学位论文 > 优秀研究生学位论文题录展示

具有准确应用类型标签的网络流量数据集的研究

作 者: 赵彩云
导 师: 杨波
学 校: 济南大学
专 业: 计算机应用技术
关键词: Socket Hook设计 NDIS中间层驱动 网络流量采集 数据集制作
分类号: TP393.06
类 型: 硕士论文
年 份: 2013年
下 载: 9次
引 用: 0次
阅 读: 论文下载
 

内容摘要


随着网络技术的不断进步、网络应用的不断增多,网络流量迅速爆发,对于服务质量、带宽计费以及入侵检测等网络管理而言,准确的流量分类变得更加重要。然而,在当前的网络环境下,由于动态端口号和加密技术的应用,使得传统分类方法的有效性越来越低。因此,基于网络流量行为模式的机器学习,得到许多团体的关注和研究。基于机器学习的流量识别技术使用的大多数流量样本,都是在网络主干节点上采集的。该流量样本经过多层伪装、加密等操作,很难再使用动态端口号、有效载荷、聚类算法等方案,来获得产生其的准确应用类型信息。因此,如何获得具有准确应用类型标签的网络流量数据集,成为目前流量分类研究所面临的一个难题。为了解决获得具有准确应用类型标签的网络流量数据集的问题,本文提出了具有准确应用类型标识的网络流量数据集的制作方案,并将该方案在真实的网络环境中进行部署实施,从而获得真实的具有应用类型标识的网络流量数据。首先,开发基于套接字钩子的钩挂程序(Socket Hook)和基于passthru框架的网络中间层扩展驱动程序,并将其安装在使用Windows操作系统的主机上。则主机上运行调用socket请求的网络应用时,在用户层,Socket Hook会将其截获并获得其五元组(源IP地址、源端口号、目的IP地址、目的端口号和协议)信息及应用进程名称,然后根据已创建的进程名称和进程标识的对应关系,建立网络应用的五元组和进程标识之间的对应关系。在内核层,基于passthru框架的驱动会截获socket调用的网络应用,并获得其五元组和进程标识的对应关系,然后在数据包头部的服务类型(TOS)位置上标记进程标识,在重新计算校验和后传输已被标识的网络应用。其次,在网络的中心出口处,通过路由镜像,使用基于现场可编程门列(FPGA)的板卡采集器对路由镜像的网络流量进行采集、过滤,并根据数据包头部TOS位值是否为零,将网络流量数据发送到数据服务器的不同位置上进行存储及处理。最后,对采集的网络流量数据依据五元组和TOS位的标志信息汇聚成流,并对汇聚后的网络流量进行过滤处理以及隐私处理。然后,数据处理器使用该处理后的网络流量制作成具有准确应用类型标签的网络流量数据集。

全文目录


摘要  7-8
Abstract  8-10
第一章 绪论  10-14
  1.1 课题的研究背景  10-11
  1.2 课题的研究目的及意义  11
  1.3 主要工作及章节安排  11-14
    1.3.1 本文主要工作  11-12
    1.3.2 本文章节安排  12-14
第二章 网络流量数据集的研究现状  14-24
  2.1 网络流量数据集的制作方案  14-20
    2.1.1 基于主干网的网络流量监测器  14-16
    2.1.2 流量分类算法的验证系统  16-17
    2.1.3 真实流量信息的认证系统  17-18
    2.1.4 获取真实的流量类型信息的系统  18-19
    2.1.5 基于分布式主机的流量采集平台  19-20
  2.2 数据集  20-22
    2.2.1 Moore 数据集  21-22
    2.2.2 AUCKLAND 数据集  22
    2.2.3 NZIX 数据集  22
  2.3 本章小结  22-24
第三章 系统架构与关键技术  24-34
  3.1 需求分析与设计  24-25
  3.2 软件平台  25-31
    3.2.1 Socket Hook 的设计与应用  26-28
    3.2.2 基于 passthru 框架的 NDIS 中间层扩展驱动  28-31
  3.3 基于 NetFPGA 的板卡采集器  31-32
  3.4 本章小结  32-34
第四章 为流出主机的流量标记应用进程标签  34-46
  4.1 基本概述  34-37
    4.1.1 标签位置的设定  34-36
    4.1.2 哈希表构建原理  36-37
  4.2 基于 Socket Hook 获得五元组和应用进程 ID 间对应关系  37-40
    4.2.1 建立应用进程名称和进程 ID 的哈希表  38
    4.2.2 建立数据包的五元组和进程 ID 的对应关系  38-40
  4.3 基于 passthru 的驱动为数据包标记应用进程 ID  40-45
    4.3.1 建立 NDIS Hash 表  41-42
    4.3.2 基于 passthru 驱动为数据包标记应用进程 ID  42-45
  4.4 本章小结  45-46
第五章 采集并制作具有准确应用标识的数据集  46-56
  5.1 环境部署  46
  5.2 网络流量的采集  46-49
    5.2.1 基于 Libpcap 的流量采集  46-47
    5.2.2 基于 NetFPGA 来采集网络流量  47-49
  5.3 制作具有准确应用类型标签的数据集  49-54
    5.3.1 数据集制作的原理  49-50
    5.3.2 对采集的流量进行隐私和过滤处理  50-51
    5.3.3 制作特征数据集  51-54
  5.4 本章小结  54-56
第六章 总结与展望  56-58
  6.1 本文总结  56-57
  6.2 展望  57-58
参考文献  58-64
致谢  64-66
附录  66

相似论文

  1. 广域网环境下可信数据传输平台的研究,TP393.2
  2. 人民银行内联网安全传输系统的设计与实现,TP393.08
  3. 网络行为旁路监控系统的研究,TP393.08
  4. 基于NDIS的个人防火墙技术的研究与实现,TP393.08
  5. 基于NDIS中间层ARP防火墙设计与实现,TP393.08
  6. 入侵检测关键技术在大型科学仪器工作状态监测系统中的研究与应用,TP393.08
  7. 基于NDIS中间层驱动和SPI技术的防火墙研究与实现,TP393.08
  8. 作战值班系统中IP流量过滤器的设计与实现,TP311.52
  9. Web服务器防护系统数据包拦截技术的研究与实现,TP393.08
  10. 基于IMD的流过滤个人防火墙的研究与设计,TP393.08
  11. 适合中小型企业的VPN设计与实现,TP393.1
  12. IP网络运营商的流量采集分析和QoS有效结合的研究,F623
  13. 一种分布式入侵检测基础架构的设计与实现,TP393.08
  14. 具有状态过滤的主机防火墙的设计与实现,TP393.08
  15. 基于NDIS的内网安全监控系统,TP393.1
  16. P2P流识别与控制的研究与实现,TP393.08
  17. 基于NDIS中间层驱动的ARP防护实现,TP393.08
  18. 基于NDIS中间层驱动的网络数据加密模型,TP393.08
  19. ARP欺骗攻击研究及ARP安全防护的实现,TP393.08
  20. MANET路由协议DSR在NDIS架构中的设计与实现,TN929.5

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络测试、运行
© 2012 www.xueweilunwen.com