近年来,随着移动互联网的快速发展和5 g技术,已经给我们的生活带来巨大的变化,人类已进入大数据的时代。这些新功能和技术在5 g支持许多不同类型的移动应用程序对于用户来说,这使得网络安全极具挑战性。其中,越来越多的应用程序涉及到用户的私人数据,如位置信息,财务信息,和生物信息。为了防止用户隐私披露,大多数应用程序选择使用私有协议。然而,这样的私人协议也为恶意软件和恶意应用程序提供了一个手段窃取用户隐私和机密数据。从更安全的角度来看,我们需要提供一个方式让用户知道有多少私人协议运行在他们的手机和授权的应用程序和不区分。因此,私人协议的分析和识别已经成为当前研究的热门话题。如何有效地提取网络协议的特点和识别准确私人协议成为本研究的最重要的部分。在这篇文章中,我们结合遗传算法和关联规则算法,然后提出一组特征提取算法和协议识别算法对未知协议。基于实际数据的实验分析表明,这些方法能有效地解决这些问题对未知协议的特征提取和识别,可以极大提高私人协议识别的准确性。
近年来,互联网的迅速发展,特别是移动互联网和5 g技术,带来了巨大和深远的影响我们的生活。手机上的互联网应用已经成为人类生活不可缺少的一部分,是人们交流信息的重要方式和过程数据。的信息可能来自个人、公司甚至政府和可能与个人有关,企业或国家隐私数据。为了防止用户隐私披露,大多数应用程序选择使用私有协议。通信协议的私有化使通信路由的中间节点难以获得直接的传播内容。此外,私人协议也通常使用多层加密技术来防止泄露用户的隐私数据通信过程中通过密文。可以看出,私人协议的正确使用对用户隐私是相对安全。不幸的是,一些非法用户和malwares也使用私人数据传输的协议。因为这些隐藏的恶意软件和非法服务,用户无法知道他们在传递什么。大量的私人协议非法窃取个人用户和企业用户的私人数据。 Therefore, from the perspective of security, we need to provide a way for users to know how many private protocols are running on their mobile phones and distinguish which are authorized applications and which are not. It is necessary to track and detect the network traffic and private protocol, understand the source and destination of user’s personal data, analyze the characteristics of different network information, and effectively help us adjust the network.
私人协议的分析和识别已经成为当前研究的热门话题。如何有效地提取网络协议的特点有效地和准确地识别私人协议成为本研究的最重要的部分。已经有大量的研究在传统的网络流量识别和协议识别。最常见的方法是深度数据包检测(DPI)。这种DPI技术需要提前获得检测内容的特点,然后根据特征检测的消息。对未知协议,当前的逆向分析方法和协议识别方法通常是手动完成的。然而,随着越来越多的私人网络协议和应用程序,以及复杂性带来的二进制私人网络协议的设计,手动提取数据特征的方法非常低效,以及分析结果的准确性难以保证。更严重的是,对于传统的人工检测方法,仍然是一个缺乏必要的自动验证方案检查识别的准确性。
因此,如何有效地提取私人网络协议的特点已经成为研究的首要任务。协议识别技术主要包括以下几个方面:fixed-ports-based协议识别技术(
本文系统地分析了现有的协议识别和分析方法,结合遗传算法和关联规则算法,并提出了一组特征提取和协议识别算法对私人协议。然后,针对协议,这很难提取有效固定的特性,我们提出一个常规的基于遗传规划的特征提取算法。它解决问题的特征提取和识别未知协议有效的准确性,提高了协议的识别率。本文的主要工作如下:
本文首先总结了相关的协议识别和协议逆向分析方法,比较了各种方法的优缺点,并介绍了相关的概念如信息理论、模式匹配、数据挖掘算法和遗传编程。
本文提出一个完整的特征提取和协议识别算法对私人协议。主要过程包括数据预处理、数据流块切割、多级过滤的频繁模式,生成周期特性,基于关联规则和功能验证。摘要每个算法的详细设计和实验,提取特征的现实意义是基于实际数据,分析和良好的实验结果。
最后,根据相关的遗传规划算法和正则表达式的特点,提出了一种常规的基于树的遗传规划的特征提取算法。这种方法可以获得更好的常规特征遗传迭代。
首先,协议识别的领域分类协议基于不同的端口。然而,随着互联网的发展,许多新的协议出现,通常采用动态的端口号。此外,大量的网络攻击流量和恶意代码故意使用一些常见的端口来避免交通检测、带来了挑战传统和出口协议识别(
上面的算法已经在互联网发展的不同阶段发挥了重要作用,其中出口方法已经逐渐淘汰。基于负载和控制算法仍然是两个未来的协议识别领域的热点。
在本文中,我们提出一套特征提取算法对未知协议基于特征提取对未知协议的研究现状。图
协议特征提取和识别算法架构协议。
结合的缺点
输入:协议数据帧set-DataSet = {
滑动窗口长度=
输出:分段
初始化gram_dic = {}
我为每个数据帧数据集:
为
克=
格伦= 1
而(len <
为
gram_
如果在dic克:
gram_dic [g] .append (
其他:gram_dic [g] = [
如果
格伦+ = 1
如果在dic克:
gram_dic [g] .append (
其他:gram_dic [g] = [
如果
结束了
结束了
返回gram_dic
频繁模式集以上位置信息提取的算法。每一项在生成的模式集是一个固定长度的字符串长度1−模式
如果频繁模式集获得协议切分的时候包含三种模式,“42广告,”“2 ad2”和“c200”,这三个特征字符串的位置接近,频率差别不大,不同位置都是1。很明显,“42广告”和“2 ac2”包含冗余的字符串“2广告,”和冗余的字符串是前面的字符串的后缀和前缀下面的字符串。然后合并后的字符串“42 ad2”可能是该协议的特征字符串。同样,“2 ac200”也可能是这个协议的特征字符串,和这两个合并特征字符串是进一步合并获得“43 ac200。”
对于一些协议的字符流类,本文采用的方法使用固定分隔符(例如,“,”;“”;”
后
每个数据流划分为一组固定长度的字符串数据。我们将这些集合分成两个随机的和相等的部分。理论上,统计后,两者之间的相似之处应该是非常高的。字符串,但是,如果有一些噪声两个样本的相似性数据将减少。因此,如果这些冗余的字符串是移除在计算,计算结果将相应提高。为了减少冗余的影响字符串,字符串与频率低于阈值可以提前过滤。这确保了两个样本集更相似。在实验中,根据不同的情况下,应该选择不同的阈值和Jaccard系数这两个集过滤后通过阈值计算,分别。通过这种方式,两个集合的相似度是最高当Jaccard系数达到最大。频率对应的阈值阈值需要确定。 Finally, according to this threshold, the pattern whose frequency is less than this threshold is eliminated for the subsequent operation.
根据协议流数据的特点,结合的结果
整个协议流数据集,数据集,然后执行
我们可以看到从方程(
输入:一组协议切分后频繁模式组= {
过滤阈值列表ThresholdList = (th1,2,…)
输出:阈值最高的Jaccard系数值
初始化结果= {}
随机设置两套,集
的
为每个这些thresholdst ThresholdList:
ita在gram_listA和髂胫gram_listB: / /遍历两个gram_list
如果ita <
如果国际旅游展的<
如果
返回结果
根据上述算法,可以获得相应的最大Jaccard值的频率,频率设置为过滤阈值,根据频繁模式集可以过滤。
在未知协议流,有固定位置模式字符串和模糊字符串。正则表达式自动提取算法的最终结果是生成普通的树将固定字符串和模糊字符串连接在一起。遗传编程算法,采用树编码方法,在每一个人在人群中是一种有效的正则表达式树,在树上和nonleaf节点设置为正则表达式运算符:
连接节点”。,”来connect leaf nodes or other nodes
量修饰词包括“∗+”、“+ +”,”? +”
集团运算符“()”
分配器是“|”,这意味着两个节点行为或操作
树叶在树上如下:
字符、数字,或者常见的符号
字符范围,如“(
字符类符号如“
通配符,如“。”
最初的人口是通过随机初始化,全球搜索空间是通过染色体之间的交叉变异和随机组合,和整个算法过程的“超越”是通过适应度函数进行的。
从本文我们可以看到,如果遗传规划可以收敛到一个稳定状态后一定数量的迭代,应用本章的问题将收敛于一个更“代表”正则表达式。因此,证明算法的合理性证明上述假设。为了解决上述问题,我们需要引入一个马尔可夫链,定义如下:
符号
符号
马尔可夫链的状态值
如果有一个自然数
让
状态转移矩阵
证明,整个人口的状态被认为是一种状态
概率
在上面的方程中,
通过个人选择操作,我们假设人口状态的概率
所有的列
在分析传统优化算法时,需要考虑的第一个问题是是否优化算法能够收敛到全局最优。假设全局最优点是最大的健身价值
根据定义
本节将验证文中提出的算法,测试特征提取算法的可行性和有效性为私人协议,并获取算法运行的效率。该算法的测试环境如表所示
实验环境表。
| 环境 | 配置信息 |
|---|---|
| 操作系统 | Windows 10个专业(64位) |
| 处理器 | 英特尔(R) (TM)核心i7 - 6700 @3.4 GHz |
| 内存大小 | 16 GB |
实验中的数据来源分为两个部分:已知和未知格式协议数据协议数据。已知的协议数据被选中的darpa - 2000数据集。这个数据集包含了58种典型攻击数据流。这些流可以分为五个典型的攻击类:DOS, U2R,探测器,R2L和数据。作为一个最全面的协议数据集,这个数据集是广泛应用于入侵检测,协议分析,协议识别、和其他领域。在我们的实验中,三个已知的协议,ARP协议、ICMP协议和HTTP协议,从实验数据中选择。
其他类型的未知协议,从多个日志系统捕获的数据包主要是在Linux下运行。之后,私人协议数据帧通过数据预处理模块。然后特征提取和验证为私人协议执行期间使用日志转移。因此,本文提出的方法是验证。本文中使用的未知格式协议数据传输的数据FASP协议。作为一个高效的大数据传输技术、FASP协议各广域网传输速度测试表现良好,被应用在许多不同的领域,如生命科学、云计算、和媒体。因为FASP协议是一种专利协议,协议的格式不披露,其传输的数据格式并不是公布,所以协议数据适合作为系统的测试数据。
首先,实验数据获得有效的实验数据处理。FASP、HTTP、ARP、ICMP协议被用于实验。数据分割算法,Jaccard系数计算的四个协议上面所提到的,和阈值计算如图
Jaccard系数ARP协议。
Jaccard系数FASP协议。
Jaccard系数ICMP协议。
Jaccard系数HTTP协议。
我们可以看到相应的频率阈值是不同的,当Jaccard系数是最高的四个协议。ARP协议的门槛约为600,阈值的峰值FASP协议约2200,ICMP协议的阈值是700,和HTTP协议的阈值是370,当Jaccard系数达到最大值。因此,对于这四个协议,之后
候选模式集提取由四个协议如表所示
频繁模式与位置信息提取结果实例。
| 协议 | 频繁模式实例 |
|---|---|
| FASP | ((0×56,0)、(“0×00000,8),(“0×0000,”16),(“0×19日”2),(“0 x1a′, 2), (“0×2, 4), (“0×3。“4),(“0×0000,20),(“0 xff”, 20),……) |
| ICMP | [(0×0501,0)、(“0 xac10720245”8), (“0×0,”20), (“0×000, 29), (“0×00,”18), (“0×02,”21), (“0×04,”21),……) |
| HTTP | [(0 f×474554202, 0)、(“0×485454502 f312e31, 0)、(“0×4163636570743 a,”16), (“0×486 f73743a,”32), (0 x446174653a, 32), (“0×5365727665723 a,”16),……) |
| ARP | ((0×000108000604000,0)、(“×1”15),(“0×2,15),(“0×0,”16),(“0 xac107,”28), (“0×0100,”34),……) |
协会之间的关系模式选择字符串根据发生模式字符串的位置。常规的规则通过关联规则如表所示
为四个协议协议常规功能。
| 协议 | 协议正常功能 |
|---|---|
| FASP | 56 (0 0××19 | 0×1)。+ 0 + 0×0000×00000 |
| ICMP | 0×0501 |
| HTTP | ((0×474554202 f。+ 0×474554202 + 0×486 f73743a) | (0×485454502 f312e31。+ 0×485454502 a。+ 0×446174653) |
| ARP | 0×000108000604000 (0×1 | 0×2) |
数据
基于模式匹配的功能验证算法。
基于聚类分析的特性验证算法。
从图可以看出
从图可以看出
综上所述,可以看出,频繁的模式特性和关联规则的影响特征的识别和分类逐渐变得更高。对未知的协议FASP,聚类分析的结果使用挖掘特性优于匹配分析。ARP和HTTP协议,上面的方法识别利率接近100%。私人协议,与此同时,对于FASP的识别率可以达到93.8%左右。
私人协议的识别具有重要意义,以防止滥用在5 g网络用户的私人数据。本文总结了目前协议识别和分析的研究方法,提出了一组特征提取和识别算法对未知的私人协议结合遗传算法和关联规则算法。每个算法的详细设计和实验。最后,提取特征的现实意义分析的基础上的实际数据,并通过实验验证。实验结果表明,该方法是有效地识别私人协议。
使用的数据来支持本研究的结果包括在本文中。
作者宣称没有利益冲突。
这项工作是由中国国家重点研发项目(没有。2016 qy05x1000),中国国家自然科学基金(61872111和61872111号),和基础研究项目(没有。JCKY2019210B029)。