可扩展网络流量识别器设计与实现

摘要

随着网络中多媒体业务和P2P业务的广泛应用，对网络流量识别与控制技术的研究已成为网络流量管理中的重要课题。网络流量控制是保证网络中关键业务正常运行的重要手段。网络流量识别技术通过流量识别和报文分类等技术途径为实施网络流量控制提供了必要的前提条件。如何识别不同的网络流量，并针对不同的应用需求，灵活地扩展识别功能，满足不同的识别需要是其中重要的研究内容。
　　本文在对国内外流量识别技术的研究基础上，对不同网络流量的识别方法和报文分类算法进行了深入研究，并应用到典型网络流量的识别工作中，提出了一种可扩展的流量识别模型STI，并基于STI模型完成了流量识别器原型系统的设计与实现。系统采用了端口映射、流量特征配置和内核模块插件等技术能够灵活地扩展系统识别能力。论文主要完成了以下工作：
　　1.对现有的网络流量识别方法进行分析和研究，总结出基于不同网络层面上的流量识别技术。重点研究了基于应用层特征签名的深度包检测技术，并对两种典型的P2P流量，分析它们的流量特征签名，提出相应的识别方法。
　　2.研究典型的报文分类算法，针对流量识别的需求确定本文所提出的STI模型中使用的流量分类算法。该算法发挥了ABV算法处理大规模规则库时的性能优势，扩展了对规则库动态更新的功能，能够更好地适应网络流量识别环境中各种流量高频度动态变化的情况。
　　3.在NetFilter框架下设计并实现了一个基于STI模型的网络流量识别器原型系统。该系统基于ABV算法，通过端口识别和应用层特征识别的方法，达到对几种典型网络应用流量识别的目的，并通过扩充识别模块插件、修改流量特征配置表和端口映射表的方法来扩展系统的识别能力。通过实验验证了这种模型的有效性和准确性。

目录

封面

中文摘要

英文摘要

目录

1 绪 论

1.1研究背景

1.2 国内外研究现状

1.3研究意义

1.4论文主要工作概述及结构

2 流量识别方法研究

2.1基本概念

2.2 流量识别方法的评判标准

2.3常用的流量识别方法

2.4 流量识别方法在已有研究项目中的应用

3 报文分类技术研究

3.1基本概念

3.2 报文分类算法概述

3.3 报文分类算法性能评价标准

3.4 报文分类算法的设计原则

3.5 几种典型报文分类算法

3.6 报文分类算法比较

4 可扩展流量识别模型设计

4.1 STI模型总体设计

4.2 数据采集引擎

4.3流量识别引擎

4.4 流量分类引擎

5 基于Linux的STI原型系统实现

5.1 Linux网络协议栈

5.2 Linux NetFilter

5.3 STI原型系统实现

5.4 实验环境与结果

6 结束语

致谢

参考文献

附录