基于行为分析的网络流量检测技术研究

本项目研究如何通过对主机产生的数据流进行检测来确定该主机提供的应用类型，主要思路是研究P2P应用及具有攻击行为的数据流的社会行为、研究网络功能及应用行为特征、以及研究基于行为的网络流量测量方法。研究目标主要包括改进已有的流量检测方法，在此基础上建立基于主机行为分析的流量检测方法模型，从而具备对网络中未知数据流进行分析的自学习技术，并能对网络进行攻击预判，对企业网边界安全进行分析，以及自组织及启发式网络流量分管分控技术等。本项目的研究成果将为行为分析技术在网络流量测量方面的应用打下基础，并形成一种不依赖于软件本身的数据流分析技术。该技术在保证网络带宽得到最大的利用率的同时，也能起到网络优化及网络安全防护的作用。

随着互联网技术与对等网络（Peer-to-Peer, P2P）应用的迅速发展，对网络的管理与控制日益重要，流量检测技术也因此成为了一门重要学科。本项目在前人研究的基础之上，围绕P2P流量检测与异常流量检测等问题进行实验研究和理论分析。开发了一个网络流量收集分析实验平台，实现了将应用程序与其产生的数据包一一对应，能够统计分析P2P应用网络流量的各种行为特征。在对P2P应用和异常流量的行为特征研究的基础上，提出了多种基于行为的流量检测算法及流量预测模型，这些方法和模型包括了基于端口特征的P2P应用识别方案、基于支持向量机的TCP流量早期识别算法、改进的快速P2P流量启发式识别算法、基于小波变换和回声状态网络的流量预测模型、基于改进的CURE聚类算法的无监督异常检测方法、基于行为的拒绝服务攻击检测方法等。实验研究表明，该项目提出的数种基于行为的流量检测算法均能够以较高的准确和效率的识别多种P2P应用， 而基于小波变换和回声状态网络的流量预测模型的流量预测精度可达到98%以上，显著优于传统的ESN模型和最小二乘支持向量机模型。最后，基于行为的拒绝服务攻击检测方法和基于改进的CURE聚类算法的无监督异常检测方法分别能够有效的检测多种拒绝服务攻击、网络数据中的已知和未知入侵行为。综上所述，本项目提出的多种基于行为的流量检测和方法和流量预测模型具有模型简单、适用范围广、易于工程人员理解等特点，因此，本项目的研究不仅具有理论意义，而且具有广阔的应用前景。