基於動態多維特徵的網路行為模型研究

隨著大量新興網際網路套用的發展，私有協定、加密技術被廣泛採用，使得各種套用的識別愈加困難，給網路管理和監控帶來了極大的挑戰。項目旨在提出並建立一個適應於不同網路狀態的具有自適應能力的網路行為模型，通過模型描述網路套用、主機所表現的行為特徵，從而解決網路套用識別、主機追蹤的難題。主要內容包括：(a)根據不同的粒度將網路行為分為微觀的會話流屬性和巨觀的主機屬性，根據隨時間的變化性將網路行為特徵分為動態特徵和靜態特徵；(b)對各種網路行為屬性進行定義和提取，研究特徵抽象和選擇方法，對各個屬性進行抽象並統一進行形式化描述，選擇區分度較大的屬性作為網路行為特徵；(c)針對特徵隨時間不斷變化的動態性，對網路行為動態特徵的抽象和識別方法展開研究；(d)通過對各種粒度的靜態和動態特徵進行融合，建立基於動態多維特徵的網路行為識別模型；(e)研發原型系統對模型的方法和性能進行驗證。

針對越來越多的網路套用採用私有協定、加密技術，導致傳統基於連線埠、基於DPI網路套用識別的方法無法滿足網路安全監管中對網路套用識別與主機追蹤的需求，本項目在基於網路行為分析的網路套用識別與主機追蹤方法上開展了一系列的研究。主要研究內容包括：（a）網路通信流量特徵是描述網路套用及主機網路行為的基本元素，為精確描述主機和套用的網路行為，本項目在網路行為特徵選擇方法、特徵穩定性、特徵周期性、特徵動態性等方面開展了研究，為實現主機及套用的網路行為動態多維描述奠定技術基礎。（b）針對網路套用分類問題，本項目研究了基於通信流的套用行為特徵提取技術、特徵選擇技術，通過構建多維網路行為識別模型，實現對網路套用的分類。本項目根據前期研究基礎，將網路套用分為12大類，並通過實驗證明模型具有較好的對網路套用的分類效果。（c）針對主機追蹤的問題，本項目從網路用戶行為識別、惡意主機用戶識別兩個方面開展研究，實現了基於網路用戶行為的用戶識別與主機追蹤。（d）針對研究過程中遇到的原有研究平台難以滿足海量數據分析的性能要求問題，本項目研究了多級數據存儲架構、大數據分析架構等關鍵技術，並搭建了高性能數據分析平台。（e）針對研究過程中遇到的高性能網路流量實時採集問題，本項目研究了高性能網路流量採集與流量還原技術，實現了可擴展的高性能海量數據採集，單台伺服器可支持6Gbps的網路流量採集。基於本項目的研究成果，搭建了四川大學校園網業務及安全態勢大數據分析平台，平台已持續穩定運行1年半左右。平台對校園網安全管理提供了有力的技術支撐。另外，本項目的相關研究成果還進一步拓展到雲平台虛擬機網路行為檢測及基於大數據的安全分析方面。