童 博，施 俊，趙純熙

（中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 100048）

1 概述

隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用日益豐富，運(yùn)營(yíng)商骨干網(wǎng)出口流量也逐漸向復(fù)雜化和多樣化方向演進(jìn)。一方面，用戶對(duì)數(shù)據(jù)的隱私保護(hù)需求不斷增加，另一方面，網(wǎng)絡(luò)應(yīng)用軟件使用私有協(xié)議進(jìn)行數(shù)據(jù)傳輸，這樣使得網(wǎng)絡(luò)中加密流量的比例不斷提高。根據(jù)谷歌的報(bào)告，2021 年5 月Chrome 加載網(wǎng)頁中啟用加密的比例已經(jīng)到了98%［1］。加密在保護(hù)隱私的同時(shí)也給網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。網(wǎng)絡(luò)攻擊者將加密作為隱藏攻擊活動(dòng)的工具，使攻擊活動(dòng)變得隱秘，不易識(shí)別。為了維護(hù)健康的網(wǎng)絡(luò)環(huán)境，運(yùn)營(yíng)商需要提出有效的識(shí)別方法，提高網(wǎng)絡(luò)監(jiān)管技術(shù)手段，實(shí)現(xiàn)加密流量精細(xì)化管理，保障網(wǎng)絡(luò)安全運(yùn)行。

2 加密流量應(yīng)用類型識(shí)別方法

2.1 單包凈荷特征識(shí)別

為了保護(hù)用戶和網(wǎng)站數(shù)據(jù)的隱私，保護(hù)網(wǎng)絡(luò)瀏覽和交易的安全，越來越多的互聯(lián)網(wǎng)應(yīng)用使用HTTPS 加密傳輸，例如主流網(wǎng)站百度、淘寶、京東等。

HTTPS 不是一種單獨(dú)的協(xié)議，它是在會(huì)話層SSL/TLS 之上 的HTTP。SSL/TLS 介于TCP 和HTTP之間。HTTPS 協(xié)議交互流程如圖1 所示。客戶端和服務(wù)端TCP建鏈成功后，客戶端驗(yàn)證完服務(wù)端的公鑰證書后，生成正文密鑰，使用公鑰加密后發(fā)送給服務(wù)端。服務(wù)端使用私鑰解密后，得到正文密鑰。隨后雙方開始進(jìn)入正文數(shù)據(jù)通信階段，正文數(shù)據(jù)經(jīng)過正文密鑰加密后在線路中傳輸，保障了數(shù)據(jù)安全。

圖1 HTTPS交互過程

QUIC（Quick UDP Internet Connection）是谷歌制定的一種基于UDP 的低時(shí)延的互聯(lián)網(wǎng)傳輸層協(xié)議。QUIC協(xié)議整合了TCP 協(xié)議的可靠性和UDP 協(xié)議的速度和效率，在UDP 的上層，QUIC 提供了可靠、有序、安全且快速的傳輸服務(wù)。目前，在Chrome中有85%以上關(guān)于谷歌自有業(yè)務(wù)的請(qǐng)求響應(yīng)都是通過QUIC承載。

對(duì)于HTTPS、QUIC 等采用SSL/TLS 標(biāo)準(zhǔn)加密的協(xié)議，如圖2所示，可以利用協(xié)議交互過程中的明文信息進(jìn)行應(yīng)用類型識(shí)別。例如ClientHello 報(bào)文的servername 字段和Server Certificate 中的commonName 均包含了域名等明文信息。此類加密的協(xié)議，可以根據(jù)域名信息，識(shí)別單包凈荷特征字，并進(jìn)一步確定加密流量的應(yīng)用類型。

圖2 HTTPS和QUIC協(xié)議棧

2.2 基于DNS域名回填

互聯(lián)網(wǎng)流量采集系統(tǒng)針對(duì)HTTPS 等協(xié)議生成相應(yīng)協(xié)議話單，話單中包含識(shí)別出的應(yīng)用類型。對(duì)于單包凈荷特征不能判斷出應(yīng)用類型的HTTPS 話單，可通過解析DNS 報(bào)文，從中提取出域名信息，再回填到HTTPS話單，從而提高HTTPS應(yīng)用識(shí)別率。

客戶端通過域名HTTPS 訪問網(wǎng)站前，會(huì)給DNS 解析服務(wù)器發(fā)送DNS 報(bào)文，請(qǐng)求進(jìn)行域名解析。DNS 解析服務(wù)器返回的DNS 應(yīng)答報(bào)文中包含該域名對(duì)應(yīng)的IP 地址信息?？蛻舳双@得IP 地址后，再訪問相應(yīng)網(wǎng)站。通過上述過程，運(yùn)營(yíng)商可以解析DNS 應(yīng)答報(bào)文，并緩存DNS 報(bào)文里域名和IP 地址映射關(guān)系，采用域名回填方案，獲取話單中的應(yīng)用類型。

但是，基于DNS 域名回填的方法存在以下局限性和問題。

a）1 個(gè)IP 對(duì)應(yīng)多個(gè)域名（例如一個(gè)服務(wù)器群中部署多個(gè)HTTPS網(wǎng)站或CDN 環(huán)境）的情況不能使用DNS域名回填，否則會(huì)造成應(yīng)用類型識(shí)別錯(cuò)誤。

b）1 個(gè)域名映射對(duì)應(yīng)多個(gè)IP 時(shí)，為提高關(guān)聯(lián)率，需要記錄所有IP 用于關(guān)聯(lián)匹配，這會(huì)增加本方案的復(fù)雜度。

2.3 基于多包關(guān)聯(lián)的加密流量識(shí)別

網(wǎng)絡(luò)中有些應(yīng)用采用私有加密方式進(jìn)行通信，根據(jù)單包特征，難以進(jìn)行應(yīng)用識(shí)別。但從數(shù)據(jù)流上來看，同一個(gè)流上多個(gè)報(bào)文之間存在著一定的指紋特征。基于多包關(guān)聯(lián)識(shí)別方法有以下幾種。

a）單包特征強(qiáng)度不夠，容易誤識(shí)別，可以通過多包特征匹配進(jìn)行強(qiáng)化，降低誤識(shí)別率。

b）單包特征強(qiáng)度不夠，但與多包之間流量特征結(jié)合，即DPI+DFI進(jìn)行強(qiáng)化，提高應(yīng)用識(shí)別準(zhǔn)確度。

c）沒有任何擔(dān)保特征，單純依靠流量特征來識(shí)別，即純DFI 識(shí)別。例如多個(gè)報(bào)文長(zhǎng)度之和等于固定值，且成組出現(xiàn)。DFI 識(shí)別可以用于應(yīng)用流量大類識(shí)別，很難精確識(shí)別到具體應(yīng)用。

2.4 基于多流關(guān)聯(lián)的加密流量識(shí)別

多流關(guān)聯(lián)的加密流量識(shí)別有以下2種方式。

a）應(yīng)用程序的控制面和數(shù)據(jù)面在2個(gè)數(shù)據(jù)流上傳輸?？刂泼鎴?bào)文中攜帶數(shù)據(jù)面的IP 端口信息，數(shù)據(jù)面采用被動(dòng)方式建立連接（如FTP 業(yè)務(wù)），由服務(wù)器端動(dòng)態(tài)分配IP 端口，數(shù)據(jù)面上的數(shù)據(jù)流中只有數(shù)據(jù)內(nèi)容，沒有協(xié)議本身的指紋特征，難以識(shí)別。對(duì)于這類業(yè)務(wù)，需要在控制面數(shù)據(jù)流中解析出數(shù)據(jù)面的IP 端口信息，并進(jìn)行鎖存。在數(shù)據(jù)面報(bào)文建立通信后，可以通過鎖存的IP端口信息進(jìn)行應(yīng)用類型的識(shí)別。

b）應(yīng)用程序在通信前協(xié)商加密算法和加密能力，會(huì)根據(jù)通信對(duì)端采用適當(dāng)?shù)募用芩惴ㄟM(jìn)行通信。如果對(duì)端不支持加密，則會(huì)進(jìn)行明文通信。此類應(yīng)用可以通過抓取暴露的明文通信報(bào)文，進(jìn)行IP 端口的訓(xùn)練學(xué)習(xí)，建立IP 端口與應(yīng)用的映射庫(kù)，通過IP 端口信息識(shí)別出加密流量報(bào)文的應(yīng)用類型。

2.5 基于多鏈路關(guān)聯(lián)的加密流量識(shí)別

骨干出口等復(fù)雜網(wǎng)絡(luò)環(huán)境存在非對(duì)稱路由，即1條五元組流的上行和下行方向數(shù)據(jù)分散在不同鏈路或不同設(shè)備中傳輸。對(duì)于HTTPS 等報(bào)文指紋特征主要出現(xiàn)在上行方向（請(qǐng)求方向）的應(yīng)用，可以采用上下行鏈路話單關(guān)聯(lián)的方法，通過上下方向識(shí)別出的應(yīng)用類型回填到下行方向的話單中，提高下行方向應(yīng)用識(shí)別效果。

多鏈路關(guān)聯(lián)識(shí)別的網(wǎng)絡(luò)部署可以采用以下2種方案。

a）在原始鏈路流量和DPI 應(yīng)用識(shí)別模塊之間部署匯聚分流平臺(tái)。全部鏈路接入?yún)R聚分流平臺(tái)。匯聚分流平臺(tái)將全部流量進(jìn)行同源同宿處理，進(jìn)行上下行流量的關(guān)聯(lián)后，再輸出到后端DPI采集模塊，保障數(shù)據(jù)報(bào)文上下行完整的采集和識(shí)別。

b）原始流量分別接入DPI 采集模塊，DPI 采集模塊后端部署話單合成系統(tǒng)。不同的DPI采集模塊分別針對(duì)上行、下行流量獨(dú)立產(chǎn)生數(shù)據(jù)話單，傳送到話單合成系統(tǒng)，在話單合成系統(tǒng)，針對(duì)上行或下行的話單，按照五元組流進(jìn)行上下行關(guān)聯(lián)。

2.6 基于逆向技術(shù)破解加密數(shù)據(jù)包

網(wǎng)絡(luò)中有些應(yīng)用程序采用私有加密協(xié)議，包括常見的一些P2P下載、流媒體、游戲等應(yīng)用程序等。通過對(duì)這些私有加密應(yīng)用進(jìn)行逆向分析，可破解一部分應(yīng)用的加密協(xié)議。在實(shí)際應(yīng)用中，以下3 種加密方式可以通過逆向分析識(shí)別應(yīng)用類型。

a）固定的密鑰：應(yīng)用代碼中有固定的密鑰，雙方進(jìn)行通信時(shí)，使用代碼中固定的密鑰進(jìn)行加密和解密。針對(duì)解密后的內(nèi)容，可以通過單包指紋特征匹配進(jìn)行應(yīng)用類型識(shí)別。

b）密鑰在凈荷中：在報(bào)文交互過程中，密鑰存在凈荷中，位置、長(zhǎng)度不固定，但在凈荷內(nèi)有字段與之有關(guān)。可通過相關(guān)字段計(jì)算得到密鑰的長(zhǎng)度、位置，從而獲得雙方交互的密鑰。針對(duì)解密后的內(nèi)容，可以通過單包指紋特征匹配進(jìn)行應(yīng)用類型識(shí)別。

c）私有數(shù)據(jù)流傳輸格式：采用私有自定義數(shù)據(jù)流傳輸格式的應(yīng)用程序，可以通過提取加密流或者加密數(shù)據(jù)流的特征字段，并在多字段的組合的基礎(chǔ)上，進(jìn)行加、減、與、或、異或等運(yùn)算后，進(jìn)行規(guī)則匹配，達(dá)到應(yīng)用類型識(shí)別的效果。

2.7 基于機(jī)器學(xué)習(xí)的加密流量識(shí)別

采用強(qiáng)加密手段的應(yīng)用無法通過逆向解析識(shí)別，可以通過機(jī)器學(xué)習(xí)，研究出這個(gè)應(yīng)用的加密流量的數(shù)據(jù)模型。

不同應(yīng)用類型的流量特征不同。如圖3 所示，語音流的流量特點(diǎn)是平均報(bào)文長(zhǎng)度短，上下行流交替出現(xiàn)。網(wǎng)頁瀏覽是上行方向發(fā)出請(qǐng)求后，下行方向傳來對(duì)應(yīng)網(wǎng)頁，其特點(diǎn)是平均報(bào)文長(zhǎng)，連續(xù)報(bào)文較少。對(duì)于視頻流的特點(diǎn)是平均報(bào)文長(zhǎng)，連續(xù)報(bào)文較多。

圖3 不同應(yīng)用類型流量特征對(duì)比

基于上述不同應(yīng)用的流量特點(diǎn)，運(yùn)營(yíng)商可以針對(duì)流統(tǒng)計(jì)特征和時(shí)序特征，建立不同應(yīng)用與數(shù)據(jù)流量特征對(duì)應(yīng)關(guān)系的模型特征庫(kù)，通過機(jī)器學(xué)習(xí)，積累大量的數(shù)據(jù)流和數(shù)據(jù)包特征信息作為訓(xùn)練集，根據(jù)決策樹算法，對(duì)加密流量進(jìn)行類型識(shí)別。流統(tǒng)計(jì)特征和時(shí)序特征包括：上下行數(shù)據(jù)包流量特征、數(shù)據(jù)包間隔、數(shù)據(jù)包的離散性、數(shù)據(jù)包長(zhǎng)度分布、時(shí)間戳信息、私有加密協(xié)議的特殊端口等。

在機(jī)器學(xué)習(xí)中，應(yīng)用流量識(shí)別算法可分為淺層學(xué)習(xí)和深度學(xué)習(xí)［2］。深度學(xué)習(xí)采用訓(xùn)練多個(gè)單層非線性網(wǎng)絡(luò)，組合底層特征構(gòu)成數(shù)據(jù)的抽象表示，從而表達(dá)數(shù)據(jù)的本質(zhì)特征，在加密的流量識(shí)別中表現(xiàn)良好。目前主流的深度學(xué)習(xí)方法有自動(dòng)編碼器（SAE）、卷積神經(jīng)網(wǎng)絡(luò)（CNN）、循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）、深度置信網(wǎng)絡(luò)（DBN）等。近年來，這些方法被廣泛應(yīng)用到加密流量識(shí)別中，并取得不錯(cuò)的效果。

圖4是一個(gè)基于卷積神經(jīng)網(wǎng)絡(luò)的應(yīng)用流量識(shí)別的機(jī)器學(xué)習(xí)模型。在該模型中，原始數(shù)據(jù)包輸入卷積神經(jīng)網(wǎng)絡(luò)模型經(jīng)過重復(fù)訓(xùn)練，提取應(yīng)用統(tǒng)計(jì)模型。目前主要有以下2種訓(xùn)練模式。

圖4 卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

a）基于數(shù)據(jù)報(bào)文流特征進(jìn)行訓(xùn)練，包括報(bào)文間隔、數(shù)據(jù)報(bào)文長(zhǎng)度、窗口大小等統(tǒng)計(jì)級(jí)別數(shù)據(jù)。

b）基于數(shù)據(jù)報(bào)文的內(nèi)容進(jìn)行訓(xùn)練，主要基于數(shù)據(jù)包凈荷數(shù)據(jù)前段中的內(nèi)容進(jìn)行訓(xùn)練。

3 復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量應(yīng)用識(shí)別系統(tǒng)

基于上述研究的結(jié)果，本文設(shè)計(jì)了一種適用于骨干出口網(wǎng)絡(luò)加密流量的應(yīng)用識(shí)別系統(tǒng)。加密流量應(yīng)用識(shí)別系統(tǒng)如圖5所示。

圖5 加密流量應(yīng)用識(shí)別系統(tǒng)框圖

加密流量應(yīng)用識(shí)別系統(tǒng)主要由數(shù)據(jù)采集、報(bào)文解析、特征庫(kù)、五元組流表、規(guī)則匹配模塊、話單生成模塊和配置管理模塊組成。

3.1 數(shù)據(jù)采集

數(shù)據(jù)采集模塊使用DPDK 等高性能報(bào)文處理技術(shù)，針對(duì)鏈路上的實(shí)時(shí)數(shù)據(jù)流量進(jìn)行高速采集和預(yù)處理。預(yù)處理過程中，首先將非對(duì)稱流量進(jìn)行同源同宿處理，然后通過哈希算法將流量負(fù)載分擔(dān)至多個(gè)CPU核心，以此提高數(shù)據(jù)處理性能和準(zhǔn)確性。

3.2 報(bào)文解析

報(bào)文解析模塊按不同協(xié)議對(duì)報(bào)文進(jìn)行解析，提取出五元組信息、元數(shù)據(jù)信息以及針對(duì)不同協(xié)議的關(guān)鍵特征字段進(jìn)行應(yīng)用識(shí)別。針對(duì)數(shù)據(jù)流中只有數(shù)據(jù)內(nèi)容，沒有協(xié)議特征字段的協(xié)議，采用如下方式，進(jìn)行加密流量的多流關(guān)聯(lián)識(shí)別。

a）對(duì)于DNS 報(bào)文，提取出IP 和域名的映射關(guān)系后，記錄到IP—域名映射表中，待后續(xù)域名回填應(yīng)用類型時(shí)使用。

b）對(duì)于FTP 等在控制面中攜帶數(shù)據(jù)面端口信息的應(yīng)用，提取出IP端口信息，記錄到IP端口應(yīng)用表中，待數(shù)據(jù)面報(bào)文到達(dá)后，可以進(jìn)行跨流的多流關(guān)聯(lián)識(shí)別。

c）對(duì)于同時(shí)支持加密和不加密的應(yīng)用，在其明文傳輸數(shù)據(jù)時(shí)，鎖定相應(yīng)端點(diǎn)的IP 端口信息，待相同IP端口加密流量到達(dá)后，可以進(jìn)行跨流的多流關(guān)聯(lián)識(shí)別。

3.3 特征庫(kù)

特征庫(kù)包括字串特征庫(kù)和流模式特征庫(kù)2種。

字串特征庫(kù)中存儲(chǔ)的是各類應(yīng)用報(bào)文的指紋特征字串，例如域、URL、16 進(jìn)制數(shù)串等，主要用于單包報(bào)文的匹配。字串匹配方式包括固定偏移位置匹配、浮動(dòng)位置匹配和域名等協(xié)議字段匹配。字串特征支持多個(gè)字串相與運(yùn)算的操作，組合成復(fù)雜字串特征。

流模式特征庫(kù)中存儲(chǔ)的是流統(tǒng)計(jì)特征（通過機(jī)器學(xué)習(xí)獲得的各類應(yīng)用的多維度流量特征），包括報(bào)文間隔、報(bào)文長(zhǎng)度分布、報(bào)文離散度、跨包流特征組合等信息。

3.4 五元組流表

五元組流表用于記錄一個(gè)五元組流的流信息，這些信息分為通用信息和協(xié)議信息2類。通用信息是數(shù)據(jù)傳輸過程中的通用流量特征，例如TCP 建鏈時(shí)延、服務(wù)訪問應(yīng)答時(shí)延、平均報(bào)文長(zhǎng)度、報(bào)文長(zhǎng)度分布、時(shí)間間隔分布、序列號(hào)增長(zhǎng)、丟包重傳計(jì)數(shù)、報(bào)文亂序計(jì)數(shù)等信息。協(xié)議信息是根據(jù)應(yīng)用協(xié)議類型存儲(chǔ)與協(xié)議有關(guān)的相應(yīng)字段。五元組流表中存儲(chǔ)了同一個(gè)五元組流上的相關(guān)流信息，對(duì)于同一流上先后到達(dá)的報(bào)文，可以通過五元組流表進(jìn)行關(guān)聯(lián)識(shí)別。

3.5 規(guī)則匹配模塊

規(guī)則匹配模塊負(fù)責(zé)完成采集的數(shù)據(jù)與系統(tǒng)內(nèi)靜態(tài)或動(dòng)態(tài)的特征庫(kù)匹配操作，從而完成流量數(shù)據(jù)的分類和智能分析。規(guī)則匹配模塊是整個(gè)系統(tǒng)的核心模塊，規(guī)則匹配算法的優(yōu)劣決定了整個(gè)系統(tǒng)的處理性能的高低。

規(guī)則匹配模塊由五元組匹配、單包特征匹配和流模式特征匹配組成。

a）五元組匹配支持按5 個(gè)元組的組合來進(jìn)行匹配。本系統(tǒng)內(nèi)容主要是針對(duì)IP、IP 端口進(jìn)行匹配。通過IP 查詢IP—域名映射表，再用查詢到的域名，送入單包特征匹配單元。通過IP 端口表的查詢，進(jìn)行多流關(guān)聯(lián)分析，提高加密流量識(shí)別率。

b）單包特征匹配支持按報(bào)文凈荷內(nèi)容匹配字串特征庫(kù)預(yù)定義的特征字串。字串匹配方式包括固定偏移位置匹配、浮動(dòng)位置匹配和域名等協(xié)議字段匹配。字串特征支持多個(gè)字串相與運(yùn)算的操作，組合成復(fù)雜字串特征。

c）流模式特征匹配支持按五元組流表記錄的流統(tǒng)計(jì)信息匹配流模式特征庫(kù)中流量模型。流模式特征匹配支持基于五元組流表的多包關(guān)聯(lián)識(shí)別，同時(shí)也支持流特征的多維組合智能分析，根據(jù)五元組流表中的流量模型，識(shí)別出相應(yīng)的應(yīng)用類型，提高加密流量的識(shí)別率。

規(guī)則匹配模塊中各個(gè)匹配單元均根據(jù)各類協(xié)議應(yīng)用的規(guī)則庫(kù)，進(jìn)行流量識(shí)別和分類。為了提高應(yīng)用識(shí)別的準(zhǔn)確度，在規(guī)則匹配模塊中，針對(duì)某些應(yīng)用類型有多重匹配規(guī)則。模塊中設(shè)計(jì)應(yīng)用類型仲裁單元，針對(duì)不同匹配規(guī)則制定優(yōu)先級(jí)，采用按優(yōu)先級(jí)加權(quán)重的優(yōu)化算法，智能進(jìn)行應(yīng)用識(shí)別和分類，并將結(jié)果填寫到五元組流表中，最終進(jìn)一步提升應(yīng)用識(shí)別的準(zhǔn)確性。

3.6 話單生成

原始數(shù)據(jù)流量在五元組流表中完成相關(guān)流信息的關(guān)聯(lián)識(shí)別后，五元組流信息將從流表中刪除，并將結(jié)果輸出到話單生成模塊，進(jìn)行五元組表項(xiàng)格式化整理，再送給話單大數(shù)據(jù)平臺(tái)。五元組流話單的內(nèi)容包含了流的完整關(guān)鍵信息，全量完整的話單后期可以在大數(shù)據(jù)平臺(tái)進(jìn)行多鏈路、多場(chǎng)景關(guān)聯(lián)分析，可以進(jìn)一步提升加密流量識(shí)別率。

3.7 配置管理

配置管理模塊實(shí)現(xiàn)對(duì)系統(tǒng)的配置管理和對(duì)外接口功能，包括系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、系統(tǒng)告警、系統(tǒng)參數(shù)配置、系統(tǒng)升級(jí)、規(guī)則庫(kù)在線升級(jí)等功能。

3.8 系統(tǒng)部署

復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別系統(tǒng)的網(wǎng)絡(luò)部署如圖6所示。

圖6 多鏈路環(huán)境加密流量識(shí)別系統(tǒng)部署圖

系統(tǒng)在運(yùn)營(yíng)商網(wǎng)絡(luò)中部署應(yīng)用時(shí)，考慮運(yùn)營(yíng)商網(wǎng)絡(luò)設(shè)備多為雙局址部署，涉及多地多鏈路環(huán)境下的系統(tǒng)應(yīng)用，會(huì)導(dǎo)致非對(duì)稱流量沒有完整識(shí)別，影響應(yīng)用識(shí)別的準(zhǔn)確率，為保證最終的識(shí)別效果應(yīng)考慮以下情況。

a）所有鏈路到同一個(gè)機(jī)房：系統(tǒng)采用集中部署，將多地的鏈路通過傳輸電路，匯聚至同一節(jié)點(diǎn)，接入?yún)R聚分流平臺(tái)，在進(jìn)行應(yīng)用識(shí)別前，進(jìn)行上下行流量的關(guān)聯(lián)。

b）同一個(gè)出口有多個(gè)機(jī)房：所有機(jī)房的加密流量識(shí)別系統(tǒng)輸出話單到省級(jí)中心數(shù)據(jù)平臺(tái)。針對(duì)跨機(jī)房產(chǎn)生的非對(duì)稱流量，由數(shù)據(jù)分析平臺(tái)對(duì)話單進(jìn)行關(guān)聯(lián)合成，提升加密流量識(shí)別效果。

4 結(jié)束語

本文針對(duì)加密流量應(yīng)用類型識(shí)別方法進(jìn)行了研究和探討，采用機(jī)器學(xué)習(xí)的方式，對(duì)明文流量和加密流量進(jìn)行特征提取和行文分析，提煉出流量特征知識(shí)庫(kù)，設(shè)計(jì)了一種復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量應(yīng)用識(shí)別系統(tǒng)，利用字串特征庫(kù)和流量特征庫(kù)，在非對(duì)稱網(wǎng)絡(luò)環(huán)境中，對(duì)加密流量進(jìn)行精準(zhǔn)分類。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，加密流量行為分析的算法、流量模型建立和學(xué)習(xí)還需要進(jìn)一步深化研究和測(cè)試。