基于规则拟合的TCP数据包流量混淆系统

互联网时代,TCP网络连接和数据包交换,在实现远程数据传输和信息发送的同时,也为应用程序和用户的网络行为暴露了一个可供检测和追踪的薄弱环节。网络流量混淆可以实现在不改变原有数据包承载内容和连接任务的前提下,改变并混杂原有网络流量的时序特征,达到对于网络连接和通信行为的隐私保护。通过分析TCP连接和数据包分布,解析TCP/IP数据包的应用层、传输层、网络层信息,从而实现实时的数据包分布拟合或混淆操作。采用Android平台上典型应用App的网络连接和流量传输作为实验对象,对设计的流量拟合及混淆的效果进行了分析验证。实验结果表明,提出的方案能够有效改变单个应用程序的网络流量特征,实现对于给定目标的流量特征模拟,或者指定混淆操作的组合叠加。     

Netfilter/Iptables框架下基于TCP滑动窗口的串行流量控制算法

传统的基于流量整形的流量控制算法通常需要建立对应的队列模型,实施起来极为复杂,而且所有数据包都要进入整形队列,加大了网络延时。本文从TCP协议拥塞控制和数据包组包机制出发,提出了基于TCP滑动窗口的串行流量控制算法,通过改变TCP发送端窗口的大小来达到流量控制的目的。本文在Linux内核Netfilter/iptables框架中实现了该流量控制方法,在部署的网络环境中,比较了不同参数设置下的算法效果。与CBQ算法相比,该方法降低了数据包在队列中排队整形的延时。     

利用网络回溯分析技术进行异常流量分析

0引言 异常流量指的是区别于正常流量的通信,通常表现为一些流量,数据包,TCP同步,TCP重置等参数,在一段时间内突然爆发式的增长,有别于正常情况流量。引起异常流量的原因通常是一些攻击、下载或扫描等不正常的网络行为。     

Skype会话建立过程分析与话路检测

Skype是一个基于P2P应用的网络电话软件.它使用了专用的通信协议,对用户之间、用户和服务器之间的通信数据进行全程加密,并且其客户端采用随机端口传送数据.因此传统的基于端口和基于内容的检测方法不能有效地检测出Skype网络数据.对Skype的通信连接机制进行了深入分析.在此基础上,提出了一个对Skype会话连接进行检测的算法.该算法综合利用了Skype的端口使用情况、数据包大小以及数据包的有效载荷特性.     

Tor匿名通信流量在线识别方法

匿名通信技术的滥用给网络监管带来了新的挑战.有效识别出匿名通信流量,是阻止该类技术滥用的前提,具有重要的研究意义和应用价值.现有研究工作侧重于匿名通信关系的确认,无法用于匿名通信流量的识别和阻塞.针对这个问题,围绕广泛使用的Tor匿名通信系统,深入分析运行机制,归纳总结其流量特征.在此基础上,分别提出基于TLS指纹和基于报文长度分布的Tor匿名通信流量识别方法.对两种识别方法的优缺点和适用性进行了详细分析和讨论,并通过CAIDA数据集和在线部署对识别方法进行了验证.实验结果表明,基于TLS指纹和基于报文长度分布的识别方法均能有效识别出Tor匿名通信流量.     

面向边缘集群的软件定义流量控制

针对软件定义网络(Software-Defined Networking, SDN)网络流量检测面临的问题提出了一种针对网络异常流的实时检测方案,采用BGP-LS协议,运用叶脊网络拓扑结构和边缘计算技术,采取被动测量的方式,开放SDN控制器的相应端口捕获传输控制协议(Transmission Control Protocol, TCP)数据包,使用Python语言对TCP数据包传入的端口和网络流量进行控制,控制器通过卷积神经网络(CNN)算法对数据包特征数据的分析,判断数据包的性质以及是否进行拦截。     

Sniffer在TCP协议教学中的应用

论文将sniffer软件引入到传输控制协议TCP的课堂教学中。通过分析由该软件从实际网络中运行环境中获取的数据包具体讲解了TCP协议的数据报格式、TCP运输连接机制和TCP传输中的流量控制机制等内容。并对教学效果进行了分析。     

利用序列分析的远控木马早期检测方法研究

远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全.现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后.在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法.该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型.实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量.     

分类不平衡协议流的机器学习算法评估与比较

网络协议流不平衡环境下,流样本分布的变化对基于机器学习的流量分类器准确性及稳定性有较大的影响选择合适的机器学习算法以适应网络协议流不平衡环境下的在线流量分类,显得格外重要.为此,首先通过单因子实验设计,验证了C4.5决策树、贝叶斯核估计(NBK)和支持向量机(SVM)这3种分类算法统计TCP连接开始的前4个数据包足以分类流量.接着,比较了上述3种分类算法的性能,发现C4.5决策树的测试时间最短,SVM分类算法最稳定.然后,将Bagging算法应用到流量分类中.实验结果表明,Bagging分类算法的稳定性与SVM相似,且测试时间与建模时间接近于C4.5决策树,因此更适于在线分类流量.     

利用ACE实现UDP可靠传输的设计与实现*

在TCP传输控制方法的基础上,通过简单轻便的连接建立、平缓的D-AIMD拥塞算法、灵活的初始拥塞窗口值和慢启动阈值等方法对其进行改造,借助UDP数据包,利用自适应通信环境(ACE)接口,实现了快速启动、高吞吐率的可靠传输协议.     

状态封包检测中的连接管理和调度策略—LASF

网络带宽的增长和频繁的网络攻击给状态封包检测等网络安全系统的性能带来了很大挑战。通过分析TCP连接建立延迟时间分布特性和连接逗留时间分布特性,设计了一个两级连接状态表,很好地解决了检测系统中的连接状态表急剧增长问题。然后,基于经典排队论和高速骨干网的TCP连接特性提出了一个流调度策略LASF(Least Attained Sojourn First)。通过实验证明,该策略能够在系统负载过重时显著提高系统的连接吞吐率等性能。     

Marking algorithms for service differentiation of TCP traffic

Class-based service architectures for quality-of-service (QoS) differentiation typically provide loss, throughput, and delay differentiation. However, proposals for class-based service differentiation generally do not account for the needs of TCP traffic, which are characterized by a coupling of packet losses and achievable throughput. Ignoring this coupling may result in poor service differentiation at the microflow level. This paper shows how Explicit Congestion Notification (ECN) can be used to achieve service differentiation for TCP traffic classes at the microflow level. We present a traffic-marking algorithm for routers, which, if used in conjunction with ECN, regulates the transmission rate of TCP sources in such a way that packet drops due to buffer overflows are avoided. We demonstrate how the algorithm can be integrated in a service architecture with absolute and proportional QoS guarantees. Simulation results illustrate the effectiveness of the presented algorithms at avoiding packet losses and regulating traffic for meeting service guarantees, and provide a comparison with other algorithms proposed in the literature.     

High-performance implementation of in-network traffic pacing for small-buffer networks

Demands on data communication networks continue to drive the need for increasingly faster link speeds. Optical packet switching networks promise to provide data rates that are sufficiently high to satisfy the needs of the future Internet core network. However, a key technological problem with optical packet switching is the very small size of packet buffers that can be implemented in the optical domain. Existing protocols, for example the widely used Transmission Control Protocol (TCP), do not perform well in such small-buffer networks. To address this problem, we have proposed techniques for actively pacing traffic at edge networks to ensure that traffic bursts are reduced or eliminated and thus do not cause packet losses in routers with small buffers. We have also shown that this traffic pacing can improve the performance of conventional networks that use small buffers (e.g., to reduce the cost of buffer memory on routers). A key challenge in this context is to develop systems that can perform such packet pacing efficiently and at high data rates. In this paper, we present the design and prototype of a hardware implementation of our packet pacing technique. We discuss and evaluate design trade-offs and present performance results from an prototype implementation based on a NetFPGA fieldprogrammable gate array system. Our results show that traffic pacing can be implemented with few hardware resources and without reducing system throughput. Therefore, we believe that traffic pacing can be deployed widely to improve the operation of current and future networks.     

一种高效的系统扫描检测方法

系统扫描检测是网络入侵检测与预警系统的重要组成部分。传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足。该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD。通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化。测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性。     

基于LSTM循环神经网络的恶意加密流量检测

加密流量已经成为互联网中的主要流量,攻击者使用加密技术可以逃避传统的检测方法。在不对应用流量进行解密的情况下,网络管理者对传输内容进行深度包解析和恶意字符匹配进而检测恶意通信。针对该问题,在不对流量解密的情况下使用网络层的传输包序列和时间序列识别流量行为,使用过采样方法处理不平衡的黑白样本,基于LSTM循环神经网络建立检测模型。使用清华2017年-2018年边界网关的正常流量数据,在沙箱中采集恶意样本产生的流量数据进行检测实验,结果表明该模型能够较好地检测恶意软件的加密通信流量。     

A case for exploiting self-similarity of network traffic in TCP congestion control

Analytical and empirical studies have shown that self-similar traffic can have detrimental impact on network performance including amplified queuing delay and packet loss ratio. On the flip side, the ubiquity of scale-invariant burstiness observed across diverse networking contexts can be exploited to better design resource control algorithms. In this paper, we explore the issue of exploiting the self-similar characteristics of network traffic in TCP congestion control. We show that the correlation structure present in long-range dependent traffic can be detected on-line and used to predict the future traffic. We then devise a novel scheme, called TCP with traffic prediction (TCP-TP), that exploits the prediction result to infer, in the context of AIMD steady-state dynamics, the optimal operational point at which a TCP connection should operate. Through analytical reasoning, we show that the impact of prediction errors on fairness is minimal. We also conduct ns-2 simulation and FreeBSD 4.1-based implementation studies to validate the design and to demonstrate the performance improvement in terms of packet loss ratio and throughput attained by connections.     

WF-C4.5:WiFi环境下基于C4.5决策树的手持终端流量识别方法

目前移动数据流量已占全球IP流量的47%,其中WiFi流量已占整个移动数据流量的90%以上。WiFi环境下移动终端流量的识别对互联网流量管理具有重要意义。传统基于HTTP用户代理(User Agent,UA)的流量识别方法存在识别率不高的问题。分析了WiFi环境下移动终端连接持续时间、数据包大小、有效载荷大小等流量特征,提出一种WiFi环境下基于C4.5决策树的手持终端设备流量识别方法WF-C4.5,通过计算各属性值的信息增益率构建决策树模型,实现手持终端与非手持终端流量的区分。实验表明,相比UA方法65%的准确率,所提方法的准确率高达95%。     

Stability of data networks under an optimization-based bandwidth allocation

It is known that a data network may not be stable at the connection level under some unfair bandwidth allocation policies, even when the normal offered load condition is satisfied, i.e., the average traffic load at each link is less than its capacity. In this note, we show that, under the normal offered load condition, a data network is stable when the bandwidth of the network is allocated so as to maximize a class of general utility functions. Using the microscopic model proposed by Kelly (1997, 2001) for a transmission control protocol (TCP) congestion control algorithm, we argue that the bandwidth allocation in the network dominated by this algorithm can be modeled as our bandwidth allocation model, and hence that the network is stable under the normal offered load condition. This result may shed light on the stability issue of the Internet since the majority of its data traffic is dominated by the TCP.     

一种新的流媒体拥塞控制算法

提出一种新的拥塞控制算法(TCP MS).该算法更适用于流媒体应用,有更高的带宽利用率、公平性,传输速率也更平滑.不同于传统的利用丢包率和排队延迟来探测拥塞的TCP拥塞控制算法,该算法通过确认数据包的速率来探测拥塞,并在每一轮往返时间内及时调整窗口.该算法提供的拥塞窗口变化更准确,传输速率抖动更小.因此,提高了网络带宽的利用率以及传输速率的平滑性.最后,文章将TCP MS与典型的基于丢包率的TCP Reno算法和基于排队延迟的TCP Vegas算法在带宽利用率、速率抖动以及公平性等方面分别做了比较,仿真结果表明TCP MS是一种理想的流媒体拥塞控制算法.