超级会员免费看
实时识别 SSH 加密应用流:基于聚类分析的方法
1. 引言
随着新应用(如实时多媒体)的出现,服务质量(QoS)控制变得尤为重要。不同应用在数据包大小、流量模式、传输层协议(UDP/TCP)以及吞吐量、传输延迟、抖动和丢包率等方面有不同的要求。边缘路由器的流量整形和调度技术旨在根据 QoS 策略模型管理带宽资源,而在此之前,准确分类应用流至关重要。
目前,大多数路由器采用基于端口的协议分类方法,但新应用常使用知名端口(如 80)进行转发。深度包检测(DPI)系统虽能通过 IP 有效载荷分析识别应用,但在处理加密流量时效果不佳。从服务提供商的角度来看,识别加密流量中的应用以应用 QoS 策略十分关键,因为加密流量可能包含实时应用、事务性应用(如 ERP、金融应用)和舒适性应用(如网页、邮件)等。
Secure Shell(SSH)是一种网络协议,允许在两个联网设备之间通过安全通道交换数据。它常用于登录远程计算机,也用于隧道传输、文件传输和在本地与远程计算机之间的安全通道上转发任意 TCP 端口。由于 SSH 流量是加密的,基于有效载荷分析的分类方法无法发挥作用,DPI 技术也无法识别 SSH 流中的应用。
我们的目标是开发一个实时系统,通过分析 SSH 连接中首个 IP 数据包的统计特征(如到达时间、方向和长度)来识别和分类 SSH 流。实验表明,我们的方法在 SSH 识别方面的准确率高达 99.2%,在识别 SSH 隧道内的应用时准确率高达 99.8%。
2. 相关工作
不同的流量分类方法已被开发出来,这些方法利用 IP 层的信息,如到达间隔时间、传输字节数和数据包大小。部分方法还需要语义完整的 TCP 流作为输入
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
