常裕文档网    > 范文大全 > 公文范文 >

特殊网络流量识别综述

时间:2022-04-06 09:57:48  浏览次数:

摘要:特殊网络是指与传统的客户端/服务端结构不同或者使用了特殊技术或工具形成的网络,前者以P2P网络为代表,后者以匿名网络、僵尸网络等为代表。这类网络相较传统网络更加高效、隐蔽、目的性强,难以用传统方法进行监管,带来了一系列管理和安全问题。传统流量识别技术不能有效应对特殊网络的流量识别,针对特殊网络的流量识别成为网络管理及网络安全领域新的热点。本文首先简要介绍传统网络的流量识别技术;进而介绍三种常见的特殊网络以及对应的流量识别技术,其中重点介绍目前Internet中最成功的公共匿名通信网络,即Tor网络的流量识别进展及存在问题。

关键词:特殊网络;流量识别;P2P网络;僵尸网络;匿名网络;Tor

中图分类号:TP391 文献标识码:A 文章编号:1009-3044(2018)17-0022-05

Abstract: The special network is different from the traditional client/server structure, with which formed by using the special technologies or tools, the former is represented by the P2P network, the latter is represented by anonymous network and botnet. Compared with traditional network, the special network is more efficient, covert and purposeful, and it is difficult to analysis with traditional methods, resulting in a series of management and security problems. The traditional traffic identification technology cannot effectively deal with the traffic identification of special network, and the traffic identification of special network becomes a new hot spot in network management and network security fields. Firstly, this paper introduced the traffic identification technology of traditional network, then three common special network, and the corresponding traffic identification technology were introduced, which focused on the most successful public anonymous communication network of Internet, namely the progress and existing problems of Tor network traffic identification.

Key words: the special network; traffic identification; P2P network; Botnet; anonymous network; Tor

1 引言

網络流量分析是有助于维护网络持续、高效和安全运行的一种手段,它广泛应用于网络管理中的安全监控和服务质量的改善[1],常见的产品如入侵检测系统(Intrusion Detection System:IDS)、防火墙、流量控制设备、负载均衡设备等也都和流量分析技术直接相关。对网络流量的分析可以很好地了解网络的运行规律,同时分析网络应用产生的流量以了解应用的运行情况。其次,流量分析还是了解网络用户的网络行为的重要途径,每个网络用户的网络行为都是相互影响的,同时会对网络的运行产生影响,用户在网络中的每个网络行为都伴随着网络流量的产生,通过对用户的网络流量的分析能够直观地了解用户的网络行为。在了解正常网络运行情况的基础上,可以进一步发现网络中存在的异常,异常的网络行为也都具有可统计的流量特征,如感染的蠕虫病毒、安装了木马程序等,都可以通过流量分析及时的发现网络用户的这些异常网络行为,从而有效的应对各种网络和应用问题。

近几年来,互联网应用由传统应用如HTTP、SMTP等占主导地位转变为各种新型网络应用。随着对等网络(Peer to Peer:P2P)各类应用的使用逐渐增多,以及在全球范围内加密流量的不断增加,用户的个人隐私保护和网络安全意识逐渐增加,安全套接层(SSL)、安全外壳协议(SSH)、虚拟专用网(VPN)等技术也大量应用于互联网。加密协议的良好兼容性和可扩展性使得采用加密技术越来越简单。但是,传统的信息加密技术能够实现对传输内容的保护,却不能很好的隐匿通信双方的身份信息、地理位置和通信模式等信息[2],匿名通信技术[3],[4]随之被提出,匿名网络逐渐被应用匿名网络提供的匿名性使得对该类网络服务的监管难度加大。互联网技术发展为网络用户提供了便利性的同时,也打开了网络恶意活动的大门,僵尸网络就是其中一种。由此,各类技术的发展使得特殊网络的存在也越来越广泛,通过网络流量分析来对网络行为进行监管就具有了重大意义。

2 传统的流量识别方法

目前,主要的流量识别技术可以划分为以下几类,即基于端口号的流量识别方法、基于深层包检测(Deep Packet Inspection:DPI)的流量识别方法、基于行为特征的流量识别方法和基于流特征的流量识别方法。下面分别介绍这四种流量识别方法。

推荐访问:综述 识别 网络流量