系统内部通信网络的安全性,提出了基于深度报文检测和安全增强的正向隔离装置。在对传统正向隔离装置原理和脆弱性分析的基础上,通过采用现场可编程门阵列(FPGA)作为隔离岛部件提高了隔离岛的传输速率并降低了误码率,通过采用深度报文检测技术解决了反向穿透性威胁,通过采用双因子身份鉴别技术提高了人机用户管理的安全性,通过采用基于国密算法的加密认证技术提高了本地管理的安全性。与传统的正向隔离装置相比,装置的性能和安全性都得到了提高。最后通过工程应用验证了理论的可行性和技术的实用性。 展开更多

关键词 深度报文检测 双因子 加密 认证 网络安全

在线阅读 下载PDF 职称材料

面向移动应用识别的结构化特征提取方法 被引量：14

12

作者 沈亮 王鑫 陈曙晖 《计算机应用》 CSCD 北大核心 2020年第4期1109-1114,共6页

针对移动应用流量监控及行为分析等需要,为有效识别移动网络流量所属的应用,提出一种超文本传输协议(HTTP)流结构化特征提取方法。采取一款自研的基于虚拟专用网络(VPN)的流量采集工具获取研究数据,该工具能够精确标识每一条数据流归属... 针对移动应用流量监控及行为分析等需要,为有效识别移动网络流量所属的应用,提出一种超文本传输协议(HTTP)流结构化特征提取方法。采取一款自研的基于虚拟专用网络(VPN)的流量采集工具获取研究数据,该工具能够精确标识每一条数据流归属的应用。在特征提取阶段,不预先设计特征构成,通过流聚类、获取最长公共子序列、字符替换得到应用HTTP流的结构化特征。从42种应用的117772条HTTP流中提取特征,并对测试集的50387条HTTP流进行识别,所提方法的平均准确率达99%,平均查全率为90.63%,单个应用最大误报率为0.52%。实验结果表明,该结构化特征提取方法能够有效识别移动应用的流量。 展开更多

关键词 流量采集 移动应用识别 流量分类 深度包检测 特征提取

在线阅读 下载PDF 职称材料

基于信息熵的流量识别方法 被引量：5

13

作者 吴震 刘兴彬 童晓民 《计算机工程》 CAS CSCD 北大核心 2009年第20期115-116,120,共3页

针对当前基于流特征的流量识别方法准确率较低的问题,提出一种基于信息熵的流量识别方法,运用信息熵寻找显著特征,根据显著特征进行级联分簇。实验分析表明,该方法识别流和字节的准确率达90%以上,比单纯用K-Means等聚类算法的准确率提高... 针对当前基于流特征的流量识别方法准确率较低的问题,提出一种基于信息熵的流量识别方法,运用信息熵寻找显著特征,根据显著特征进行级联分簇。实验分析表明,该方法识别流和字节的准确率达90%以上,比单纯用K-Means等聚类算法的准确率提高10%左右。 展开更多

关键词 流量识别 信息熵 K-MEANS算法 深度包探测

在线阅读 下载PDF 职称材料

网络背景流量的分类与识别研究综述 被引量：30

14

作者 邹腾宽 汪钰颖 吴承荣 《计算机应用》 CSCD 北大核心 2019年第3期802-811,共10页

互联网流量分类是识别网络应用和分类相应流量的过程,这被认为是现代网络管理和安全系统中最基本的功能。与应用相关的流量分类是网络安全的基础技术。传统的流量分类方法包括基于端口的预测方法和基于有效载荷的深度检测方法。在目前... 互联网流量分类是识别网络应用和分类相应流量的过程,这被认为是现代网络管理和安全系统中最基本的功能。与应用相关的流量分类是网络安全的基础技术。传统的流量分类方法包括基于端口的预测方法和基于有效载荷的深度检测方法。在目前的网络环境下,传统的方法存在一些实际问题,如动态端口和加密应用,因此采用基于流量统计特征的机器学习(ML)技术来进行流量分类识别。机器学习可以利用提供的流量数据进行集中自动搜索,并描述有用的结构模式,这有助于智能地进行流量分类。起初使用朴素贝叶斯方法进行网络流量分类的识别和分类,对特定流量进行实验时,表现较好,准确度可达90%以上,但对点对点传输网络流量(P2P)等流量识别准确度仅能达到50%左右。然后有使用支持向量机(SVM)和神经网络(NN)等方法,神经网络方法使整体网络流量的分类准确度能达到80%以上。多项研究结果表明,对于多种机器学习方法的使用和后续的改进,很好地提高了流量分类的准确性。 展开更多

关键词 流量分类 背景流量 机器学习 深度包检测技术 基于行为模式的分类

在线阅读 下载PDF 职称材料

一种新型精确深度包检测引擎研究与设计

15

作者 刘博岩 全成斌 赵有健 《小型微型计算机系统》 CSCD 北大核心 2012年第7期1409-1413,共5页

传统的深度包检测算法通常存在频率带宽瓶颈、不能精确匹配、不切实际的存储要求等其中之一或数个缺点.本文基于哈希与Bloom Filter提出一种新型精确匹配结构:Bloom Filter分类器,首先基于哈希对特征串分组,再用多组Bloom Filter对输入... 传统的深度包检测算法通常存在频率带宽瓶颈、不能精确匹配、不切实际的存储要求等其中之一或数个缺点.本文基于哈希与Bloom Filter提出一种新型精确匹配结构:Bloom Filter分类器,首先基于哈希对特征串分组,再用多组Bloom Filter对输入串分类,在每长度定位到唯一可能的匹配串并对比验证.对Snort、ClamAV集合进行了存储实验评估,以约1.22(字节/字符)的低存储代价实现对万条字符串集的精确匹配.该结构具有精确匹配、多字节匹配扩展简单、不存在带宽瓶颈等优点. 展开更多

关键词 网络入侵检测系统 深度包检测 多模式匹配 BLOOM FILTER

在线阅读 下载PDF 职称材料