目录
Statistical and machine learning approach:
port-based:
基于端口的分类器使用数据包的TCP/UDP报头中的信息来提取端口号,该端口号假定与特定的应用程序相关联。提取端口号后,将其与分配的IANA TCP/UDP端口号进行比较,进行流量分类。提取是一个简单的过程,端口号不会受到加密方案的影响。由于该方法提取速度快,常用于防火墙和访问控制列表(ACL)中。基于端口的分类被认为是最简单和最快速的网络流量识别方法之一。
port-based的不适用性:
1. 大量的端口混淆
2. 网络地址转换(NAT)
3. 端口转发
4. 协议嵌入
5. 随机端口分配
Payload Inspection Technique:
这些技术基于对数据包的应用层有效负载中可用信息的分析。大多数有效负载检查方法,也称为深度包检查(DPI),使用预定义的模式,如正则表达式作为每个协议的签名.然后使用派生的模式来区分协议之间的差异。
payload inspection technique不适用性:
1. 无论何时发布新协议,都需要更新模式
2. 用户隐私问题是这种方法最重要的缺点之一
3. DPI面临技术和经济问题:加密协议、模糊协议、封装(HTTP隧道流量)、计算的高成本和复杂性。
Statistical and machine learning approach:
其中一些方法(主要称为统计方法)有一个有偏见的假设,即每个应用程序的底层流量具有一些统计特性,这些特性几乎是每个应用程序所特有的。每一种方法都使用它的函数和统计量。
不适用性:
1. 主要缺点是特征提取和特征选择阶段都是在专家的帮助下完成的。
2. 这些方法耗时、昂贵且容易出现人为错误(如一些特征的提取的最大的复杂度是O (n log2 (n))比如平均数据包大小)
3. 虽然通过删减和筛选一些特定的特征,较少特征的数量,来实现减低计算的复杂度,同样可以达到相同的准确率,但是由于特征数较少,使用的目的场景不同,容易被攻击者规避这些特征。