基於行為分析的網路流量檢測技術研究

本項目研究如何通過對主機產生的數據流進行檢測來確定該主機提供的套用類型，主要思路是研究P2P套用及具有攻擊行為的數據流的社會行為、研究網路功能及套用行為特徵、以及研究基於行為的網路流量測量方法。研究目標主要包括改進已有的流量檢測方法，在此基礎上建立基於主機行為分析的流量檢測方法模型，從而具備對網路中未知數據流進行分析的自學習技術，並能對網路進行攻擊預判，對企業網邊界安全進行分析，以及自組織及啟發式網路流量分管分控技術等。本項目的研究成果將為行為分析技術在網路流量測量方面的套用打下基礎，並形成一種不依賴於軟體本身的數據流分析技術。該技術在保證網路頻寬得到最大的利用率的同時，也能起到網路最佳化及網路安全防護的作用。

隨著網際網路技術與對等網路（Peer-to-Peer, P2P）套用的迅速發展，對網路的管理與控制日益重要，流量檢測技術也因此成為了一門重要學科。本項目在前人研究的基礎之上，圍繞P2P流量檢測與異常流量檢測等問題進行實驗研究和理論分析。開發了一個網路流量收集分析實驗平台，實現了將應用程式與其產生的數據包一一對應，能夠統計分析P2P套用網路流量的各種行為特徵。在對P2P套用和異常流量的行為特徵研究的基礎上，提出了多種基於行為的流量檢測算法及流量預測模型，這些方法和模型包括了基於連線埠特徵的P2P套用識別方案、基於支持向量機的TCP流量早期識別算法、改進的快速P2P流量啟發式識別算法、基於小波變換和回聲狀態網路的流量預測模型、基於改進的CURE聚類算法的無監督異常檢測方法、基於行為的拒絕服務攻擊檢測方法等。實驗研究表明，該項目提出的數種基於行為的流量檢測算法均能夠以較高的準確和效率的識別多種P2P套用， 而基於小波變換和回聲狀態網路的流量預測模型的流量預測精度可達到98%以上，顯著優於傳統的ESN模型和最小二乘支持向量機模型。最後，基於行為的拒絕服務攻擊檢測方法和基於改進的CURE聚類算法的無監督異常檢測方法分別能夠有效的檢測多種拒絕服務攻擊、網路數據中的已知和未知入侵行為。綜上所述，本項目提出的多種基於行為的流量檢測和方法和流量預測模型具有模型簡單、適用範圍廣、易於工程人員理解等特點，因此，本項目的研究不僅具有理論意義，而且具有廣闊的套用前景。