Petr Velan、Milan Čermák、Pavel Čeleda和Martin DraŠar来自捷克共和国的Masaryk大学计算机科学研究所,他们在国际期刊《International Journal of Network Management》的2015年第25卷第355-374页上发表了一篇论文,题目是《A Survey of Methods for Encrypted Traffic Classification and Analysis》。文章的在线发布日期为2015年7月15日。不过,文章并非单一的原创研究,而是一篇针对加密流量分类和分析方法的综述性研究。
加密传输已成为如今网络通信中的一种标准方式,随着互联网加密服务的普及,网络流量中加密数据所占的比例迅速增加。然而,这种趋势也带来了新的挑战:加密流量的测量、分析和异常检测难度显著增加。面对加密流量日益普及和网络安全需求的对抗性局面,本文旨在对现有的加密流量分类和分析方法进行全面综述,对这些方法的优劣、适用性以及技术特性进行比较。
这篇综述的结构十分全面,涵盖了从加密协议的基本特性到具体分类技术的详细分析。以下列出文章中的主要观点,并详细解释每个观点及其支撑内容。
文章首先介绍了几种广泛使用的加密协议,包括Internet Protocol Security(IPSec)、Transport Layer Security(TLS)、Secure Shell(SSH)、BitTorrent以及Skype协议。这些协议在不同层次提供了加密传输服务。 - IPSec:主要在网络层保护数据,通过Internet Key Exchange协议建立连接;支持传输模式和隧道模式。 - TLS:应用层广泛使用的加密协议,基于TCP协议设计,支持传输数据的完整性和安全性。 - SSH:专为安全远程登录而设计的协议,通过TCP端口22实现用户验证和通信加密。 - BitTorrent和Skype:两者主要在应用层工作,分别通过消息流加密和混淆技术以达到隐私和网络流量遮蔽。
这些加密协议的启动阶段通常分为初始化阶段和数据传输阶段,初始化阶段以握手、认证和密钥交换为主。
论文指出,加密流量的初始化阶段常包含非加密的数据包,而这一特性为流量监控提供了可利用的信息。 - 握手信息提取:如TLS协议中协商的密码套件及版本信息,可以用于客户端指纹识别。 - 身份认证信息提取:如x.509证书中服务器与客户端交换的证书可用于身份验证及安全策略检查。
此外,即使在加密的传输阶段,流量特征分析(如包长度、序列分析)也能揭示一些通讯行为特征。
论文详细描述了流量分类方法的多样化,归纳为基于负载检查和基于流量特征两大类方法。 - 基于负载检查的方法:利用协议特定的包格式,通过正则表达式匹配或字符串匹配等方法实现分类,例如PACE、ndpi和l7-filter等分类工具。文章对这些工具进行了全面比较,如其处理速度、分类准确率及资源占用。 - 基于流量特征的方法:更加关注流量的统计特性及行为模式,利用机器学习、统计分析等对流量的宏观特征进行分类,该方法适用更广且支持未知协议分类。
大的机器学习分类方法(如监督学习和半监督学习)和统计分析方法成为此类特征分类的重要工具。 - 监督学习方法:包括C4.5决策树、SVM、Naive Bayes等技术,如Sun等人通过结合SSL/TLS协议识别和智能分类实现对加密应用协议的高效识别。 - 半监督学习方法:如K-Means聚类算法及其优化应用于协议模式发现和加密流量检测。 - 统计分析方法:以流量统计特征和分布为基础,结合马尔可夫链和熵分析,探寻加密协议背后的通讯类型。
文章通过以SSH、SSL/TLS和Skype等流量作为样本进行了性能及可行性测试。
文献综述过程中,作者指出现有研究中使用的测试数据集较为分散,缺乏统一性。常用数据集有: 1. 实时捕获网络数据; 2. 人工生成的模拟流量; 3. 公开或部分公开的标注数据集。
文章提到,为提高比较和测试的公平性,应利用预先准备的标准化公开数据集。
综述指出,目前的研究仍在持续探讨加密通道中隐藏的流量信息,但以下几点尚需关注: 1. 提升对加密协议中底层加密应用协议的识别能力; 2. 加强对全流量实时分析的研究,生成更高效的实时分类算法; 3. 在研究中更加注重加密协议的隐私保护。
本文综述提出了深入分析加密流量分类和分析技术的重要性,其意义主要体现如下: - 科学价值:总结了当前加密流分类领域的技术全貌;提出未来研究应关注协议及流量隐私保护的方向。 - 实际应用价值:为网络安全管理提供了理论基础,尤其是在入侵检测、流量可视化及加密服务分类等领域提供了多样化的技术路径。 - 实践指导性:文章推荐了多种分类工具的使用方法,分析了其优缺点,为研究者或行业从业者选择合适工具提供了参考依据。
这篇综合性综述不仅有效归纳了加密流量分类和分析的最新进展,也批判性地指出了现有研究的不足,为未来研究奠定了扎实的理论基础。通过提出多种技术及实现方案,本文帮助研究者更好理解加密流量的分类难点,也为网络管理部门应对加密流量日益增长的挑战提供了技术支持。