基于行為特征的SSH流分類(lèi)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、最近幾年網(wǎng)絡(luò)技術(shù)發(fā)展迅速，信息網(wǎng)絡(luò)在保障社會(huì)發(fā)展方面扮演著愈來(lái)愈重要角色，但各類(lèi)黑客攻擊事件、隱私泄露事件時(shí)有發(fā)生，網(wǎng)絡(luò)安全愈來(lái)愈受到重視。而僅通過(guò)使用各種殺毒軟件和安全衛(wèi)士來(lái)已經(jīng)難以保證計(jì)算機(jī)系統(tǒng)運(yùn)行的安全性，尤其是通信時(shí)的隱私安全問(wèn)題，越來(lái)越多的應(yīng)用開(kāi)始采用加密通信數(shù)據(jù)的方式來(lái)保護(hù)用戶的通信隱私，其中使用應(yīng)用層隧道（如SSH[1]）來(lái)加密通信數(shù)據(jù)變得越來(lái)越普遍，一方面，人們想通過(guò)加密隧道來(lái)保護(hù)他們的通信數(shù)據(jù)的隱私性，另一方面，他們希

2、望以此來(lái)保護(hù)他們使用的應(yīng)用類(lèi)型等行為的隱私性，還有一些人通過(guò)SSH等隧道隱藏自己的一些非法活動(dòng)[2]。因此，加密的隧道流量的識(shí)別變得越來(lái)越重要。
　　隨著各種應(yīng)用協(xié)議數(shù)量越來(lái)越多，網(wǎng)絡(luò)應(yīng)用難以再嚴(yán)格地遵循使用統(tǒng)一分配的端口提供服務(wù)的規(guī)則，基于端口的流量識(shí)別方法識(shí)別效果急劇下降，而SSH協(xié)議通信過(guò)程中的數(shù)據(jù)報(bào)文是經(jīng)過(guò)加密的，協(xié)議模型匹配和基于載荷檢測(cè)等識(shí)別方法均不再適用。
　　雖然SSH協(xié)議通信過(guò)程中數(shù)據(jù)報(bào)文是密文的，但在正式

3、的數(shù)據(jù)傳輸之前，為建立安全連接所發(fā)送的報(bào)文是明文的，且通信過(guò)程中的包長(zhǎng)、包到達(dá)時(shí)間間隔、報(bào)文方向和到達(dá)順序是可知的。本文根據(jù)SSH協(xié)議通信的以上幾個(gè)主要特征設(shè)計(jì)算法，首先，將基于端口的識(shí)別方法和基于載荷特征的識(shí)別方法相結(jié)合識(shí)別出網(wǎng)絡(luò)中的SSH流，然后，使用基于行為特征的應(yīng)用協(xié)議識(shí)別方法對(duì)SSH流進(jìn)行分類(lèi)，選取流的正向、反向和雙向流的TCP載荷長(zhǎng)度和報(bào)文到達(dá)時(shí)間間隔，以及反向報(bào)文所占比重這七個(gè)特征，使用訓(xùn)練集分別計(jì)算出每類(lèi)要識(shí)別的應(yīng)用類(lèi)別

4、流的特征的期望和方差。對(duì)于給定流，計(jì)算流的每個(gè)特征的期望和方差，然后計(jì)算該流屬于給定分類(lèi)的概率，取最大值，則該流屬于該類(lèi)別。
　　以本文所提出的識(shí)別算法為核心，構(gòu)造了一個(gè)SSH流分類(lèi)系統(tǒng)。該系統(tǒng)分為數(shù)據(jù)采集模塊，SSH流分類(lèi)模塊，數(shù)據(jù)庫(kù)模塊和展示模塊四部分。該系統(tǒng)通過(guò)數(shù)據(jù)采集模塊獲取網(wǎng)絡(luò)中的通信數(shù)據(jù)報(bào)文，并將獲取到的通信數(shù)據(jù)報(bào)文傳送給分類(lèi)系統(tǒng)的核心模塊——SSH流分類(lèi)模塊進(jìn)行識(shí)別和分類(lèi)。分類(lèi)模塊將報(bào)文的預(yù)處理結(jié)果和識(shí)別結(jié)果分別寫(xiě)入