标签: 流量识别

互联网技术的发展使得网络流量复杂多样，网络安全事故增多，网络流量的识别与监控对保障网络安全具有越来越重要的作用。文中针对传统的只用软件监测流量速度慢而不能满足现代网络的高速数据吞吐量问题与只用硬件识别占用内存大的问题，提出了一种基于深度包监测（DPI）的流量识别系统开发与设计方法，该方法采用软硬结合，其基于正则表达式，主要思想是针对复杂网络协议则用软件识别，而常用的网络协议则用硬件识别，从而使得系统结合传统软件与硬件方法的优点。实验结果表明，文中所设计的系统识别准确率高，且在网络没有堵塞的前提下无误报、漏报现象，满足网络使用需求。

由于网络流量的多样化、精细化，使得网络安全显得日益重要，所以我们要定期对网络中重要的流量进行分析，即使遏制不安全因素的产生。本文对网络流量的识别、控制系统做了简要的叙述，并且结合实例予以说明。通过反复对流量的识别和控制测试，验证了本系统的可行性。

传统的流量识别方法主要有基于流量行为特征的指纹信息匹配技术、深层数据包检测技术、基于端口映射的流量识别技术等。基于机器学习的识别技术是目前较为先进的一种，它利用机器学习自学习、自组织和自适应的特性，可有效解决传统流量识别方法存在实现复杂、速率慢等问题，但是由于网络环境当中存在大量的背景流量，导致机器学习的精确率较低。本文针对传统的流量识别技术和单纯机器学习方法的缺陷，提出了一种使用XGBoost机器学习模型与域名信息结合的方式进行流量识别的技术，首先分别对HTTP协议数据和HTTPS协议数据构建机器学习模型进行流量的初步识别，然后构建应用与其二级域名的映射关系。对于模型识别为正类的数据提取域名信息（HTTP提取host字段、HTTPS提取SNI域），最后根据应用与二级域名的映射关系对模型识别的结果进行二次筛选，进一步提高准确率。