运载火箭测发网络异常流量识别技术

doi:10.16511/j.cnki.qhdxxb.2018.22.004

摘要
图/表
参考文献
相关文章
Metrics

全文: PDF(2971 KB)
输出: BibTeX | EndNote (RIS)

摘要运载火箭测发网络系统是维系运载火箭各系统远距离测试发射控制的重要国防信息基础设施，测发网络流量数据的精准分析是检测异常行为和保障信息安全的关键举措。该文综合利用端口映射识别、载荷特征识别、统计分析和支持向量机（SVM）学习算法，构建动态混合识别策略，通过端口映射和载荷特征识别获取机器学习训练样本，利用信息增益完成特征选择，构建SVM机器学习识别模型并进行样本训练，建立投票机制实现流量数据综合分析。利用测发网络真实数据进行测试表明：该算法识别准确度达99.1%，并有效地降低了人工判决分析的次数。

	服务

	把本文推荐给朋友
	加入引用管理器
	E-mail Alert
	RSS

	作者相关文章
	徐洪平
	刘洋
	易航
	阎小涛
	康健
	张文瑾

关键词 ：运载火箭测发网络, 端口映射, 载荷精确特征匹配, 动态混合策略, 支持向量机(SVM)学习

Abstract：The measurement and control network of a launch vehicle is an important national defense information infrastructure for remote measurements and launch control. This network provides a key measure to detect abnormal behavior and ensure information security through accurate analysis of the traffic. This paper describes a network strategy using the port mapping method, payload matching, and support vector machine (SVM) learning algorithm. The training samples are produced by the port mapping and payload matching method. Then, the key features are selected based on the information gain. Next, the SVM model is built with these features and trained by the training samples. The traffic data is then analyzed by the voting mechanism. Actual data from the network is used to verify the method with the results showing that this method has an accuracy of 99.1% with far fewer manual analyses.

Key words： measurement and control network of launch vehicle port mapping payload matching dynamic strategy support vector machine (SVM) learning

收稿日期: 2017-08-07 出版日期: 2018-01-15

ZTFLH:

TP393.0

引用本文:

徐洪平, 刘洋, 易航, 阎小涛, 康健, 张文瑾. 运载火箭测发网络异常流量识别技术[J]. 清华大学学报（自然科学版）, 2018, 58(1): 20-26,34.
XU Hongping, LIU Yang, YI Hang, YAN Xiaotao, KANG Jian, ZHANG Wenjin. Abnormal traffic flow identification for a measurement and control network for launch vehicles. Journal of Tsinghua University(Science and Technology), 2018, 58(1): 20-26,34.

链接本文:

http://jst.tsinghuajournals.com/CN/10.16511/j.cnki.qhdxxb.2018.22.004 或 http://jst.tsinghuajournals.com/CN/Y2018/V58/I1/20

图１网络数据分流处理流程

表１常见网络应用及对应的端口和传输层协议

图２流表设计架构

图３基于载荷精确特征匹配的流量识别分析

图４基于支持向量机的流量分类过程

图５异常流量检测识别算法

图６动态混合策略算法示意图

表２网络流量特征

图７运载火箭测发网络信息系统拓扑结构

图８网络流量时序特征变化

表３算法分析性能对比

图９时间窗口的选择对算法性能的影响

[1]	LANG T, BRANCH P, ARMITAGE G. A synthetic traffic model for Quake3[C]//2004 ACM SIGCHI International Conference on Advances in Computer Entertainment Technology. Singapore:ACM, 2004:233-238.
[2]	陈亮, 龚俭, 徐选. 基于特征串的应用层协议识别[J]. 计算机工程与应用, 2006, 42(24):16-19. CHEN L, GONG J, XU X. Identification of application level protocols using characteristic[J]. Computer Engineering and Applications, 2006, 42(24):16-19. (in Chinese)
[3]	LIN Y D, LU C N, LAI Y C, et al. Application classification using packet size distribution and port association[J]. Journal of Network and Computer Applications, 2009, 32(5):1024-1030.
[4]	MOORE A W, PAPAGIANNAKI K. Toward the accurate identification of network applications[C]//6th International Conference on Passive and Active Network Measurement. Boston, MA, USA:Springer, 2013:41-54.
[5]	YU J, LEE H, IM Y, et al. Real-time classification of Internet application traffic using a hierarchical multi-class SVM[J]. KSⅡ Transactions on Internet and Information Systems, 2010, 4(5):859-876.
[6]	ZHANG J, XIANG Y, WANG Y. Network traffic classification using correlation information[J]. IEEE Transactions on Parallel and Distributed Systems, 2013, 24(1):104-117.
[7]	SHAFIQ M, YU X Z, LAGHARI A, et al. Network traffic classification techniques and comparative analysis using machine learning algorithms[C]//20162nd IEEE International Conference on Computer and Communications. Chengdu, 2016:2451-2455.
[8]	IBRAHIM H A H, ZUOBI O R A A, AL-NAMARI M A, et al. Internet traffic classification using machine learning approach:Datasets validation issues[C]//2016 Conference of Basic Sciences and Engineering Studies. Khartoum, Sudan, 2016:158-166.
[9]	DEVI S R, YOGESH P. A hybrid approach to counter application layer DDoS attacks[J]. International Journal on Cryptography and Information Security, 2012, 2(2):45-52.
[10]	高赟, 周薇, 韩翼中, 等. 一种基于文法压缩的日志异常检测算法[J]. 计算机学报, 2014, 37(1):73-86.GAO Y, ZHOU W, HAN J Z, et al. An online log anomaly detection method based on grammar compression[J]. Chinese Journal of Computers, 2014, 37(1):73-86. (in Chinese)
[11]	WANG C Z, ZHANG H L, YE Z W. A peer to peer traffic identification method based on support vector machine and artificial bee colony algorithm[C]//2015 IEEE 8th International Conference on Intelligent Data Acquisition and Advanced Computing Systems:Technology and Applications. Warsaw, Poland, 2015:982-986.
[12]	WANG Y, CHEN C, XIANG Y. Unknown pattern extraction for statistical network protocol identification[C]//2015 IEEE 40th Conference on Local Computer Networks. Clearwater Beach, USA, 2015:506-509.
[13]	CHEN T, LIAO X. An optimized solution of application layer protocol identification based on regular s[C]//201618th Asia-Pacific Network Operations and Management Symposium. Kanazawa, Japan, 2016:1-4.
[14]	HE H M, TIWARI A, MEHNEN J. Incremental information gain analysis of input attribute impact on RBF-kernel SVM spam detection[C]//2016 IEEE Congress on Evolutionary Computation. Vancouver, Canada, 2016:1022-1029.

[1]	夏卓群, 李文欢, 姜腊林, 徐明. 基于路径分析的电力CPS攻击预测方法[J]. 清华大学学报（自然科学版）, 2018, 58(2): 157-163.
[2]	赵俊, 包丛笑, 李星. 基于OpenFlow协议的覆盖网络路由器设计[J]. 清华大学学报（自然科学版）, 2018, 58(2): 164-169.
[3]	张庭, 汪漪, 杨仝, 卢建元, 刘斌. NDN名字查找算法的性能测试平台的设计和实现[J]. 清华大学学报（自然科学版）, 2018, 58(1): 1-7.
[4]	高洋, 马洋洋, 张亮, 王眉林, 王卫苹. 伴随随机攻击的信息物理系统的同步控制[J]. 清华大学学报（自然科学版）, 2018, 58(1): 14-19.
[5]	江卓, 吴茜, 李贺武, 吴建平. 基于链路通断预测的飞行器多路径传输优化[J]. 清华大学学报（自然科学版）, 2017, 57(12): 1239-1244.
[6]	张瑜, 潘小明, LIU Qingzhong, 曹均阔, 罗自强. APT攻击与防御[J]. 清华大学学报（自然科学版）, 2017, 57(11): 1127-1133.
[7]	韩心慧, 魏爽, 叶佳奕, 张超, 叶志远. 二进制程序中的use-after-free漏洞检测技术[J]. 清华大学学报（自然科学版）, 2017, 57(10): 1022-1029.
[8]	曹来成, 何文文, 刘宇飞, 郭显, 冯涛. 跨云存储环境下协同的动态数据持有方案[J]. 清华大学学报（自然科学版）, 2017, 57(10): 1048-1055.
[9]	刘武, 王永科, 孙东红, 任萍, 刘柯. 开源智能终端认证漏洞挖掘及登录认证改进[J]. 清华大学学报（自然科学版）, 2017, 57(9): 897-902.
[10]	马锐, 朱天保, 马科, 胡昌振, 赵小林. 基于单证人节点的分布式节点复制攻击检测[J]. 清华大学学报（自然科学版）, 2017, 57(9): 909-913,920.
[11]	闫健恩, 张兆心, 许海燕, 张宏莉. 基于命令语法结构特征的IRC僵尸网络频道检测[J]. 清华大学学报（自然科学版）, 2017, 57(9): 914-920.
[12]	陈宇, 王娜, 王晋东. 利用三角模糊数的语言变量项集减项算法[J]. 清华大学学报（自然科学版）, 2017, 57(8): 892-896.
[13]	李瑜, 赵勇, 郭晓栋, 刘国乐. 全系统一体的访问控制保障模型[J]. 清华大学学报（自然科学版）, 2017, 57(4): 432-436.
[14]	徐明伟, 夏安青, 杨芫, 王宇亮, 桑猛. 天地一体化网络域内路由协议OSPF+[J]. 清华大学学报（自然科学版）, 2017, 57(1): 12-17.
[15]	王伟平, 柏军洋, 张玉婵, 王建新. 基于代码改写的JavaScript动态污点跟踪[J]. 清华大学学报（自然科学版）, 2016, 56(9): 956-962,968.

Viewed

Full text

Abstract

Cited

Shared

Discussed