張甲 侯磊

【摘 要】一直以來(lái)，網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別都是網(wǎng)絡(luò)技術(shù)研究的難點(diǎn)與熱點(diǎn)問(wèn)題，屬于網(wǎng)絡(luò)安全系統(tǒng)的核心。在當(dāng)前，主流的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法主要為基于網(wǎng)絡(luò)流行為的網(wǎng)絡(luò)應(yīng)用識(shí)別方法及基于載荷的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法，這兩種網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)都存在著一定的局限性，為更好地分析真實(shí)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)數(shù)據(jù)，對(duì)有效區(qū)分應(yīng)用協(xié)議網(wǎng)絡(luò)流特征向量進(jìn)行統(tǒng)計(jì)與挖掘，提出建立聚類算法下網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)。本文從網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)的研究現(xiàn)狀出發(fā)，提出建立聚類算法下網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)，并對(duì)幾種聚類算法進(jìn)行簡(jiǎn)述，最終通過(guò)實(shí)際試驗(yàn)證明了聚類算法下網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)具備良好的識(shí)別效果。

【關(guān)鍵詞】聚類算法 網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)

【中圖分類號(hào)】G250.72【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1672-5158（2013）07-0143-01

隨著互聯(lián)網(wǎng)應(yīng)用技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)網(wǎng)絡(luò)應(yīng)用日新月異，層出不窮，致使網(wǎng)絡(luò)流量日趨復(fù)雜化。在互聯(lián)網(wǎng)發(fā)展之初，僅僅存在著簡(jiǎn)單的幾種協(xié)議，如HTTP、FTP、SMTP，伴隨著即時(shí)通信、視頻、P2P等技術(shù)的發(fā)展與應(yīng)用，讓互聯(lián)網(wǎng)中承載的內(nèi)容日趨多樣，尤其是P2P資源共享技術(shù)，實(shí)現(xiàn)了用戶之間對(duì)等的資源共享。隨著網(wǎng)絡(luò)應(yīng)用種類的不斷增加，為網(wǎng)絡(luò)管理與運(yùn)行帶來(lái)了極大的挑戰(zhàn)。加上當(dāng)前人們對(duì)網(wǎng)絡(luò)應(yīng)用的依賴程度越來(lái)越高，對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性提出了更高的要求，從而推動(dòng)了網(wǎng)絡(luò)帶寬技術(shù)的進(jìn)步。然而，面對(duì)龐大的網(wǎng)絡(luò)流量，網(wǎng)絡(luò)安全系統(tǒng)需要進(jìn)行更大數(shù)據(jù)量的處理，更是對(duì)流量實(shí)時(shí)處理提出了更高的性能要求。

一、網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)研究現(xiàn)狀

網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)屬于網(wǎng)絡(luò)安全系統(tǒng)的核心，通過(guò)網(wǎng)絡(luò)應(yīng)用識(shí)別系統(tǒng)，可以快速準(zhǔn)確地識(shí)別出網(wǎng)絡(luò)流中所應(yīng)用的業(yè)務(wù)，并控制各類網(wǎng)絡(luò)應(yīng)用協(xié)議的使用帶寬，限制非授權(quán)網(wǎng)絡(luò)應(yīng)用寬帶需求，滿足授權(quán)網(wǎng)絡(luò)應(yīng)用的帶寬要求，通過(guò)這種方式，分配網(wǎng)絡(luò)容量，深化網(wǎng)絡(luò)流量安全檢測(cè)，進(jìn)一步提高網(wǎng)絡(luò)服務(wù)的質(zhì)量，為用戶帶來(lái)更好的網(wǎng)絡(luò)體驗(yàn)。

在當(dāng)前，網(wǎng)絡(luò)應(yīng)用協(xié)議中網(wǎng)絡(luò)流呈現(xiàn)出靜態(tài)特征與動(dòng)態(tài)特征。根據(jù)網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法的使用特征，大致可以分為三個(gè)種類，分別為基于網(wǎng)絡(luò)流行為的網(wǎng)絡(luò)應(yīng)用識(shí)別方法、基于載荷的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法與基于端口的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法。

（一）網(wǎng)絡(luò)應(yīng)用協(xié)議中網(wǎng)絡(luò)流特征

在不同的網(wǎng)絡(luò)應(yīng)用協(xié)議中，存在著不同的流量特征，這些流量特征是建立網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別的基礎(chǔ)。主要的流量特征包括流行為統(tǒng)計(jì)特征、端口特征及應(yīng)用層負(fù)載數(shù)據(jù)字符特征等，這些網(wǎng)絡(luò)流表現(xiàn)出靜態(tài)特征與動(dòng)態(tài)特征。

1.網(wǎng)絡(luò)應(yīng)用協(xié)議的靜態(tài)特征

靜態(tài)特征，在所有網(wǎng)絡(luò)協(xié)議中都不會(huì)隨著時(shí)間與空間因素的變化而發(fā)生改變，具備固有特征。靜態(tài)特征主要是對(duì)數(shù)據(jù)報(bào)所攜帶的數(shù)據(jù)內(nèi)容進(jìn)步處理分析，最終對(duì)不同網(wǎng)絡(luò)應(yīng)用協(xié)議特征進(jìn)行區(qū)分，靜態(tài)特征主要包括應(yīng)用層負(fù)載數(shù)據(jù)字符特征與端口特征兩種。

靜態(tài)特征中應(yīng)用層負(fù)載數(shù)據(jù)字符特征主要指的是應(yīng)用層中用戶的數(shù)據(jù)會(huì)存在特定的特殊字段，如在P2P網(wǎng)絡(luò)應(yīng)用的控制報(bào)文中，報(bào)文應(yīng)用層所攜帶的數(shù)據(jù)會(huì)具備一些特定存在的字符。通過(guò)網(wǎng)絡(luò)流檢測(cè)技術(shù)，針對(duì)報(bào)文中所攜帶的特定字符判斷出報(bào)文是否屬于P2P文件共享應(yīng)用所發(fā)報(bào)文，然后進(jìn)行網(wǎng)絡(luò)流的管理與控制。隨著網(wǎng)絡(luò)應(yīng)用領(lǐng)域不斷擴(kuò)大，人們對(duì)信息傳遞的安全性提出了更高要求，更是將加密機(jī)制應(yīng)用在網(wǎng)絡(luò)應(yīng)用之中，在防止信息泄露的同時(shí)，也隱藏了網(wǎng)絡(luò)流數(shù)據(jù)字符特征，導(dǎo)致網(wǎng)絡(luò)流數(shù)據(jù)特征不能快速及時(shí)地識(shí)別出網(wǎng)絡(luò)應(yīng)用協(xié)議。

2.動(dòng)態(tài)特征

動(dòng)態(tài)特征，指的是在某一種網(wǎng)絡(luò)應(yīng)用協(xié)議中，隨著時(shí)間與空間因素的變化而出現(xiàn)不同結(jié)果，動(dòng)態(tài)特征又被稱之為網(wǎng)絡(luò)應(yīng)用行為特征，需要一定的連續(xù)時(shí)間與空間積累才可以將動(dòng)態(tài)特征顯示出來(lái)。

（二）網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法研究現(xiàn)狀

1. 基于網(wǎng)絡(luò)流行為的網(wǎng)絡(luò)應(yīng)用識(shí)別方法

基于網(wǎng)絡(luò)流行為的網(wǎng)絡(luò)應(yīng)用識(shí)別方法主要是對(duì)數(shù)據(jù)報(bào)中行為特征進(jìn)行統(tǒng)計(jì)，并將統(tǒng)計(jì)結(jié)果抽象成多維向量，結(jié)合機(jī)器學(xué)習(xí)方式，對(duì)多維向量間大小關(guān)系進(jìn)行識(shí)別，最終對(duì)網(wǎng)絡(luò)流應(yīng)用協(xié)議進(jìn)行判斷。這種方法擴(kuò)展性良好，可以發(fā)現(xiàn)新特征流，局限性是難以通過(guò)簡(jiǎn)單匹配的方式完成應(yīng)用協(xié)議識(shí)別。

2.基于載荷的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法

基于載荷的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法采取還原技術(shù)與協(xié)議分析的方法，針對(duì)數(shù)據(jù)報(bào)采取深度檢測(cè)，獲取應(yīng)用層所攜帶的數(shù)據(jù)內(nèi)容，并對(duì)其數(shù)據(jù)中包含的內(nèi)容進(jìn)行分析，最終呈現(xiàn)出協(xié)議正則表達(dá)式，通過(guò)協(xié)議正則表達(dá)式判斷網(wǎng)絡(luò)流中所應(yīng)用的網(wǎng)絡(luò)協(xié)議，對(duì)網(wǎng)絡(luò)流進(jìn)行管理與控制。這種識(shí)別方法精確度高，維護(hù)簡(jiǎn)單，其局限性在于不能實(shí)現(xiàn)隱私保護(hù)，對(duì)新型應(yīng)用實(shí)用性較差等。

3.基于端口的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法

基于端口的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法主要應(yīng)用于傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用協(xié)議識(shí)別系統(tǒng)中，在傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用中，服務(wù)端口具備統(tǒng)一規(guī)范的特性，加上協(xié)議的數(shù)量較少，采取端口的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法十分有效，且技術(shù)實(shí)現(xiàn)簡(jiǎn)單，開(kāi)銷(xiāo)較小，能夠優(yōu)化網(wǎng)絡(luò)性能，提高網(wǎng)絡(luò)服務(wù)的質(zhì)量。但隨著端口自定義的出現(xiàn)及應(yīng)用，龐大網(wǎng)絡(luò)流量及網(wǎng)絡(luò)協(xié)議種類不斷增加，越發(fā)顯示出基于端口的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法的落后。

二、基于聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)及聚類算法

聚類算法，其核心為是將相似對(duì)象聚成為一個(gè)簇，對(duì)不同對(duì)象進(jìn)行分類處理?；诰垲愃惴ǖ木W(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)，將網(wǎng)絡(luò)流視為相似對(duì)象，通過(guò)有效區(qū)分網(wǎng)絡(luò)流特征地提進(jìn)行聚類，將相同網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)流聚成為一個(gè)簇，從而判斷出網(wǎng)絡(luò)流所使用的網(wǎng)絡(luò)協(xié)議。

（一）基于聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)實(shí)現(xiàn)的總體流程

基于聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)實(shí)現(xiàn)的總體流程如下：對(duì)正在傳遞的網(wǎng)絡(luò)流量進(jìn)行抓??；對(duì)網(wǎng)絡(luò)流量中數(shù)據(jù)報(bào)通過(guò)特殊網(wǎng)絡(luò)流劃分方式進(jìn)行劃分，獲得不同的網(wǎng)絡(luò)流；對(duì)每個(gè)網(wǎng)絡(luò)流所攜帶數(shù)據(jù)進(jìn)行提取，并將提取結(jié)果與每種網(wǎng)絡(luò)應(yīng)用協(xié)議中存在的匹配正則表達(dá)式作匹配處理；通過(guò)匹配處理分析出網(wǎng)絡(luò)流使用的網(wǎng)絡(luò)協(xié)議；如通過(guò)匹配處理分析出網(wǎng)絡(luò)流使用的網(wǎng)絡(luò)協(xié)議，則進(jìn)行網(wǎng)絡(luò)流管理與控制；如不能通過(guò)匹配處理分析出網(wǎng)絡(luò)流使用的網(wǎng)絡(luò)協(xié)議，則提取網(wǎng)絡(luò)流中特征向量，將網(wǎng)絡(luò)流特征向量及標(biāo)識(shí)存儲(chǔ)到網(wǎng)絡(luò)流信息數(shù)據(jù)中；采用聚類算法對(duì)網(wǎng)絡(luò)流特征進(jìn)行處理；通過(guò)判斷每簇所含有的網(wǎng)絡(luò)應(yīng)用協(xié)議，判斷出網(wǎng)絡(luò)應(yīng)用協(xié)議的類型。

（二）聚類算法

1.K-means聚類算法

當(dāng)前，最為經(jīng)典的聚類算法就是K-means聚類算法，其算法實(shí)現(xiàn)的思想是：隨機(jī)的選擇出空間中某個(gè)點(diǎn)作為中心，進(jìn)行聚類，劃分出不同的簇，然后使用迭代方式，對(duì)各類聚成中心值進(jìn)行更新，最終實(shí)現(xiàn)良好的聚類結(jié)果。

2.網(wǎng)格密度聚類方法

網(wǎng)格密度聚類方法可以發(fā)現(xiàn)任意形狀的聚類簇，通過(guò)網(wǎng)格密度聚類方法，對(duì)低密度區(qū)域進(jìn)行過(guò)濾，發(fā)現(xiàn)樣本密集處，最終發(fā)現(xiàn)任意形狀的聚類簇。這種計(jì)算方法的目的是明確密度相連對(duì)象的最大集合，并對(duì)結(jié)果進(jìn)行分析。

3.EM聚類算法

EM聚類算法可以實(shí)現(xiàn)對(duì)非完整數(shù)據(jù)集中計(jì)算，屬于一種簡(jiǎn)單實(shí)用的學(xué)習(xí)方法。通過(guò)迭代最大化完整數(shù)據(jù)對(duì)數(shù)似然函數(shù)期望進(jìn)行最大化不完成數(shù)據(jù)對(duì)數(shù)似然函數(shù)，最終獲取模型估計(jì)參數(shù)。

三、結(jié)束語(yǔ)

隨著互聯(lián)網(wǎng)科學(xué)技術(shù)的進(jìn)步與網(wǎng)絡(luò)的普及，人們對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越高，各種網(wǎng)絡(luò)應(yīng)用，為互聯(lián)網(wǎng)網(wǎng)絡(luò)帶寬資源的優(yōu)化配置帶來(lái)了極大挑戰(zhàn)。通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別，可以有效實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用流量的管理與控制，限制不合理網(wǎng)絡(luò)應(yīng)用，優(yōu)化網(wǎng)絡(luò)帶寬配置，提高網(wǎng)絡(luò)服務(wù)質(zhì)量。當(dāng)前主要的網(wǎng)絡(luò)應(yīng)用識(shí)別協(xié)議為基于網(wǎng)絡(luò)流行為的網(wǎng)絡(luò)應(yīng)用識(shí)別方法及基于載荷的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別方法，這兩種方法存在著一定的局限性，本文提出建立基于聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)，并通過(guò)實(shí)際試驗(yàn)，證明聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別效果顯著，值得推廣應(yīng)用。

參考文獻(xiàn)

[1] 梁波. 基于聚類算法的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)的研究與實(shí)現(xiàn)[D].山東大學(xué)，2012

[2] 楊爽.基于雙重特征的網(wǎng)絡(luò)應(yīng)用協(xié)議識(shí)別系統(tǒng)[D].北京交通大學(xué)，2012

[3] 劉炯，徐同閣. 基于NetFlow的應(yīng)用協(xié)議半監(jiān)督識(shí)別算法[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，07：9-12+16

[4] 譚駿，陳興蜀，杜敏.基于BPSO與神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)P2P協(xié)議識(shí)別算法[J].中南大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，06：2190-2197