传统的Port-based、Payload Inspection、Statistical and machine learning 方法识别network traffic的不足

最新推荐文章于 2024-05-07 19:30:07 发布
最新推荐文章于 2024-05-07 19:30:07 发布
阅读量456 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hansome_hong/article/details/106529125
版权

目录

传统的network traffic识别方法的不足

port-based:

Payload Inspection Technique:

Statistical and machine learning approach:

 

 

port-based:

基于端口的分类器使用数据包的TCP/UDP报头中的信息来提取端口号,该端口号假定与特定的应用程序相关联。提取端口号后,将其与分配的IANA TCP/UDP端口号进行比较,进行流量分类。提取是一个简单的过程,端口号不会受到加密方案的影响。由于该方法提取速度快,常用于防火墙和访问控制列表(ACL)中。基于端口的分类被认为是最简单和最快速的网络流量识别方法之一。

port-based的不适用性:

1. 大量的端口混淆

2. 网络地址转换(NAT)

3. 端口转发

4. 协议嵌入

5. 随机端口分配

 

Payload Inspection Technique:

这些技术基于对数据包的应用层有效负载中可用信息的分析。大多数有效负载检查方法,也称为深度包检查(DPI),使用预定义的模式,如正则表达式作为每个协议的签名.然后使用派生的模式来区分协议之间的差异。

 

payload inspection technique不适用性:

1. 无论何时发布新协议,都需要更新模式

2. 用户隐私问题是这种方法最重要的缺点之一

3. DPI面临技术和经济问题:加密协议、模糊协议、封装(HTTP隧道流量)、计算的高成本和复杂性。

Statistical and machine learning approach:

其中一些方法(主要称为统计方法)有一个有偏见的假设,即每个应用程序的底层流量具有一些统计特性,这些特性几乎是每个应用程序所特有的。每一种方法都使用它的函数和统计量。

 

不适用性:

1. 主要缺点是特征提取和特征选择阶段都是在专家的帮助下完成的。

2. 这些方法耗时、昂贵且容易出现人为错误(如一些特征的提取的最大的复杂度是O (n log2 (n))比如平均数据包大小)

3. 虽然通过删减和筛选一些特定的特征,较少特征的数量,来实现减低计算的复杂度,同样可以达到相同的准确率,但是由于特征数较少,使用的目的场景不同,容易被攻击者规避这些特征。

皮卡丘的情绪
关注
专栏目录
〖Python接口自动化测试实战篇⑤〗- 接口自动化测试必备基础 - http协议
易编橙 · 终身成长社群,相遇已是上上签!
05-27 4万+
在上一章节我们聊到了 "如果想要做好接口测试,有一些基础知识是必备的",尤其是 "http协议" 的相关知识。所以在这一章节会针对 "http协议的基础"、"http协议的请求方法" 、"http状态码" 来做一个知识普及。...
利用神经网络进行网络流量识别——特征提取的方法是(1)直接原始报文提取前24字节,24个报文组成596像素图像CNN识别;或者直接去掉header后payload的前1024字节(2)传输报文的大小分...
djph26741的博客
01-22 4432
国外的文献汇总: 《Network Traffic Classification via Neural Networks》使用的是全连接网络,传统机器学习特征工程的技术。top10特征如下: List of Attributes Port number server Minimum segment size client→server First quartile of numbe...
ios - run loop (port -based)
zj510的专栏
12-27 1239
苹果公司的ios文档(https://developer.apple.com/library/ios/documentation/Cocoa/Conceptual/Multithreading/RunLoopManagement/RunLoopManagement.html)介绍里面,portbased作为线程之间的通信花了很长篇幅来介绍。但是有趣的是,当我尝试去使用machport的时候,xc
docker run -P/port/logs -f/rm/inspect
jason的笔记
03-22 749
可以通过docker -P  命令指定端口运行 可以通过docker port 查询端口,通过docker logs -f 查询docker内部的输出 也可以在docker中使用top命令和使用iinspect 命令查询docker的配置和状态信息 可以通过docker rm删除Image,但是必须先stop,否则会报错
服务器的ip端口加密协议混淆,Obfsproxy - 混淆/加密端口数据
weixin_32563347的博客
08-09 1173
比如我现在一个3306的MySQL服务需要混淆,我不想别人拦截我的线路数据之后还能知道我操作了什么样的SQL,或者是其它应用场景,大猪这就来给小伙伴们分享一下使用过程。使用指南安装在centos7上测试git clone https://github.com/dounine/obfsproxy.git进去解压(最新版)cd obfsproxy && tar -zxvf obfspr...
答疑二
qq_37756660的博客
01-25 833
但是不幸的是,有的客户端协议栈的实现,如果还没有配置 IP 地址,就使用单播。对于第二种情况,一方面进行监控,对 DHCP 报文进行限速,并且异常的端口可以关闭,一方面还是 SDN 或者在云中,除了被 SDN 管控端登记过的 IP 和 MAC 地址,其他的地址是不允许出现在虚拟机和物理机出口的,也就无法模拟大量的客户端。这里 ARP 的目标地址是广播的,所以无论是否进行地址学习,都会广播,而对于某个 MAC 的访问,在没有地址学习的时候,是转发到所有的端口的,学习之后,只会转发到有这个 MAC 的端口。
Portforge:一款功能强大的轻量级端口混淆工具
最新发布
FreeBuf_的博客
05-07 791
Portforge是一款功能强大的轻量级端口混淆工具,该工具使用Crystal语言开发,可以帮助广大研究人员防止网络映射,这样一来,他人就无法查看到你设备正在运行(或没有运行)的服务和程序了。Portforge.cr脚本使用了Crystal编译器的一种名为Fibers的内置技术,这种技术类类似于系统线程,但Fibers更加轻量级,且可以通过进程来管理执行。1、它首先会在系统上执行扫描,以识别已经打开了的端口信息,然后将已打开的端口存储在一个列表中,并将关闭的端口存储到另外一个列表中;
88.网络安全渗透测试—[常规漏洞挖掘与利用篇4]—[xss漏洞测试-加载payload方法]
qwsn
01-25 4111
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss漏洞测试-加载payload方法 1、背景 2、xss平台通用payload加载 3、img 创建script标签加载 4、字符并接加载 5、jquery加载
Vue-Element-Admin中使用request()方法POST数据格式为Request Payload的解决方案
qq_41784169的博客
09-10 1万+
Vue-Element-Admin中POST提交表单时数据格式为Request Payload API接口使用post接受前端传来的数据操作数据库 由于数据格式是Request Payload导致无法接收到传过去的值 查看http请求数据 Request Payload使用的请求头 Content-Type: application/json;charset=UTF-8 对比其他项目中Form Data使用的请求头 Content-Type: application/x-www-form-urlencode
2021-07-17答疑解惑第二期
Bruceandcai的博客
07-17 397
目录《第 3 讲 | ifconfig:最熟悉又陌生的命令行》课后思考题留言问题《第 4 讲 | DHCP 与 PXE:IP 是怎么来的,又是怎么没的》课后思考题留言问题《第 5 讲 | 从物理层到 MAC 层:如何在宿舍里自己组网玩联机游戏?》课后思考题《第 6 讲 | 交换机与 VLAN:办公室太复杂,我要回学校》课后思考题留言问题 《第 3 讲 | ifconfig:最熟悉又陌生的命令行》 课后思考题 你知道 net-tools 和 iproute2 的“历史”故事吗? 这个问题的答案,盖同学已经写
VLAN原理详解[转载] 网桥--交换机---路由器
fxismonk的专栏
08-24 4864
来自:http://blog.csdn.net/phunxm/article/details/9498829 一、什么是桥接          桥接工作在OSI网络参考模型的第二层数据链路层,是一种以MAC地址来作为判断依据来将网络划分成两个不同物理段的技术,其被广泛应用于早期的计算机网络当中。        我们都知道,以太网是一种共享网络传输介质的技术,在这种技术下,如果一
Marvell车载交换机88Q5050, 88Q5072 VLAN配置(三)------基于端口的(Port-based VLANs)的发出策略
yesxure的博客
05-18 2985
当数据帧通过第一步数据帧的进入策略,第二步数据帧的交换策略,通过这两步骤,此时数据帧带着VLAN tag到达指定的目的端口,在这里数据将被保留tag,还原tag或者去掉tag,然后从物理端口发送出去,直达对方ECU的物理PHY芯片。这里的保留tag,还原tag和去掉tag,其实就是各种的egress策略,实际应用情况还要复杂一些,接下来的文章将对各种情况进行分类讨论。 基于端口的(Port-based VLANs)的发出策略 当关闭进入Port的802.1Q Mode 或者 通过本系列《二》文章可知,即使
Zynq-Linux移植学习笔记之35-BroadCom 5396 Port-Based VLAN破环
无知的我
02-21 6533
1、背景介绍 在使用带有BCM5396交换芯片的板卡时,若存在多个模块含有5396的情况,容易导致出现网络中常见的成环现象,表现为网络异常。下图为一个成环的示意图: 上图中,板1和板2上面均含有一片5396,这两片5396都有Port与背板网络总线相连,很显然,此时两片5396之间网络是相通的,用红色线条表示。当机箱再插入一个模块后,两片5396又都与该模块网络相通,分别用紫色和蓝色线条表...
通过深度学习实现对网络异常流量检测
热门推荐
CSK的博客
09-16 2万+
消失了好几个月,突然想起来自己还有这么一个CSDN的账号,趁着这几天有空,总结一下最近这段时间所做的事情。 前言:随着网络技术的快速发展,各式各样的新型恶意攻击不断出现。如何改善对恶意网络流量的分类精度是提高网络异常流量检测性能和防御恶意攻击的关键。深度学习因为其广泛和通用的特性,同样在异常流量检测领域大放异彩。 数据准备 我们主要使用的数据集是加拿大网络安全研究所提供ISCX 2012和CIC-IDS 2017,我们把下载地址罗列如下: ISCX 2012: https://www.unb.ca/cic/
详解模板注入漏洞(下)
程序猿DD
01-07 796
作者 |原作者gosecure,翻译整理shan66来源 |http://gosecure.github.io/在上一篇文章中,我们为读者详细介绍了模版注入漏洞的概念,模版引擎的识别...
【TMC 2018】Classifying IoT Devices in Smart Environments Using Network Traffic Characteristics
u011754184的博客
10-21 629
机构:University of New South Wales, Australia 作者:Arunan Sivanathan, Hassan Habibi Gharakheili, Franco Loi, Adam Radford, Chamith Wijenayake, Arun Vishwanath and Vijay Sivaraman 发布地方: IEEE Transactions on Mobile Computing 2018 github链接:https://github.com/a
--payload-delimiter
03-28
payload-delimiter是一种用于分隔数据包中不同部分的特殊字符或字符串。它在通信协议或数据格式中起到标记不同数据段的作用,以便接收方可以正确解析和处理数据。 在网络通信中,payload-delimiter可以用于分隔不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值