基于载荷特征与统计特征的Shodan流量识别

针对Shodan扫描流量对工业控制系统产生的不安全问题,结合载荷特征与统计特征,构建一种将确定性有限自动机(DFA)与支持向量机(SVM)相结合的流量识别DFA-SVM模型。通过分析应用层的流量特征,以提取协议功能码序列作为载荷特征,并结合传统的流量统计特征对流量进行识别。采用VPS部署6个分布式蜜罐系统对处理后的32522个样本进行Shodan流量识别。实验结果表明,相比仅使用单一特征的模型,该模型可有效识别出27个Shodan扫描器IP,识别精度达到99.38%。     

一种基于用户行为状态特征的流量识别方法

针对当前业务流量的分类方式过于简略、识别结果不够确切的问题,提出基于状态特征的分类识别方法以精确识别流量数据中的用户行为。定义了网络通信中的用户行为并分析其特征,通过矢量量化技术结合主题模型方法从流量序列中提取行为状态特征,利用机器学习算法对状态特征建模,并按照用户行为的分类对流量进行识别。实验结果显示按照行为分类能更加详细地描述流量特点。在相同机器学习算法下,基于状态特征的行为识别方法准确度优于传统方法。     

基于聚类和流量传播图的P2P流量识别方法

为有效监管网络,快速精确识别P2P流量,通过分析P2P网络流量中节点与节点、节点与链路之间的交互和行为特征,将聚类方法与流量传播图方法相结合,提出了一种基于网络行为特征的P2P流量识别方法。该方法首先通过采集网络流的包级和流级统计特征对不同种类的网络应用的流量进行聚类,然后利用流量传播图对P2P流量进行识别。实验结果表明,提出的方法在骨干网络数据上能够有效识别P2P网络应用流量,◢F◣▼1▽-measure达到95%以上。     

一种基于流量行为分析的P2P流媒体识别方法

P2P流媒体的识别问题已经成为P2P研究领域中的热点问题.以目前主流的P2P流媒体软件:PPLive、PPStream、QQLive为蓝本,进行流量行为特征分析,总结出相应的流量特征和特征字符串,提出一种基于流量行为分析的P2P流媒体识别方法.该方法的核心思想是:首先通过流量的统计算法将捕获到的流媒体数据包进行分类统计,再运用特征字匹配算法进行二次识别匹配,从而得出结果.随后.开发出基于流量行为分析的检测系统,试验结果证明该方法能够有效地识别P2P流媒体.     

基于协议首部的字节频率统计特征发现方法

应用协议识别在网络安全领域具有极其广泛的应用,而如何发现协议特征是协议识别的核心问题。为此,提出一种高效准确的协议特征自动发现方法。利用协议自身的格式特点,将消息进行token化,并根据token序列对消息进行分类。由分类数的变化曲线大致判别协议的首部长度,从而确定字频统计的范围。对数据流中每个数据包的消息首部进行字节频率统计,并将字节频率进行归一化处理,得到字节频率特征向量。通过计算待测协议与样本协议的余弦相似度对协议进行分类和识别。实验结果表明,用该方法所提取的特征进行识别,准确率超过93.5%。     

融合数据增强的迁移字典学习

提出利用迁移字典解决复杂行为数据集标签样本不足的问题。所提出的方法使用简单行为作为源域,来辅助识别由一系列简单行为组成的复杂行为。通过稠密轨迹提取视频的低级特征,利用字典学习从简单行为和复杂行为的低级特征中分别获得相应的稀疏表示,并利用简单行为的稀疏表示通过迁移矩阵改善复杂行为的稀疏表示。因此,即使在复杂行为标签样本较少的情况下,迁移字典也能够获得更有效的高级特征。同时,利用GAN在特征层面上进行数据增强,帮助学习表征能力更强的字典。提出的方法在UCF101和HMDB51两个数据上进行了实验,在小样本量的情况下获得了比现有方法更好的识别结果,证明了方法的有效性。     

面向BT的特定信息传播监测系统的实现

大多数BT流量识别是一种粗粒度的识别方法,为提高BT流量的识别效率,提出一种面向BT的特定信息传播的细粒度监测方法。根据监测的目标文件,按BT协议的格式提取文件特征,建立样本特征库。利用客户端之间的数据传输的特征字串来识别传输的BT文件,并提取特征信息,再与样本特征库进行匹配判断,以达到对特定信息传播的监测。实验结果表明,该方法可以对特定信息进行识别,提高识别的准确性。     

基于C4.5决策树的单向P2P流量识别方法研究

P2P流量识别方法已能对基于TCP传输的双向P2P流量进行高准确率的识别,但少有论文研究单向P2P流量的识别方法.针对单向P2P流量的识别难点,提出一种基于C4.5决策树的单向P2P流量识别方法.该方法仅利用10个网络流统计特征,且这些特征可在一个流的前若干个数据包内快速计算完成,并对承载P2P流量的传输层协议具有通用性.实验结果表明,该方法识别准确率高,识别时间短,可用于高速骨干链路P2P流量的实时识别.     

基于流量与行为特征的P2P流量识别模型

针对点对点(P2P)用户习惯、运行环境的异构性,提出P2P流量识别的双层模型。该模型由单流内部流量特征的贝叶斯网络识别算法与多流之间行为特征的支持向量机识别算法组成。实验结果表明,相对于统计特征识别方法,该模型检测准确度提高5.4%,且对于不同应用场景具有较好的稳定性。     

P2P流量识别技术综述

在归纳P2P流量识别问题概念的基础上,对现有的P2P流量识别技术进行了较全面地分析.借助分类模型形式化地定义P2P流量识别问题,依据所采用的识别特征将已有技术分为基于端口号、基于流量特征、基于应用层签名、基于双重特征和基于统计行为特征五类方法,并对各类方法进行了介绍、分析与优劣对比.探讨了新兴的P2P流媒体流量识别问题,总结了P2P流量识别技术的发展趋势.     

差分隐私保护的Android应用流量行为混淆方法

针对Android用户在终端传输数据和发送信息所带来的网络应用行为暴露等问题,通过结合自定义流量混淆和差分隐私无关流量干扰两种方法的优势,能够在保证Android应用网络连接状态和数据传输内容不变的前提下,通过改变流量数据包的时序和数目特征,达到对指定用户应用行为特征的隐私保护。实验结果表明,选取Android典型应用流量并提取六种主要流量特征,对比混淆前后数据包特征,所提混淆方法能够有效地改变Android终端的应用流量,抵御支持向量机（Support Vector Machine,SVM）和BP（Back Propagation）神经网络算法的识别,准确率高达96.55%,最终实现对Android终端应用行为的保护。     

基于车辆行驶数据的驾驶人行为谱分析方法

针对我国驾驶人行为谱的研究尚不完善，专业领域内没有相应的行为谱分析工具的问题，提出了一套针对营运客车的完整的驾驶人驾驶行为谱体系并设计了一套分析工具。首先，设计并定义了驾驶人行为谱的特征指标和评价指标；其次，给出了驾驶人行为谱的特征指标分析、计算方法，采用基于马尔可夫链蒙特卡洛采样和离群点剔除的K-means算法对驾驶人的驾驶风格进行分析，采用回归学习对驾驶人的驾驶技能进行分析；然后，设计了基于车联网、大数据的驾驶人行为谱的基础数据采集和预处理方法；最后，采用Java语言、Spring MVC架构开发出驾驶人行为谱分析工具。将机器学习中的数据挖掘、数据分析算法与交通安全领域相结合，对完善我国驾驶人行为谱框架体系具有理论意义，为我国驾驶人行为谱的研究提供了一个科学、定量化分析的工具，对交管部门规范驾驶人驾驶行为、提高道路安全指数、制定合理的交通安全管理策略具有指导意义。     

基于区域道路实况数据的交通行为谱分析方法

针对国内外有关交通行为谱研究的特征指标和评价指标不完善,且不能定量分析等问题,设计并定义了相应的特征指标和评价指标以建立完整的、能够定量化的分析区域交通行为数据的交通行为谱体系。首先基于交通行为特征,采用改进的层次分析法（AHP）对交通秩序类型进行了分类;其次采用多数据融合的实时系统集成（RTSI）算法对某路段交通安全性进行综合评判。最后开发了交通行为谱分析工具,该工具能根据交通实况数据计算区域路段的交通安全指数,较为完备地分析该路段内的交通行为。     

基于命名及解析行为特征的异常域名检测方法

设计了DNS解析统计向量和检测特征向量,提出了一种基于命名及解析行为特征的异常域名检测方法,通过应用真实DNS解析数据的实验验证了该方法的有效性和可行性。实验表明,该方法较现有方法能够发现更多的异常域名,且具有较低的误报率。该方法是对现有方法检测能力的补充和提高,为僵尸网络等安全事件的检测与控制提供有效的信息支持和技术手段。     

移动端非显式用户身份信息的隐私问题研究

智能设备给人们带来方便的同时也记录了大量使用者的使用习惯、位置、访问内容等隐私信息.文章综合考虑用户行为数据的采集方式,数据处理方式以及存储方式,自主设计用户行为数据的采集系统,并在智能终端设备上采集用户的大量非显式身份信息数据,包括网络流量信息、屏幕状态信息等,通过对这些数据进行处理和分析,发现利用这些非显式的用户身份信息可以有效对用户身份进行识别,并能推测出部分用户间的社会关系.实验表明,基于非显式身份信息数据的研究对保护用户隐私有重要的现实意义和很大的应用价值.     

基于机器学习的移动代理应用流量识别方法

随着移动网络的迅速发展,越来越多的用户选择使用代理应用,以保护个人网络隐私,隐藏上网行为或绕开网络活动限制,给网络管理与审计带来了新的挑战.与此同时,恶意攻击者可利用代理应用隐藏身份,使得恶意行为更难以检测和防范.因此,代理应用流量识别对网络管理与安全具有重要的作用,但目前该问题并未得到充分的研究.由于代理应用流量通常...     

Profiling and identification of P2P traffic

Accurate identification of network applications is important for many network activities. The traditional port-based technique has become much less effective since many new applications no longer use well-known fixed port numbers. In this paper, we propose a novel profile-based approach to identifying traffic flows belonging to the target application. In contrast to the method used in previous studies, of classifying traffic based on statistics of individual flows, we build behavioral profiles of the target application, which describe dominant patterns in the application. Based on the behavior profiles, a two-level matching method is used to identify new traffic. We first determine whether a host participates in the target application by comparing its behavior with the profiles. Subsequently, we compare each flow of the host with those patterns in the application profiles to determine which flows belong to this application. We demonstrate the effectiveness of our method on-campus traffic traces. Our results show that one can identify popular P2P applications with very high accuracy.     

On the impacts of human interactions in MMORPG traffic

Game traffic depends on two main factors, the game protocol and the gamers’ behavior. Based on a few popular real-time multiplayer games this paper investigates the latter factor showing how a set of typical game phases—e.g., player movement, changes in the environment—impacts traffic on different observation levels. The nature of human behavior has such a high impact on traffic characteristics that it influences the traffic both at a macroscopic—e.g., traffic rate—and at a microscopic—payload content—level. First, by understanding the nature of this impact a user behavior detection algorithm is introduced to grab specific events and states from passive traffic measurements. The algorithms focus on the characteristics of the traffic rate, showing what information can be gathered by observing only packet header information. Second, as an application of our method some results, including a detailed analysis of measurements taken from an operational broadband network, are presented. Third, a novel model and an algorithm are introduced to extend the Deep Packet Inspection traffic classification method with the analysis of non-fix byte signatures, which are not considered in current methods. The model captures the variation of the dynamic byte segments and provides parameters for the algorithm. The introduced algorithm exploits the spatial and temporal correlation by examining and extracting the correlation structure of the traffic and constructing signatures based on the observed correlation. The algorithm is evaluated by examining proprietary gaming traffic and also other known non-gaming protocols.     

微博中转发行为的预测技术综述

在线社交网络中,微博平台的便捷性和开放性,给信息的传播和爆发提供了很大的便利。转发是微博平台上用户的重要行为,也是信息传播的关键机制。基于转发行为,分析一条推文是否被用户转发或者一段时间后的转发量,可以使我们更好地了解信息的传播特性,探索用户的行为与兴趣,以此推进信息推荐、预防突发事件和舆情监控等应用发展。该文较为系统地梳理了预测微博是否被转发及某段时间后的转发量这两方面的相关研究工作,着重阐述了基于用户、社交和内容特征的预测模型建立的过程并评价其预测性能,分析了微博转发行为的相关预测技术面临的挑战,展望了未来的可能研究方向。     

高速网络超点检测的并行数据流方法

超点检测对于网络安全、网络管理等应用具有重要意义.由于存在着高速网络环境下海量网络流量与有限系统资源之间的矛盾,在线准确地监测网络流量是一个极大的挑战.随着多核处理器的发展,多核处理器的并行性成为算法性能提高的一种有效途径.目前,针对基于流抽样的超点检测方法存在计算负荷重、检测精度低、实时性差等问题,提出了一种并行数据流方法(parallel data streaming,简称PDS).该方法构造并行的可逆Sketch数据结构,建立紧凑的节点链接度概要,在未存储节点地址信息的情况下,通过简单地计算重构超点的地址,获得了良好的效率和精度.实验结果表明:与CSE(compact spread estimator),JM(joint data streaming and sampling method)方法相比,该方法具有较好的性能,能够满足高速网络流量监测的应用需求.