基于現代網絡的深度學習應用協議識別技術研究與實現

葉松

摘要：在高速網絡環境下，隨著用戶對端口的自由使用，點對點網絡及加密協議開始得到廣泛應用。通過創建一個網絡協議分析庫，深入網絡數據包，進行深度學習的應用層協議分類與分析識別，以提高協議檢測的準確性。根據大量主流應用程序的流特征進行深度學習，建立應用協議特征庫，通過算法實現應用層協議的識別。研究一種應用于APT攻擊防御系統、網絡入侵檢測系統與Web審計系統的應用層協議識別技術，可提高對APT攻擊防御判斷的準確性。

關鍵詞：深度學習；應用協議識別；APT攻擊防御；入侵檢測

DOIDOI：10.11907/rjdk.181170

中圖分類號：TP393

文獻標識碼：A 文章編號：1672-7800（2018）010-0194-06

英文摘要Abstract：In the high-speed network environment， with the free use of the port， the application of the point to point network and encryption protocol is also coming. By creating a network protocol analysis library， deep network data packets， and the application layer protocol classification and recognition of the depth learning， in order to improve the accuracy and universality of the protocol detection. According to the flow characteristics of a large number of mainstream applications for in-depth learning， the establishment of application protocol feature library， through the algorithm to achieve application protocol recognition technology. The application layer protocol high efficiency recognition technology used in the APT attack defense system， the network intrusion detection system and the Web audit system can improve the accuracy of the defense judgment of the APT attack.

英文關鍵詞Key Words：deep learning；application level protocol identification；advanced persistent threat；intrusion detection

0 引言

傳統網絡協議分析僅限于利用數據包包頭與端口進行協議識別，但在高速網絡環境下，隨著用戶對端口的自由使用，P2P（點對點）網絡以及基于HTTP封裝的加密協議開始得到廣泛應用，識別應用層協議變得非常困難[1-2]。傳統網絡協議分析系統大多只能根據端口簡單區分應用層協議，即使有些分析工具能對部分應用層協議內容進行分析，也只能分析HTTP或簡單的應用層協議。本文通過深度解析UDP、TCP負載內容，深度學習并分析HTTP頭部指紋信息以及負載內容，通過一套高速算法實現對現代網絡應用協議的識別[3]。

傳統網絡安全設備，如防火墻、入侵檢測系統，甚至是近期出現的APT攻擊防御系統等，如果應用協議識別缺乏深度學習過程，則無法針對目前層出不窮的網絡安全問題進行高效、可靠的防御。……