面向特定网络流的深度报文检测技术研究

摘要

近年来随着网络的高速发展，互联网的使用越来越广泛。网络在给用户提供便捷服务的同时也存在了一些潜在的危险，如用户信息泄漏、中间人攻击等等。深度报文检测技术可以对数据包负载内容进行检测以识别其中的非法内容，然而对于加密后的负载内容无法检测，对加密流量进行负载内容的深度报文检测毫无意义并且会降低整体的检测效率。所以需要将加密流量从网络流量中识别与提取，进而对非加密流量进行深度报文检测。本文从加密流量识别和非加密流量的深度报文检测两个方面展开研究。
　　第一方面，加密流量的识别。通过对现有的流量识别技术进行分析，综合考虑各种识别技术的优点和缺点，可以得出基于DPI的识别模型具有最高的识别率。对于交互阶段带有明文数据部分的加密流量可以使用DPI进行识别，然而在无法获取交互阶段明文数据或者使用私有协议的情况下无法使用DPI技术。本文根据加密流量的随机性，将信息熵技术应用到加密流量识别模型中，同时将进行熵值比较的阈值进行动态调整，提出DPI和信息熵相结合的加密流量识别模型。实验证明，该识别系统对加密流量的识别率要高于现有的加密流量识别模型。
　　第二方面，非加密流量的深度报文检测。本文对深度报文检测系统中使用的正则表达式匹配算法进行分析与研究，目前的优化算法中大多以时间换取空间，而过滤形式的匹配模型并不会增加时间复杂度。所以本文针对过滤形式的正则表达式匹配技术进行优化，现有的过滤方式较为简单，且过滤过程使用传统的 DFA对于待匹配数据中的每个输入字符进行一次状态转移，每次状态转移需要进行一次访存操作比较耗时。针对该情况本文提出了基于分组-预检的正则表达式匹配模型，并在预检阶段采用了一种基于步长的有限自动机匹配算法。该预检算法不仅可以提高匹配速度同时降低转移表的内存空间，而且对于复杂的正则表达式有良好的匹配效果。经过实验证明，与其他匹配模型相比此预检阶段速度更快，经过高速匹配的预检模型后，进入到验证模块的数据量更少，从而使整体上的匹配性能进一步提升。

目录

声明

第1章 绪论

1.1 课题研究背景及意义

1.2 论文结构及研究内容

第2章 国内外相关研究概述

2.1 引言

2.2 加密流量识别技术研究现状

2.2.1 加密算法和加密协议

2.2.2 基于端口的加密流量识别

2.2.3 基于主机行为的加密流量识别

2.2.4 基于流特征的加密流量识别

2.3 正则表达式匹配优化技术研究现状

2.3.1 消除冗余自动机

2.3.2 基于记录自动机

2.3.3 混合结构自动机

2.3.4 过滤形式自动机

2.4 本章小结

第3章 基于特征和信息熵结合的加密流量识别技术

3.1 引言

3.2 相关技术介绍

3.2.1 DPI识别技术

3.2.2 信息熵介绍

3.3 DPI和信息熵相结合的加密流量识别模型

3.3.1 加密流量识别模型

3.3.2 信息熵计算过程

3.3.3 阈值调整过程

3.4.1 实验方案

3.4.2 实验结果

3.5 本章小结

第4章 基于分组-预检的正则表达式匹配优化技术

4.1 引言

4.2.1 有限自动机

4.2.2 基于NFA的正则表达式匹配算法

4.2.3 基于DFA的正则表达式匹配算法

4.3 基于分组-预检的正则表达式匹配算法优化

4.3.1 分组过程

4.3.2 预检模型

4.3.3 预检过程

4.4.1 实验方案

4.4.2 实验结果

4.5 本章小结

结论

参考文献

致谢