泥鳅养殖免费技术培训报名注意事项
本刊定于2007年4月底5月初举办泥鳅养殖免费技术培训, 目前报名正在火热进行中。报名读者请注意以下事项:
1. 仔细填写《农家致富》创业致富会员登记表, 寄到本刊读者服务部;
2. 从邮局汇参训保证金100元到本刊编辑部, 汇款单上请注明培训项目名称, 写清详细地址、姓名并留电话。
满足以上条件者方能参加免费技术培训。我們将按照保证金到达的先后顺序, 选取前30名作为免费培训学员, 并从中选取2名学员作为本刊创业基金支持对象。
部分已电话报名参训读者, 请尽快补办相关手续, 逾期不补者视为自动放弃, 我们将从其他手续齐全的报名读者中增补。具体报到时间、地点和详细内容安排, 我们会提前2周发书面通知。
[摘 要] 本课题组对教育部直属6所师范大学的483名非教育技术学专业免费师范生的教育技术能力现状进行了调查,调查的目的是了解免费师范生现有的教育技术能力水平,发现存在的问题并为改进现有的免费师范生教育技术能力培养模式提供参考。调查结果显示:免费师范生教育技术理论水平、对常用软件和课件制作工具的操作能力、教学设计能力、信息技术与课程整合的能力有待提高;对“农远”工程三种模式的操作、维护和应用能力有待提高;对教育技术领域新的技术或应用的关注度不够。对于存在的问题,课题组建议要建立面向专业学习的免费师范生教育技术能力培养机制,建立面向混合学习的免费师范生教育技术能力培养模式,更新免费师范生教育技术能力培养内容和强化免费师范生实践动手能力的培养。
[关键词] 免费师范生; 教育技术能力; 现状; 培养
[
[作者简介] 赵呈领(1956—),男,湖北老河口人。教授,博士生导师,主要从事教育技术学理论、方法与应用、信息技术与课程整合研究。E-mail:zhcling@mail.ccnu.edu.cn。
一、问题的提出
2007年,温家宝总理在十届全国人大五次会议上提出在教育部直属师范大学实行师范生免费教育,培养“未来教育家”的战略目标。免费师范生是指师范生在校学习期间免除学费,免缴住宿费,并补助生活费,所需经费由中央财政安排。[1]自2007年起教育部直属的6所师范大学陆续开始免费师范生招生,到2010年底,全国在校免费师范生共计4万余人。免费师范生教育技术能力的培养,是免费师范生综合教育素质和教学技能的重要内容。要实现对免费师范生教育技术能力的培养,首要的环节是建立免费师范生的教育技术能力结构体系。
笔者所在的课题组在参考《中小学教师教育技术能力标准》[2]和新版美国国家教育技术标准[3]以及相关研究的基础上,提出了一个免费师范生教育技术能力结构模型。该模型将免费师范生的教育技术能力分为四个维度、三个层次。四个维度与《标准》里的四维度相对应,分别是意识与态度、知识与技能、应用与创新、社会责任;三个层次是指基本应用能力、整合设计能力和教育研究能力。其中基本应用能力主要是指免费师范生必须掌握的教育技术基本理论、操作技能、设计技能和管理技能;整合设计能力主要是指教学活动设计、开展信息技术与课程整合、对教学过程进行评价与反思的能力等;而教育研究能力主要是指免费师范生结合自己的学科教学,利用教育技术的原理和方法开展教育、教学研究的能力。基本应用能力和整合设计能力是免费师范生本科阶段必须具备的,而教育研究能力是免费师范生教育硕士阶段必须具备的。课题组同时建立了免费师范生教育技术能力结构要素体系,共分为12个小的子类别。
2011年5月,课题组对教育部直属的6所师范大学的免费师范生教育技术能力现状进行了调查,调查的内容涵盖了免费师范生教育技术能力要素体系的8个子类别(因调查对象为在读本科生,故教育研究能力未在调查范围),目的是了解免费师范生现有的教育技术能力水平,发现存在的问题并为改进和创新现有的免费师范生教育技术能力培养模式提供参考。
二、调查对象和方法
本次调查以问卷调查为主,访谈为辅,其中问卷在2011年初对华中师范大学的部分免费师范生进行了试用和修订,从而确保了问卷的信度和效度。调查的对象为华中师范大学、北京师范大学、华东师范大学、东北师范大学、陕西师范大学和西南大学2007级及2008级非教育技术学专业的本科免费师范生。涉及的学生专业包括中文、英语、生物、地理、数学、物理、化学、体育、历史等9个专业。这些免费师范生都已上过“现代教育技术”课程,并已经过相关的实习或实践经历。调查中共发放问卷510份,回收有效问卷483份,问卷的统计分析采用SPSS软件完成,部分图表采用Excel处理。
三、调查结果与分析
(一)意识与态度
1. 对教育技术理论与方法在中小学教学中重要性的认识
从调查结果看,25.05%的被调查者认为“非常重要”,49.48%的被调查者认为“重要”,22.57%的被调查者认为教育技术理论与方法在中小学教学中的重要性为“一般”。该问题的选项按5级量表设置,按照认同度的高低依次赋值为5、4、3、2、1(5级量表下同),选择结果平均值为3.96,基本达到4对应的“重要”水平,可见免费师范生对教育技术理论与方法重要性的认同度是比较高的。
2. 对教育技术能力是一名中小学教师必备专业素质的认同度
该问题的选项同样按5级量表设置,被调查者选择结果的平均值为4.07,和“认同”标度值4相当,且选择“认同”或“非常认同”的比例高达82.3%,可见免费师范生对把教育技术能力作为一名中小学教师专业素质的认同度很高。
(二)知识与技能
1. 对教育技术理论的熟悉程度
从表1可以看出,在对教育技术理论的熟悉和了解方面,情况不容乐观,均值基本都处在2和3之间,意味着学生对这些理论的熟悉程度在“不熟悉”和“一般”之间徘徊。
表1 免费师范生对教育技术理论的熟悉程度
2. 对常用软件或课件制作工具的掌握程度
表2 免费师范生对常用软件或课件制作工具的掌握程度
从表2统计结果看,免费师范生对Windows 操作系统、IE浏览器、Word、PowerPoint、Excel等常用软件的使用比较熟练,均值都在3.5之上。但在Flash、FrontPage、Authorware等课件制作工具以及视音频编辑软件的操作使用上,熟练程度较低。
3. 对教学设计经典设计步骤的掌握程度
教学设计经典步骤分为前端分析、学习目标的分析和阐明、教学策略的设计和选择、教学媒体的选择、评价方式的设计与选择。调查结果显示,被调查者对前端分析掌握程度均值为3.17,对学习目标的分析和阐明掌握程度均值为3.28,对教学策略的设计和选择掌握程度均值为3.18,对教学媒体的选择掌握程度均值为3.34,对评价方式的设计与选择掌握程度均值为2.98。从调查结果看,被调查者对教学媒体选择这一教学设计环节掌握最好,对评价方式的设计与选择这一环节掌握最差,但整体掌握水平处于“一般”。
4. 对“农远”工程三种模式的操作和维护熟练程度
调查结果显示,在“农远工程”教学光盘播放、卫星收视教学和计算机教室三种模式的操作和维护上,教学光盘播放的熟练程度均值为3.18,卫星收视教学的熟练程度均值为2.58,计算机教室的熟练程度为3.03。因为卫星收视教学涉及的设备维护和资源接收操作相应要复杂一些,在读免费师范生接触也不多,故其熟练程度相应较低。
5. 对混合式学习等新的学习模式的了解程度
调查结果显示,免费师范生对混合式学习等新的学习模式了解不多,很了解的仅占0.4%,了解的仅占6.4%,有35.0%的免费师范生没听说过这些学习模式。
(三)应用于创新
1. 在教学实习或实践中对信息化教学资源的使用情况
从调查结果来看,免费师范生对信息化教学资源使用率最高的是多媒体课件,高达86.5%,其次是教学素材库、专题学习网站、网络课程和博客,均不足50%。可见免费师范生已开始尝试使用多种形式的信息化教学资源,但传统的多媒体课件的使用依然占主体地位。
2. 在教学实习或实践中曾使用过的教学策略
图1 免费师范生在教学实习或实践中
教学策略的使用情况
从图1可看出,免费师范生在教学实习或实践(比如微格教学)中,使用最多的教学策略是讲授型教学策略(73.5%),其次是基于问题的教学策略(53.6%)和发现式教学策略(48.4%),使用最少的是随机进入式教学策略和支架式教学策略。
3. 在教学实习或实践中曾使用过的教学模式
图2 免费师范生在教学实习或实践中
对教学模式的使用情况
从图2可看出,免费师范生在教学实习或实践中使用最多的教学模式是问题解决式教学模式(61.9%),其次是授导式教学模式(53.0%),使用最少的是任务驱动式教学模式(26.1%)。
4. 对数字化教学资源进行搜集、整理、甄别和二次开发的能力
统计结果显示,免费师范生对数字化教学资源进行搜集的能力均值为3.57,对数字化教学资源进行甄别的能力均值为3.27,对数字化教学资源进行整理和二次开发的能力均值为3.08,对于数字化教学资源进行整合制作的能力均值为2.92。由此可见,免费师范生对数字化教学资源进行搜集、整理、甄别和二次开发的能力处于“一般”水平,有待提高。随着对资源处理能力要求的提高,很明显被调查者的能力均值不断减小。
5. 日常学习中获取学习资源的方式
图3 免费师范生日常学习中获取学习资源的方式
从图3可看出,免费师范生日常学习中获取学习资源的方式主要有借阅教辅书籍(79.5%)、到专业网站查询(79.3%)和通过搜索引擎搜索(67.3%)。有59.4%的免费师范生选择通过和同学共享的形式获取学习资源。使用较少的途径是通过学术性数据库获取和通过教学光盘获取。
6. 在实习或实践中对多媒体教学的使用情况
调查结果显示,免费师范生在实习或实践中使用最多的是计算机+投影的多媒体组合方式(66.5%),37.3%的免费师范生使用过电视机+DVD的多媒体组合教学方式,24.8%的免费师范生使用过录音机,这部分学生主要集中在外语和中文专业。值得一提的是仅有10.3%的免费师范生使用过卫星收视教学。
7. 信息技术与课程整合的应用情况
调查结果显示,在实践或实习中,有74.1%的免费师范生将信息技术用于新课程的引入中,有75.4%的免费师范生将信息技术用于教学内容的展示,有66.0%的免费师范生将信息技术用于与学生进行互动,有38.1%的免费师范生将信息技术用于向学生布置作业,有36.2%的免费师范生将信息技术用于教学评价,有31.1%的免费师范生将信息技术用于教学反思。
8. 对教育技术领域新的技术或应用的熟悉情况
结果显示,对RSS、SNS等社会性软件的熟悉均值为1.97,对Moodle的熟悉均值为1.89,对电子白板的熟悉均值为2.32,对视频会议系统的熟悉均值为2.24, 对绩效技术的熟悉均值为1.86,对人工智能技术的熟悉均值为2.08。由此可见免费师范生对教育技术领域一些新的技术或应用不甚了解。
(四)社会责任
1. 对技术在教学应用中应承担的社会责任认同度
对保护版权的赞同度为3.85,对确保资源安全性的赞同度为3.99,对保证学生信息安全性的赞同度为4.25,对保证学生身心健康的赞同度为4.39,对如实反映教学现状的赞同度为4.17。可见免费师范生对技术在教学中应承担的社会责是非常认同的。
2. 与同行进行交流与协作的能力
调查结果显示,20.7%的免费师范生表示能很好地与同行进行交流与协作,41.4%的免费师范生表示与同行进行交流和协作的能力一般,值得一提的是,有12.4%的免费师范生表示自己在与同行进行交流与协作时存在障碍。
四、结论与建议
(一)结论
1. 免费师范生教育技术理论水平有待提高
免费师范生对教育技术理论,比如教学理论、学习理论、教学设计理论、教育传播学理论、远程教育理论的熟悉程度介于“熟悉”和“一般”之间,出现这种现象的原因,一方面是因为部分免费师范生比较关注实践操作,对理论知识的学习兴趣度不高;另一方面是因为非教育技术专业的免费师范生了解教育技术理论的途径主要是通过“现代教育技术”公共课的学习,随着该课程的结束,学生对理论知识也会逐渐淡忘,直至变得陌生。
2. 免费师范生对常用软件和课件制作工具的操作能力有待提高
调查结果显示,免费师范生对一些常用的软件,比如IE浏览器、字处理软件Word、演示文档制作软件Powerpoint和表格处理软件Execl的掌握情况比较好,但对于一些课件制作的常用工具比如动画制作软件、图像处理软件、网页制作软件、视音频处理软件的掌握情况却不容乐观。这种现象首先和使用环境有关,Office系列的软件学生使用的频率较高,自然掌握度比较高,而Flash等软件平时使用的机会少,掌握度自然较低。其次和学生对课件制作工具的理解也有关系,很多学生认为在日后的教学中制作课件只需要最简单实用的Powerpoint就够了,学习其他软件没有必要。
3. 免费师范生的教学设计能力有待提高
从学生对教学设计经典步骤的掌握情况来看,整体水平为“一般”,部分学生在教学策略的设计与选择、评价方式的设计与选择上存在困难。这种现象一方面是教学设计的实践锻炼不够,主要是纸上谈兵,大多数学生都是通过“微格”教学的方式进行过教学设计的训练,在教学实习中对教学设计能力的训练也有所忽视。
4. 对“农远”工程三种模式的操作、维护和应用能力有待提高
作为未来扎根基础教育(包括两年为农村教育服务)的生力军,免费师范生必须能够适应基础教育,尤其是农村特有的教学条件和教学环境。免费师范生必须具备与农村信息化教育、农村中小学现代远程教育工程密切相关的信息化教育教学能力。比如掌握“农远”工程三种模式对应的设备和技术操作、教学应用的课堂教学设计,掌握“农远”工程中优质教育教学资源的搜集、整理、甄别、二次开发、应用等。[4]从调查结果看,免费师范生对“农远”工程三种模式的操作、维护和应用能力处于一般水平,尤其在卫星收视教学的操作、维护和使用上熟练程度较低。一方面因为现行的“现代教育技术”公共课课程内容对“农远”工程三种模式关注不够,学生对三种模式并不是太了解;另一方面是对三种模式的实践机会不多,对卫星收视的实践操作机会更少。
5. 对信息技术与课程整合的能力有待提高
将信息技术与学生今后将要教的课程进行有效整合是免费师范生教育技术能力最直接的体现。从调查结果看,大部分同学是将信息技术用于新课程引入、教学内容展示和与学生的互动,而对于如何将信息技术应用到教学中的两个重要环节,即教学评价和教学反思,学生的关注度较低。
6. 对教育技术领域新的技术或应用的关注度不够
免费师范生作为师范生群体中的佼佼者,必须拥有数字化学习、终身学习的精神,不断关注新兴的数字化工具并用来支持学生的学习。但从调查结果看,教育技术领域一些新的技术和应用趋势对免费师范生来说都显得很陌生。对于电子白板这样在业界已开始广泛应用的教学媒体,学生的熟悉度仅为2.32。
(二)建议
1. 建立面向专业学习的免费师范生教育技术能力培养机制
目前大部分高校将免费师范生教育技术能力的培养过分依赖于“现代教育技术”课程,甚至将免费师范生应该具备的教育技术能力等同于该课程的课程目标。“现代教育技术”公共课作为培养免费师范生教育技术能力的主要平台,对免费师范生教育技术能力的形成具有举足轻重的作用,但是更重要的是以该平台为依托向师范生的所属专业进行辐射和延伸,重点培养师范生将教育技术能力培养延伸到自己的专业学习中,在专业学习中对教育技术能力进行潜移默化。比如专业任课教师倡导学生以小组协作的形式开展专业学习,强化学生协作学习能力培养;倡导学生以电子作品的形式提交专业课程作业,强化免费师范生对常用软件的使用能力和对资源的搜集、整理及二次开发的能力;倡导学生将教学设计的思想贯穿在自己的专业实习或实践中,提高学生的教学设计能力。
2. 建立面向混合学习的免费师范生教育技术能力培养模式
混合学习是面对面的课堂学习(Face-to-Face)和网络学习(e-Learning)的有机整合,[5]其核心思想是采用不同的媒体与信息传递方式促进学习,促进教学效果最优化。鉴于学生反映的没有足够的时间、缺乏有效的实践等问题,对免费师范生教育技术能力的培养可采用混合学习的方式,即教师面授与学生在线学习相结合、小组协作学习与基于Web的自主学习相结合、正式学习与非正式学习相结合。教师面授主要是强化学生对基础理论知识和操作技能的掌握,学生在线学习主要是通过专题网站和讨论区进行扩展性学习,是对教师面授教学的有效补充,同时也可改变部分学生对课堂学习兴趣不浓的现状。小组协作学习与基于Web的自主学习相结合有助于学生在以任务和项目驱动的学习环境中加强学习伙伴合作和个人提升,进而达到教育技术能力的有效提升。
3. 更新免费师范生教育技术能力培养内容
从调查走访的情况来看,部分学校将免费师范生的教育技术能力培养等同于以往的普通师范生的培养,忽视了免费师范生在教育技术能力结构与普通师范生的区别。免费师范生与普通师范生教育技术能力结构的区别主要表现在:免费师范生在教育技术能力方面要体现创新性教师和示范性教师培养的要求,既要能胜任城镇中小学教学的要求,又要能胜任农村中小学教学的要求,他们在教育技术能力方面的要求比普通师范生更高。此外,部分学校制定的教育技术能力培养大纲只是根据以前的培养大纲进行了微调,随着信息技术的飞速发展,很多以往应掌握的工具和软件已被淘汰,但仍赫然出现在其培养大纲中,而一些新的工具和软件比如电子白板、社会性软件却未被提及。这也正是调查中很多学生对教育技术领域一些新的动向和技术知之甚少的原因之一。所以,免费师范生教育技术能力培养内容既要根据他们未来岗位的要求进行更新,同时也要根据数字化技术的发展进行更新。
4. 强化实践动手能力的培养
71.6%的免费师范生反映其技术操作不够熟练,这说明免费师范生的实践动手能力较为欠缺。要提高免费师范生的实践动手能力,对于学校而言,一方面要加大设备方面的投入,同时要适当增加教育技术能力培养中的实践学时,让学生有充分实践来进行实践能力训练;将学生的实践动手能力纳入到免费师范生职业能力的考核当中,作为其能力考核合格的重要指标,促进学生不断加强实践能力的训练;同时可以以院系为单位开展诸如课件制作、Flash动画制作和网页制作之类的课外学术竞赛,激发学生对提高自身实践动手能力的热情。
[参考文献]
[1] 国务院办公厅.国务院办公厅转发教育部等部门“关于教育部直属师范大学师范生免费教育实施办法(试行)的通知”[EB/OL].http://www.gov.cn/zwgk/2007-05/14/content_614039.htm.
[2] 教育部.中小学教师教育技术能力标准(试行) [J].中国电化教育,2005,(2):5~9.
[3] International Society for Technology in Education. NETS for Teachers 2008[EB/OL].http://www.iste.org/standards/nets-for-teachers.aspx.
[4] 瞿堃,樊碚.论免费师范生教育技术能力的培养[J].电化教育研究,2008,(6):20~22.
[5] 李克东,赵建华.混合学习的原理与应用模式[J].电化教育研究,2004,(7):1~6.
作者:赵呈领 万力勇 何青 李青
摘 要:网络流量的协议类型识别是进行协议分析和网络管理的前提,为此研究综述了网络协议识别技术。首先,描述了网络协议识别的目标,分析了协议识别的一般流程,探讨了协议识别的现实需求,给出了评估协议识别方法的标准;然后,从基于数据包的协议识别和基于数据流的协议识别两个类别分析了网络协议技术的研究现状,并对协议识别的各类技术进行了比较分析;最后,针对目前协议识别方法的缺陷和应用需求,对协议识别技术的研究趋势进行了展望。
关键词:应用层协议;网络流量;协议识别;特征工程;网络管理
Review of network protocol recognition techniques
FENG Wenbo1, HONG Zheng1*, WU Lifa2, FU Menglin1
(1. College of Command and Control Engineering, Army Engineering University of PLA, Nanjing Jiangsu 210007, China;
2. College of Computer Science and Technology, Nanjing University of Posts and Telecommunications, Nanjing Jiangsu 210023, China)
Key words: application-level protocol; network traffic; protocol recognition; feature engineering; network management
0 引言
網络协议是通信实体在互联网环境中进行数据交换的基础,是计算机网络及数据通信不可缺少的组成成分。网络协议描述了特定网络环境下通信设备之间的通信过程,规定了通信报文的格式、处理方式和交互时序,其质量关乎网络通信的安全性、可靠性和稳定性。常用的协议解析工具如Wireshark等[1]根据协议规范可以对协议实现快速准确识别。
网络协议识别是指通过人工或自动化手段分析网络协议或者应用所产生的网络流量,提取出能够标识网络协议的关键特征,然后以这些特征为基础标识网络流量所隶属的应用层协议[2]。网络协议识别技术是管理和优化网络资源的重要基础,能够对网络流量的组成进行精确分析,为网络管理与维护、网络内容审计、网络安全防御等多个研究领域提供技术支撑。随着网络规模的不断扩大、网络应用种类的迅速增加,对网络协议识别的效率和准确性的要求越来越高,研究能够提高协议识别准确率和自动化程度的方法具有重要的现实意义。
1 问题描述与定义
网络协议识别技术的研究主要从序列载荷的内容特征和通信行为的外部特征两个方面展开。基于序列载荷内容特征的协议识别可以理解为微观、具体的方法。这类方法需要了解各层协议数据单元的字段结构和字节取值分布,如采用传输控制协议(Transmission Control Protocol, TCP)层的端口信息进行协议区分,基于特定协议字段的取值进行协议区分。基于通信行为外部特征的协议识别可以视为宏观、抽象的方法。不同协议通常具有不同的传输特性和不同的统计分布规律,可以依据协议的各种宏观统计信息来推断流量所属的网络协议。为了剖析网络协议识别的本质,分析现有方法的优势与不足,本文将首先论述协议识别目标、协议识别需求和主要判别指标三方面的基础内容。
1.1 协议识别目标
协议实体的通信通常是一个复杂的交互过程。出于简单化处理的考虑,协议设计时通常采用分层思想,将不同的通信功能在不同层次上实现。
TCP/IP协议族是使用最为广泛的四层协议系统,其层次系统自下而上分为:链路层、网络层、传输层和应用层。链路层负责处理与传输媒介相关的问题;网络层负责处理分组在网络中传输;传输层为两个传输节点提供端到端通信;应用层负责处理特定应用程序与用户的交互细节。链路层、网络层和传输层都定义了各自的协议格式,根据RFC(Request For Comments)文档便可以分析通信过程。而应用层协议是根据应用需求进行定制,种类繁多。区分应用层协议是网络协议识别的主要目标。
网络协议识别往往会以协议的分层为基础,首先依据协议解析工具识别出帧头格式,如以太网帧、点对点协议(Point to Point Protocol, PPP)帧,确定数据包中的网络层首部和传输层首部,进而提取出应用层协议数据进行分析。
网络协议识别需要将连续的网络流量按照一定粒度进行划分,常见的粒度包括Bit-level、Packet-level、Flow-level、Stream-level四类。Bit-level关注网络流量的内容特征,从比特流中挖掘用于区分协议的特征序列,适用于无任何先验知识下的网络协议识别。Packet-level关注数据包的内容特征及其交互行为,如数据包内容、大小分布、时间间隔等,适用于早期的互联网流量的协议识别,现在多作为网络协议识别的辅助分析手段。Flow-level关注数据流的内容特征与交互行为,如数据流内容、大小分布、到达时间等,这种以流为单位分析网络传输数据的方法目前使用最为广泛。Stream-level关注通信主机交互产生的流量,通过长期收集来统计通信特性,适用于研究粗粒度且时间跨度较长的骨干网流量。
同一种协议通信产生的网络流量之间存在一定的相似性,可以利用这种相似性区分不同协议产生的网络流量。网络协议识别的本质就是利用网络流量的内容信息或统计信息,建立一种函数映射关系f:X→C,将网络流量映射为具体的协议类型,其中:X表示待分类的网络流量集合,C表示协议类型集合,
1.2 协议识别需求
网络协议识别技术有助于对网络流量的组成结构进行分析,保障网络的正常运转。网络协议识别的应用需求主要体现在以下领域:
1)网络管理与优化。协议识别技术通过对网络流量的分类识别与统计分析有助于了解流量分布情况和网络运行状态,通过细粒度的协议分析提高网络监控效能,通过配置合理的管理策略提供差异化的网络服务。
2)网络内容监管。面对海量的通信内容,依赖人工识别的传统内容监管方法难以为继,网络协议识别技术可以自动获取流量所承载的内容,能够针对性地过滤非法信息,有效降低监管成本,提高网络内容监管的效率和水平。
3)网络安全防御。网络流量是网络行为的体现,通过深层次分析网络中传输的内容,可以发现通信流量中包含的病毒攻击代码和敏感信息,及时进行告警并提供应对方案,从而防范安全威胁,提高网络安全防御水平。
1.3 主要判别指标
目前,衡量网络协议识别方法,主要采用以下一些判別指标:
1)准确性。衡量协议识别方法的预测值与真实值之间接近程度,主要包括总体识别衡量指标(总体分类准确率Accuracy)和单类识别衡量指标(精确率Precision、召回率Recall和F值F-Measure)。在实际应用中,需要考虑流量种类的不平衡性,因为流量占比较高的协议更容易被识别。
2)实时性。评估协议识别方法是否能够实时对网络流量进行类型判别,较早识别出协议类型有利于后续处理,例如及时对恶意流量进行过滤拦截。
3)鲁棒性。网络数据传输过程中会发生一些特殊情况,如数据包乱序、丢失等。评估协议识别方法应该具备处理这些特殊情况的能力,包容这些异常并且保证协议识别结果的准确率。
4)扩展性。评估协议识别方法在不同粒度划分下的准确率变化以及面对不同吞吐量的性能表现,扩展性好的方法能够保证协议识别结果的准确率和效率。
5)安全性。衡量协议识别方法对于传输内容的保护能力,安全性高的方法在进行协议识别的同时能够有效保护用户隐私、防止隐私数据泄露。
6)协议无关性。协议识别方法除了能够对已知协议实现准确识别,在实际应用中,还可能会遇到新出现的未知协议产生的流量或经过加密的流量,协议无关性好的方法应该能够识别出未知协议的网络流量。
2 网络协议识别流程
网络协议的识别流程大体可分为五个阶段:数据采集、数据预处理、特征提取、分类模型的建立和模型验证,如图 1所示。每个阶段相对独立,又互相关联。模型验证的结果与数据预处理、特征提取和分类模型建立密切相关。数据预处理是模型验证的数据原因,合理、有效的预处理有助于提高协议识别的准确率;特征提取阶段提取出的特征是模型验证的特征原因,完备的特征集有利于提高协议识别的检测效率;分类模型建立是模型验证的模型原因,简单、高效的分类模型有利于提高协议识别的准确率和检测效率。数据采集和数据预处理阶段的工作相对固定,本章将进行重点介绍。特征提取和分类模型的建立是协议识别领域的研究重点,将在后续章节结合研究进展进行介绍。
2.1 数据采集
网络协议识别的第一步就是获取网络数据样本。目前,协议识别的研究数据主要包括本地流量集和公开数据集。下面对两类数据集进行介绍。
2.1.1 本地数据集
本地流量集是指协议分析人员根据实际需求捕获的网络流量,然后将网络流量构造为研究所用的数据集。一些机器学习算法要求建立训练数据集,其中的训练数据需要进行标注。数据集标注的好坏会直接影响算法的学习性能,目前的标注方法主要包括人工标注方法和自动标注方法两类。人工标注方法往往要求在实验环境中模拟目标程序运行,依据端口等已知信息对目标程序产生的流量进行协议类型的标注。自动标注方法利用深度包检测(Deep Packet Inspection, DPI)方法或基于DPI的工具自动地标记流量,如L7-filter[3]、nDPI[4]、Libprotoident[5]等。DPI技术不仅检测端口等信息,而且检查包括包头和载荷的完整数据包,通常这种方法准确率优于简单依赖于端口的方法。两种标注方法各有优缺点,人工标注方法的实验环境可能跟真实网络环境有很大差距,因此产生的训练数据集不具有代表性。工具辅助标记常常因应用繁多、通信量较大等问题,不能精确标记样本,因此实际应用中常结合两种方法进行目标数据的标记。
2.1.2 公开数据集
由于网络流量可能包含用户的隐私数据,出于对用户隐私安全的考虑,协议识别领域缺乏广泛认可的标准流量数据集。为了避免泄露用户隐私,数据集一般需要进行匿名化处理。匿名化处理主要去除负载数据或载荷数据中的敏感信息,对IP地址匿名化。公开数据集是由相关研究机构收集而来,并对外公开的流量数据集,表1给出了目前协议识别领域常用的公开流量数据集:Moore[6]、CAIDA[7] 、UNIBS[8] 、WIDE[9] 、WITS[10] 、DARPA[11]。
表格(有表名)表1 常见公开流量数据集
Tab. 1 Common public traffic datasets
序號数据集数据实例标签匿名处理1Moore248种统计特征有无2CAIDA流量数据无是3UNIBS无载荷数据有是4WIDE无负载数据无是5WITS64字节数据无是6DARPA流量数据无无
2.2 数据预处理
网络协议识别的对象可以是数据包、流、会话等。数据预处理能够将包含异常数据记录的原始数据集转化为适用于协议识别的数据集。
数据预处理主要包括数据清洗和数据转换两个步骤。数据清洗的目标是提高数据质量,保证数据的一致性。具体做法是对缺失数据、冗余数据、噪声数据等异常进行清洗,清洗检查内容包括包头长度是否在合理范围内、包到达时间间隔是否在合理区间内等。数据转换步骤的目标是将数据从一个维度空间映射为另一个维度空间,常用的是归一化处理方法。网络流量从数学的角度看就是一种离散型数据,使用归一化方法可以将离散特征取值映射到欧氏空间,离散特征值对应于欧氏空间的某点,这样可以使离散特征之间距离或者相似度的计算更加合理。
经过数据预处理后,样本集构造成功。此外,还需要考虑数据集中各类别数据的规模是否平衡,若不平衡,可以采取过采样或欠采样方法构造平衡数据集。为了评估方法效果,通常还需要将数据集进行分割,细分为训练集和验证集或训练集、验证集和测试集等形式。训练集用于构建分类模型,验证集用于验证模型识别效果是否达到指定要求,测试集用于评估在实际应用中模型表现的泛化能力。数据集分割方法多样,可以采用随机抽样、K折交叉验证法等。
3 研究进展
网络协议识别技术的研究根据研究思路的不同,主要可以分为两个阶段,分别是:基于数据包的协议识别阶段和基于数据流的协议识别阶段。每一阶段都有不同的研究方法,如图 2所示。本章对两个阶段的一些代表性方法进行探讨和分析。
3.1 基于数据包的协议识别阶段
早期的网络协议识别主要基于数据包进行分析,可以分为两类协议识别方法:基于固定规则的协议识别方法和基于载荷特征的协议识别方法。
3.1.1 基于固定规则的协议识别方法
目前基于固定规则的协议识别方法多使用网络传输的五元组信息(源IP地址、目的IP地址、源端口号、目的端口号、传输层协议),一般通过比对数据包的端口或IP地址相关信息推断协议类型,可以细分为基于端口的协议识别方法和基于IP地址的协议识别方法。
基于端口的协议识别往往基于互联网数字分配机构(Internet Assigned Numbers Authority, IANA)[12]提供的端口协议对照表进行查询,在解析出数据包的端口号信息之后,推断网络流量所属协议类型,如表 2所示。IANA规定系统应用端口号范围为0~1023,用户应用端口号范围为1024~49151,动态端口号为49152~65535。但是随着网络应用的快速发展,很多应用都向用户提供了自定义端口的功能,用户可以根据自己的喜好设置网络应用所使用的端口。此外,点对点传输(Peer-to-Peer, P2P)、基于IP的语音传输(Voice over Internet Protocol, VoIP)等应用为了避开运营商监控,采用动态端口技术。一些僵尸网络程序为了躲避防火墙检测,引入了端口伪装技术,通过将通信端口更改为公认端口欺骗依据端口进行过滤的入侵检测系统。这些技术的出现,导致基于端口的协议识别方法不再可靠。Moore等[6]与Madhukar等[13]分别通过实验证实基于端口的协议识别方法的识别准确率从最初的70%已降低至20%以下。但是,由于此类方法实现简单、运行速度高,现在还常常作为协议识别的辅助手段。
基于IP地址的协议识别主要是利用数据包的IP地址信息进行协议识别。这种方法的适用范围较窄,多用于一些公开应用的识别,例如:如果数据包中包含的一方IP地址为31.13.83.16,该IP地址属于Facebook站点,所有与此IP 地址交互的流量都被推断为Facebook流量。以IP地址和通信端口作为协议特征进行协议识别。Yoon等[14]将应用流量与三元组〈IP,Port,Protocol〉进行关联,通过匹配三元组信息可以确定哪些流量属于公开应用产生的。在可控环境下主机的所有应用是前提已知的,通过筛查统计可以确定非公开应用产生的流量;但这种方法只能粗略地对流量进行分类,且在实际应用中准确率难以保证。基于固定规则的协议识别方法虽然存在很大缺陷,但能够对流量进行初步分类,有利于后续进一步精确地进行协议识别。
表格(有表名)表 2 IANA提供的常见端口协议映射
Tab. 2 Common port-protocol mappings provided by IANA
端口号协议传输协议描述20FTP-DATATCP/UDP文件传输协议数据端口21FTPTCP/UDP文件传输协议控制端口23TELNETTCP/UDP远程登录协议25SMTPTCP/UDP简单邮件传输协议53DNSTCP/UDP域名服务80HTTPTCP/UDP超文本传输协议110POP3TCP/UDP邮件接收协议
3.1.2 基于载荷特征的协议识别方法
为了提高协议识别的准确率,基于载荷特征的协议识别方法被提出,此类方法主要采用深度包检测技术。深度包检测技术不仅检查数据包的头首部信息,还对部分载荷或者全部载荷进行检测,通过寻找预定义的字符串特征,与特征库进行比对确定数据包的协议类型。表 3给出了部分应用协议的识别规则[15-16]。
基于载荷特征的协议识别方法能够避免对端口的过分依赖,减小端口滥用、伪装等技术对协议识别的影响。早期的特征提取需要一定专家知识,随着技术的不断发展,采用机器学习中深度学习方法可以自动完成特征提取。Sen等[17]通过对载荷的分析实现了P2P流的分类,通过检查数据包载荷识别应用特征,能够在高速网络上基于特征准确识别P2P流量,相較基于端口的方法,准确率提高了3倍。Yun等 [18]提出了一种基于语义信息的网络协议识别方法。该方法首先对原始流量进行3-gram切分处理,得到3-gram序列;然后,基于隐含狄利克雷分布(Latent Dirichlet Allocation, LDA)算法挖掘协议关键字,得到协议关键字模型;最后,通过协议关键字模型提取协议数据包特征,进而完成聚类,实现协议格式的提取。
从理论上看,分析数据包的载荷内容,协议识别的准确率可以接近100%[19]。但典型的深度包检测方法存在以下三方面的问题:1)提取协议识别特征较为困难,特征库需要不断维护。协议识别特征的提取依赖于专家领域知识,需要人工手动确定;且当协议版本升级或新协议出现时,需要及时将特征存入特征库中;面对网络的快速发展,特征库需要持续更新维护。2)适用范围有限,该方法无法应用于加密流量和协议规范信息未知的网络流量。流量的加密会使得网络数据表现出随机性和不确定性,难以进行协议特征的提取。而对于一些私有协议,由于协议规范信息未知,在特征库中找不到特征与之匹配。3)系统开销较高。当特征库中的特征数量超过一定规模时,耗费的系统资源会急剧增加。
尽管存在许多不足,此类方法仍是目前较为准确的一类协议识别方法,在工业界应用广泛,也是高速网络环境部署的最佳选择[16,20]。近年来,不少研究人员针对DPI的不足,提出了各类改进方法。DPI的技术研究不断朝着智能化、系统化的方向发展。
深度流检测(Deep Flow Inspection, DFI)技术是DPI技术一个改进,其检测粒度从单一数据包扩展到完整数据流。DFI技术是基于流量行为的识别技术,即不同类型流量数据的流状态不同。与DPI技术相比,DFI能够对未知流量和加密流量进行识别;但总体上看,该技术的识别准确率低于DPI技术[21],具体如表 4所示。Wang等[22]综合DPI和DFI的优势,提出了一种基于DPI和DFI的新型P2P流量识别系统,该系统比单个基于DPI或DFI识别系统具有更广泛的识别范围,且具有自主学习能力。叶文晨等[23]提出了一种以DPI技术为主、DFI技术为辅的协议识别方法,并为此设计了软硬件结合的识别设备,其中:DPI技术是由MPC8572网络处理器提供硬件支撑,DFI技术则是通过软件程序完成。该方法主要通过对内存池进行读写处理,DPI实现细粒度的分类,并在内存池中写入涉及分类识别的相应信息,以此来更新会话流的统计信息和识别结果。DFI用于检测DPI误识别情况,若DPI与DFI识别结果一致,则确定识别结果;否则,清除识别结果,进行重新检测。这种方法比简单地使用DPI或DFI技术的识别方法效果好;但面对加密等情况,DPI技术失效,只能使用DFI进行流量的粗分类。
高效的特征匹配算法是实现高性能DPI的基础,因此很多研究人员从降低特征匹配算法的复杂度着手改进DPI技术。特征匹配算法分为字符串匹配方法和正则表达式匹配方法。字符串匹配方法是对一个或多个固定特征串(模式)的简单规则的匹配,通常对载荷的前几十个字节进行匹配,包括KMP(Knuth-Morris-Pratt)、BM(Boyer-Moore)算法、WM(Wu-Manber)算法、AC(Aho-Corasick)自动机算法等。这类方法通过缩减检测范围,提高DPI的数据处理能力;但该类方法的主要缺点是面对协议特征位置不固定的协议,识别准确率较低。
正则表达式匹配方法可以面向复合型条件的查询和模糊匹配,能够实现复杂规则的匹配,即通过一个表达式表示一组规则,也支持规则之间的关联[24]。与字符串匹配方法相比,此类方法具有更强的字符串描述能力,灵活高效,能够识别非固定位置的协议特征,但存在空间开销大、处理速度慢等问题。付文亮等[25]针对正则表达式的计算复杂度高、存储消耗大等问题,提出了一种基于现场可编程逻辑门阵列(Field Programmable Gate Array, FPGA)的正则表达式匹配方法,通过对数据结构、流管理策略等方面进行优化,提高协议识别的处理能力。Kumar等[26]也提出了基于硬件的正则表达式方法,通过缩减确定有限状态自动机(Deterministic Finite Automaton, DFA)硬件存储空间来提高匹配识别的速率。Tong等[27]针对大多数协议识别方法存在的吞吐量性能瓶颈,从软硬件两方面提高协议识别的吞吐量。该方法首先利用C4.5决策树构造识别器;然后,采用优化决策树和分治技术,对协议识别器进行加速;最后,基于FPGA和多核处理器,对协议识别器进行硬件加速。
为了将DPI技术部署在高速网络环境中,研究人员尝试以自动化、半自动化方式获得应用特征,比较常用的是基于统计指纹(即模式)的方法,采用统计方法自动推导网络协议的指纹特征,然后利用特征进行协议识别。Finamore 等[28]提出了KISS方法处理用户数据包协议(User Datagram Protocol, UDP)流量,利用UDP流量载荷的统计特征,通过卡方测试推导协议统计指纹。该方法在实验测试中效果较好,不足之处是使用范围有限,仅适用于UDP流量载荷。Crotti 等[29]提出一种基于数据包大小、到达时间和到达顺序三个简单属性的协议识别方法,通过这些流量属性来表示协议指纹;但此方法只考虑TCP流量载荷。
3.2 基于数据流的协议识别阶段
网络协议识别领域研究的第二个阶段是基于数据流的协议识别阶段,该阶段最为典型的方法包括基于主机行为的协议识别方法和基于统计分析的协议识别方法。加密协议的使用导致依赖数据包固定特征串的方法不再可靠,研究者转向分析数据包的行为特征、统计特征等外部信息,将分析粒度从单个数据包扩展到了完整的数据流。
3.2.1 基于主机行为的协议识别方法
基于主机行为的协议识别方法从宏观的角度对网络流量进行分类识别,主要利用了网络流量的统计特性,如数据流持续时间、字节数、传输间隔时间等在网络通信过程可直接测量的统计参数。此类方法有效避免了具体数据特征的提取,能够防止用户信息泄露,计算效率高,存储开销小,并且能够处理加密数据流;但这种方法的主要缺点是统计信息采集繁琐,且受网络环境影响,统计结果可能不稳定,实时性差,协议识别的准确度偏低。
Karagiannis等[30]提出了基于主机行为的BLINC流量分类框架,提取网络流的社会行为、功能行为和应用行为特征。其中:社会层关注主机与其他主机的交互行为,如连接数量、社区关系;功能层关注特定主机的网络角色,如客户端、服务器;应用层捕获特定主机在特定端口传输的信息,如流的长度、大小。该方法首先基于经验推导出每种协议的主机行为,并将这些行为以图的形式存储下来,BLINC通过图匹配进行协议识别,实验测试能够识别80%~90%的网络流量,且准确率超过95%。后续基于主机行为的协议识别方法多以BLINC的分类框架为基础。
Iliofotou等[31]提出了一种利用流量散度图监测、分析网络流量的方法,首先通过TDG(Traffic Dispersion Graph)建模网络通信场景,借鉴社交网络理论,使用IP地址代替社交网络中的个人,以散度图的节点表示通信主机,边代表主机间的信息交换,不同协议的TDG明显不同,通过分析连通子图、节点分布情况,可以推断出网络流的协议信息。
3.2.2 基于機器学习的协议识别方法
面对与日俱增的网络流量,一些研究人员提出将机器学习方法应用于协议识别领域。机器学习是人工智能领域的一项重要技术,通过计算机对大规模数据进行挖掘,分析数据特征之间的规律。机器学习以强大的自适应性、自学习能力为分类问题提供了一种有效的决策手段。协议识别的本质是分类问题,可以通过机器学习的方法解决。这种方法虽具有很高的准确率以及很强的数据处理能力,但也存在对特征的依赖严重、在真实网络环境部署困难等问题。
目前,基于机器学习的协议识别方法可以分为基于有监督学习的协议识别方法、基于无监督学习的协议识别方法,以及基于半监督学习的机器学习方法,其中有监督学习是研究较多的一类。下面对这三类方法的研究情况进行介绍。
1) 有监督学习方法。
有监督学习方法又称分类方法,需要一个预先分类的标签训练集,即数据集中有输入数据信息和期望的输出结果。有监督学习的目标是通过分类模型能够降低样本实际标签与期望结果之间的差距。有监督学习方法的基本识别流程分为训练和测试两个阶段。在训练阶段,首先对网络数据流进行预处理转化为向量或矩阵形式;然后,通过特征工程方法获取适合的特征作为判别依据;最后,选择有监督学习算法构造训练分类器,并对训练分类器进行训练。在测试阶段,也需要进行预处理完成数据类型转化,并通过特征工程选择出代表网络数据流的特征;然后,将提取出的特征信息输入训练好的分类器,预测网络流量所对应的协议类型。目前,分类模型主要采用了朴素贝叶斯(Naive Bayesian, NB)、支持向量机(Support Vector Machine, SVM)、神经网络(Neural Network, NN)、决策树(Decision Tree, DT)、K近邻(K-Nearest Neighbors, KNN)等方法。
贝叶斯网络是一种概率图模型,也是有向无环图,节点代表变量,有向边代表节点之间的条件概率。贝叶斯分类器是基于贝叶斯公式解决分类问题的概率模型,目前研究较多的贝叶斯分类器是朴素贝叶斯。该方法是基于特征向量各分量之间相互独立的假设,首先基于此假设学习数据输入与结果输出的联合概率分布模型,然后利用模型基于贝叶斯原理求出输入数据后验概率最大的输出值。Moore等[6]使用有监督的简单朴素贝叶斯分类算法对数据集进行分类,所使用的网络数据集由248个统计特征组成,如流持续时间、包到达时间的傅里叶变换等,且已被人工分类,并指明了分类标签,使用有监督的简单朴素贝叶斯分类算法进行分类的准确率为65%,然而通过方法改进,使用基于核密度估计的朴素贝叶斯(Naive Bayes with Kernel density Estimation, NBKE)算法和基于快速相关的过滤器(Fast Correlation-Based Filter, FCBF)的朴素贝叶斯减少特征维度,分类准确率可以提高到95%以上。李君等[32]采用贝叶斯网络进行流量分类,首先通过分析流统计特征确定所需提取的特征属性,然后通过遗传算法选择最优的特征子集,最后基于特征子集采用贝叶斯网络识别P2P流量。该方法能够快速识别P2P业务,且分类准确率达95%。张泽鑫等[33]提出一种基于加权的朴素贝叶斯流量分类方法,采用特征选择算法ReliefF和相关系数方法计算出每个特征的权重值,然后通过贝叶斯确定流量所属类别。
支持向量机是针对二值分类问题提出的,但通过构造多个SVM分类模型或与二叉决策树相结合,可以将其推广到多分类问题[34]。支持向量机是一种基于结构风险最小化原理的分类方法,目标是寻找能够分离样本的分类超平面。Li等[35]和Yang等[36]针对以往方法复杂、难以实时分类,且在条件独立假设不成立和先验知识存有不足的情况下,使用SVM分别对校园流量和P2P流量进行识别分类,通过支持向量机将流量分类问题转化为二次寻优问题,当面对流量各类别先验概率未知或不足的情况时,其分类准确率比朴素贝叶斯方法要高。Groleat等[37]提出一种结合FPGA硬件加速技术的SVM协议识别模型,对于高速网络环境,这种方法的分类性能远远超过纯软件实现,并且能够实现实时分类。王一鹏等[38]提出一种基于主动学习和SVM的网络协议识别方法。该方法能够克服网络数据流的获取与标记工作对于领域知识的依赖,避免SVM分类器对无意义、重复样本的学习,不仅能够减少标记所用时间,而且提高了学习效率。曹杰[39]提出一种过滤式封装式(Filter-Wrapper)特征选择方法,该方法能够改善特征维冗余引发分类性能的下降问题,增强SVM流量分类的泛化能力。Lobato等[40]提出了一种能够实时检测零日攻击的流量识别方法,该方法从蜜罐中收集攻击流量,将分类器的输入视为合法输入,若分类器识别为攻击流量时报警,识别为正常流量时进行参数更新。
神经网络由许多简单处理单元构成,能够进行大规模并行分布式信息处理,求解出复杂问题的近似解。一个复杂问题往往可以拆分为多个简单任务,神经网络可以处理这些简单任务。因神经网络具有自适应、自学习和泛化能力,所以这种方法是目前研究人员的一个研究热点。谭骏等[41]提出一种基于反向传播(Back Propagation, BP)神经网络的识别方法,使用双粒子群算法优化BP神经网络,具备良好的自适应性,能够较好地识别网络应用。Wang等[42]首次将卷积神经网络应用到恶意流量分类领域,采用流量清洗的方法,消除干扰后续分类特征提取的无用信息,能够提高分类准确率,具体做法是将IP地址、端口等特有信息进行随机化处理,提高分类准确率。王勇等[43]设计了基于LeNet-5深度卷积神经网络的分类方法,通过不断调整参数产生最优分类模型,测试结果表明该方法优于主成分分析、稀疏随机映射等方法。Jain[44]研究了由不同优化器训练的卷积神经网络对协议识别的影响,实验结果表明,随机梯度下降(Stochastic Gradient Descent, SGD)优化器产生的识别效果最好。陈雪娇等[45]利用卷积神经网络识别准确率高和自主进行特征选择的优势,将其应用于加密流量的识别,测试结果表明该方法优于DPI方法。叶松[46]提出了一种能够应用于高级持续性威胁(Advanced Persistent Threat, APT)攻击防御系统的协议识别技术,通过对网络流特征的深度学习,建立起应用层协议的特征库,有助于APT攻击防御的准确判断。Ren等[47]提出了一种针对无线通信网络的协议识别方法,首先利用一维卷积神经网络进行自动化的特征提取,然后基于SVM对应用层协议进行分类。
決策树是一种判别模型,能够利用一组嵌套规则进行分类预测。协议识别常用的决策树方法是C4.5,采用自顶向下、递归分治的方式构造出分类模型。所构造的分类模型是一种树形结构,树的每个决策节点根据判断结果进入下一个分支,且以信息增益率最大的特征属性作为判断依据,反复执行,直到抵达包含预测结果的叶子节点。Williams等[48]比较评估了贝叶斯网络、C4.5、离散朴素贝叶斯、朴素贝叶斯、朴素贝叶斯树等五种算法的流量分类性能,对网络流量数据包的22个统计特征进行分析测试,发现五种算法分类准确率相似,但是计算性能差异较大,其中C4.5算法的处理速度最快。徐鹏等[49]提出一种基于C4.5决策树的流量分类方法,能够避免网络流样本分布变化带来的影响,拥有良好的数据处理能力,但分类模型构建需要的时间较长。周剑锋等[50]为了提高分类模型的构建速度,提出了一种改进的C4.5决策树的流量分类方法,在原有C4.5 算法的基础上,通过一种改进信息熵的计算方法,降低计算的复杂度,以此来提高决策树的构建速度。王朝正[51]为了增强C4.5决策树的数据处理能力,以更好地应对大规模网络流量,采用Hadoop并行框架,引入麦克劳林公式将信息熵的对数计算改为基本运算,进一步提升分类模型的数据处理能力。
K近邻也是一种常见的有监督学习方法,其基本思想是先计算出待测样本与所有样本之间的距离,找到与待测样本最接近的K个样本,然后对这些样本的类别进行统计,并将统计结果中数量最多的类别作为待测样本的类别。程珊等[52]提出一种基于KNN的流量分类模型,该方法从网络资源中提取流量、CPU、内存作为识别特征,通过对测试样本进行适当裁剪,以裁剪区域样本代替全部样本,缩减计算范围,从而快速有效地识别流量。Su[53]将聚类算法与遗传加权的KNN结合,采用遗传算法训练特征的最优权向量,对互联网异常流量进行高效、实时的识别。Zhang等[54]提出一种以近邻算法为主的分类器,且以相关信息为辅,能够在小训练样本情况下提高识别性能。Wu等[55]提出一种基于距离的最近邻识别方法,能够提高不平衡流量的分类性能。
2) 无监督学习方法。
无监督学习方法是指在无类别信息的情况下挖掘特征,实现对目标数据的分类或区分等。聚类是无监督学习的主要方法,是将数据分布相似的流量划为一类的过程。无监督识别领域的协议识别方法主要采用最大期望(Expectation Maximization, EM)算法、自动聚类(Autoclass)算法、K均值聚类(K-means clustering)和具有噪声的基于密度的聚类(Density-Based Spatial Clustering of Applications with Noise, DBSCAN)方法等。
EM算法是一种通过迭代进行极大似然估计的算法,能够对概率模型中的隐变量进行参数估计,在聚类分析过程中,以一定概率将样本聚集到具体类别的集合中。McGregor等[56]提出基于EM的流量分类方法,该方法只能粗略地对流量进行分类,不能准确识别出流量的协议类型。Liu等[57]针对EM算法初值敏感性强、易收敛到局部最优解等问题,提出改进EM的流量分类方法,通过EM生成约束矩阵,然后将约束矩阵与q参数化的确定性退火EM算法结合,缩小搜索范围,提高分类准确率。
Autoclass算法是EM算法的扩展,通过反复使用EM算法求解全局最优解。Zander等[58]提出基于Autoclass算法的协议识别方法,结合多重特征选择方法选取最优流量特征属性集,降低数据处理成本的同时,提高了分类的准确率。
K均值聚类算法是常见的聚类算法,需人工设定参数K,将样本划分为K类,类内紧凑性强、相似度高。Liu等[59]提出基于K均值聚类的协议识别方法,通过特征选择算法提取出最优特征集。为了获取更高的分类精度,对数据进行对数变换,这种处理能够更好地应对噪声和异常数据,总体精度提高了10%。彭大芹等[60]针对智能家居协议繁多、识别难度大的问题,利用K均值聚类算法实现混合多协议流量的聚类,通过空间向量模型和信息熵确定聚类相似度和评估指标,分类精度达到了90%以上。
DBSCAN算法是一种基于密度的聚类算法,通过寻找密度相连的最大集合来确定聚类结果,将具有高密度的区域划分为一类。何震凯等[61]提出一种基于DBSCAN的协议识别方法,以主成分分析作为特征选择方法,选出合适的特征子集,进而利用DBSCAN算法聚类成簇,利用簇构建流量分类器。
无监督学习方法还包括层次聚类、谱聚类、高斯混合模型聚类和隐马尔可夫模型聚类算法等方法。张凤荔等[62]提出基于改进凝聚层次聚类的协议分类算法,该算法以层次凝聚(AGglomErative NeSting, AGENS)算法为基础,采用边聚类边提取结果的方式,实现对数据的快速聚类。周文刚等[63]针对网络流量复杂、动态的特性,采用谱聚类的思想将网络流量的分类识别问题转化为无向图的多路划分问题,使用拉普拉斯矩阵完成高维数据向低维数据的转换,然后利用谱图划分的思想构建分类器,最终基于图划分结果对流量进行分类识别。Bernaille等[64]采用K均值、高斯混合模型、隐马尔可夫模型这三种聚类方法对TCP网络流量进行分类,研究发现高斯混合模型聚类和隐马尔可夫模型聚类算法的分类准确率接近,且高于K均值聚类。
3) 半监督学习方法。
有标记数据少、无标记数据多的现象普遍存在,但它们具有相似的数据分布,为了解决这类问题出现了半监督学习。半监督学习方法介于有监督学习与无监督学习之间,能够利用少量标记样本和大量未标记样本,指导进行分类工作。
赵英等[65]提出一种基于马尔可夫模型的半监督学习方法。该方法利用马尔可夫模型提取特征值,通过密度计算的方法估计聚类中心点,有效避免了传统聚类算法不稳定的问题,提升了识别准确率。Erman等[66]提出一种基于K-Means的半監督学习方法,首次将半监督学习引入到流量分类领域,通过K均值算法将包含有少量标记样本和大量未标记样本数据的数据集划分为若干簇,然后选择簇中比例最大的已标记样本,以相应的类标记作为簇的类别。Zhang等[67]利用网络数据流的相关性信息扩展有监督数据集,根据未标记流和预先标记流之间的相关性自动标记未标记流,扩展了有监督数据集的规模和质量,提高了分类识别的性能。丁伟等[68]提出基于层次聚类的半监督学习方法,利用层次聚类将内容相近的数据流聚为一类,首先利用互信息选择最相关的统计特征,缩减数据流的特征空间,然后采用高斯函数进行数据流的高维特征映射,根据高维空间的距离进行聚类,实验结果表明该方法能够对大部分流量进行准确的分类识别。Wang等[69]研究了基于先验知识的协议识别方法,该方法将标记数据集和未标记数据集作为输入,首先利用约束聚类算法提取未标记数据的新模式,且这些模式是标记数据未出现的,并以此模式代表未知协议,然后基于标记数据和未标记数据的新模式训练多个二元分类器,根据分类器的结果确定样本数据的协议类型。
3.3 方法比较
从上述的基于固定规则、载荷特征、主机行为、机器学习这四类协议识别技术可以看出,很难凭借一种方法识别出所有流量,大部分方法适用于特定场景。为了进一步分析四种技术的不同,本文从准确性、实时性、鲁棒性、伸缩性、安全性、协议无关性这六种判别指标着手,对四种技术进行对比和分析,结果如表 5所示。
表格(有表名)表5 不同协议识别方法的性能比较
Tab. 5 Performance comparison of different protocol recognition methods
方法准确性实时性鲁棒性伸缩性安全性协议无关固定规则低较高较高较高最高最低载荷特征较高较高低低最低最低主机行为较低较低中中最高中机器学习中中中最高最高最高
在准确性方面,基于固定规则的识别方法能够很好识别常见的标准协议,如超文本传输协议(HyperText Transfer Protocol, HTTP)、文件传输协议(File Transfer Protocol, FTP)、域名系统(Domain Name System, DNS)等,但识别其他协议时,尤其是非固定端口的协议,准确性会大幅下降,总的来说,这种方法的准确性偏低。基于载荷特征的识别方法是目前工业界应用较多的方法,这种方法为每一种协议建立识别规则。虽然规则库的建立和维护成本较高,但准确性是最好的,原因在于识别规则与协议规范是密切联系的,建立规则可以理解为提取协议规范的固定模式。基于主机行为或机器学习的方法需要预先建立模型,识别准确性与模型完备性、训练数据集等都密切相关,且大多情况下,识别准确性不如基于载荷特征的方法。
在实时性方面,基于固定规则、载荷特征的实时性较好,这与处理对象是有直接联系的,匹配规则通常分析数据包的前几十字节或是指定位置,能够快速分析出流量的类型。基于主机行为的方法是对通信的网络进行分析,对每一种协议的通信行为进行统计建模,该方法计算量大、耗时长,因此实时性较差。基于机器学习的方法需要提取数据流的内容或统计特征。若提取统计特征,则与基于主机行为方法相似,实时性较差。若提取内容特征,则实时性与提取特征的位置有关:有些方法认为特征应当从数据流开始和结束的几十个字节中提取,这种特征提取方法难以保证实时性;也有的研究人员选择从数据流开始的几百个字节进行提取,这种提取方法实时性较好。总体来看,基于机器学习的协议识别方法实时性一般。
在鲁棒性方面,基于固定规则的识别方法适用性较强,只需简单地从IP头或TCP头提取地址和端口,便能作出判断。这种方法能够容忍网络出现异常,鲁棒性也是四种方法中最好的。基于主机行为、机器学习的识别方法的鲁棒性取决于多种因素,如提取特征的质量或位置、数据集的完备性。整体来看,这两种方法鲁棒性一般。基于载荷特征的识别方法鲁棒性较差,主要是因为对数据包的重传、乱序等异常现象较为敏感,如果流量经过加密处理,数据的特性被隐藏,该方法将失效,因此这种方法的鲁棒性相较其他三种方法是最差的。
在扩展性方面,基于固定规则的识别方法只需提取协议头部的端口等信息,该方法简单、高效,伸缩性最好。基于载荷特征的识别方法在面临吞吐量较大的情况时,需要进行大量的特征匹配,计算开销也会急剧增加,需要结合软硬件设备才能满足性能要求,其伸缩性偏低。基于主机行为、机器学习的识别方法当面临吞吐量较大的情况时,也需要更大的内存空间来存储特征。在对数据流进行分析时,伸缩性较好,因为从数据流提取的特征更完备;在数据包进行分析时,伸缩性相对较差。整体来看,这两种方法伸缩性一般。
在安全性方面,基于载荷特征的识别方法需要检测数据包的应用层数据,容易造成隐私泄露问题。基于固定规则的识别方法不需要对应用层数据匹配特征模式等,也就不存在安全问题。基于主机行为、机器学习的识别方法在对统计特征进行分析时,不分析流量的具体内容,只分析流量的通信行为,安全性较高。另外,基于机器学习的识别方法也存在分析应用层数据的情况,但不深入检测应用层具体内容,安全性问题并不严重。
在协议无关性方面,基于固定规则的识别方法只能识别已知的标准协议,根据端口协议的映射关系进行识别,对未知协议的流量,尤其端口非固定的协议,该方法会失效。基于载荷特征的识别方法面对未知流量、加密流量都会失效。这种方法的识别依赖于识别规则库,规则库中因没有未知流量的识别规则而失效;加密会掩盖协议特征而使方法失效。基于主机行为的识别方法是对流量外部特征进行分析,因此不会受到流量内容加密所带来的影响;但这种方法是对已知协议的通信行为进行建模,也就导致无法识别未知流量。基于机器学习的识别方法与基于主机行为的识别方法类似,当对统计行为特征进行分析时,能够识别加密流量;当对内容特征进行分析时,根据同一协议内部特征表现出的相似性,可以识别出未知流量的协议信息。因此基于機器学习的识别方法适用范围最广。
4 未来研究方向
协议识别技术经过十几年的研究,从传统的基于固定规则和载荷特征的数据包识别阶段,发展到目前的基于主机行为和机器学习的数据流识别阶段,识别准确率和效率虽然有所提高,但还不能很好适应网络的持续性变化。为了应对各类新兴的网络技术和纷繁复杂的应用,协议识别技术可以尝试在以下方向有所突破:
1)数据采集与可信标注。目前协议识别缺乏公认的数据集,研究人员多采用自身实验网络环境下捕获的原始流量数据,然后使用人工方法或DPI工具进行类别标注。人工方法繁琐、工作量大,易出错,适用于小样本标记。DPI工具能够大批量、自动化地标记样本,但是Carela-espanol等[70]的测试发现L7-fiter的平均准确率只有38.13%,达不到结果可信的水平。然而协议识别需要大量的样本,因为样本越多越能反映出协议的特性,不能仅仅依赖于人工标记的方法,因此标准的数据集与值得信任的标注方法是需要研究人员考虑解决的问题之一。
2)未知协议的识别。未知协议在互联网中越来越多,很多应用软件使用了自己设计的通信协议,这类协议是Wireshark等通用协议解析工具无法解析的。但未知协议与已知协议一样,具有相对固定的格式,当同一类型未知协议的流量数据不断累积,流量数据在物理取值和统计分布方面的特性也会变得愈加明显,从中寻找规律也成为可能。未知协议识别需要首先通过寻找相对固定的特征序列识别出帧头,然后在此基础上,挖掘出上层协议特征,最后使用协议特征指导后续的协议识别。
3)加密流量识别。一些软件出于安全防护的考虑,采用了加密和隧道化传输技术,如安全套接层(Secure Sockets Layer, SSL)、安全外壳(Secure SHell, SSH)协议、虚拟专用网络(Virtual Private Network, VPN)等,加密后的流量数据缺乏明显的协议特性,增加了分类的难度。不仅要考虑这些加密流量的检测,更要进一步识别它们的协议类型,这就显得尤为困难。
4)P2P协议识别。P2P技术的普及,导致难以采集完整有效的数据。P2P节点在行为上兼具Server 和Client两种身份,跟传统的C/S或B/S访问模式中通信端点的一一映射关系有很大的不同,只能收集到部分流量。除此之外,P2P应用类型多样,包括文件下载、内容共享、即时通信、网络电话和流媒体等。在这种情况下,如何细粒度地区分P2P协议是目前研究难点。
5)类别不平衡的协议识别。目前机器学习方法是协议识别的研究热点,其分类模型多是由类别平衡的实验环境下的数据训练得到,但在实际网络环境中,存在严重的类别不平衡现象。如果采用重采样技术,多采样小类别的样本或从大类别中删除一部分样本,这种处理方式会破坏原本的样本分布情况。若部署在真实网络环境中,可能将小类别流量误识别为大类别流量,在类别不平衡条件下,保证小类别协议识别的准确率也是研究人员需要考虑的问题。
5 结语
网络协议识别技术在网络安全领域具有重要的作用。随着网络技术的不断升级,传统的基于端口的协议识别技术识别效果越来越差。基于载荷特征的方法虽然准确,但容易泄露用户隐私。基于主机行为的方法建模复杂,且多停在理论分析阶段。基于机器学习方法的虽然高效、准确率高,但严重依赖于特征导致其难以在真实环境中部署。
本文综述了网络协议识别领域的研究方法和相关成果。首先介绍网络协议识别的识别目标、识别需求和评估准则;然后分析网络协议识别的基本流程;接着从两个类别详细分析了不同协议识别方法的优缺点;最后展望了未来的研究方向。
虽然研究人员在流量识别领域取得了不少成果,但是协议识别技术仍面临着众多的挑战:
1)复杂网络环境的挑战,例如移动网络、云平台环境。移动互联网发展迅速和智能终端的快速普及都极大改变了传统互联网的行为模式,智能终端的应用数量也不断增加,所产生网络流量也在急剧增长,如何在移动网络下进行网络流量的协议识别分类也显得更加重要。越来越多的应用采用云平台环境部署。云平台的出入口流量混合了多种不同应用的流量,且经常对应用的部署进行动态调整,难以得到纯净的训练样本,实现精确的协议识别。
2)大數据高速网络实时分类的挑战。面对网络流量的大数据,结合Hadoop、FPGA等并行处理技术和硬件加速技术成为研究趋势。实时分类不同于离线分类,要求尽早识别出协议类型。从目前协议识别的研究情况来看,大多数研究方法都围绕着提高识别准确率展开,基于固定规则、载荷特征两种方法虽具有早期识别的优势,但准确率和运行效率难以保证。基于主机行为和基于机器学习的两类方法依赖于离线学习。除此之外,高速网络越来越普及,如何将协议识别方法部署在高速网络,实时进行协议识别且能保证识别准确率,是学术界、工业界面临的重要挑战。
3)网络流量持续动态变化的挑战。网络流量持续性动态变化会导致概念漂移现象的产生,具体表现是处于不同网络环境的同一类协议的流量数据分布会出现较大差异。然而现有方法假设同种协议具有相同分布的特性,且着重于流量的静态识别,没有考虑流量概念漂移的影响。面对网络流量的持续变化,将不同网络环境的流量进行统一处理,是协议识别领域的严峻挑战。
参考文献 (References)
[1]SANDERS C. Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems [M]. San Francisco: No Starch Press, 2011: 192-194.
[2]陈亮,龚俭,徐选.应用层协议识别算法综述[J].计算机科学,2007,34(7):73-75.(CHEN L, GONG J, XU X. A survey of application-level protocol identification algorithm [J]. Computer Science, 2007, 34(7): 73-75.)
[3]SourceForge. L7-filter: application layer packet classifier for Linux [EB/OL]. [2019-04-14]. http://l7-filter.sourceforge.net/.
[4]DERI L, MARTINELLI M, BUJLOW T, et al. nDPI: open-source high-speed deep packet inspection [C]// Proceedings of the 2014 Wireless Communications and Mobile Computing Conference. Piscataway: IEEE, 2014: 617-622.
[5]ALCOCK S, NELSON R. Libprotoident: traffic classification using lightweight packet inspection: technical report [R/OL]. [2019-04-14]. http://www.wand.net.nz/publications/lpireport.
[6]MOORE A W, ZUEV D. Internet traffic classification using Bayesian analysis techniques [J]. ACM SIGMETRICS Performance Evaluation Review, 2005, 33(1): 50-60.
[7]CAIDA. CAIDA data-overview of datasets, monitors and reports [EB/OL]. [2019-04-14]. http://www.caida.org/data/overview/.
[8]Università degli Studi di Brescia. UNIBS: data sharing [EB/OL]. [2019-04-14]. http://netweb.ing.unibs.it/~ntw/tools/traces.
[9]The MAWI Working Group. MAWI working group traffic archive [EB/OL]. [2019-04-14]. http://mawi.wide.ad.jp/mawi/.
[10]WAND network research group. WITS: Waikato Internet traffic storage [EB/OL]. [2019-04-14]. https://wand.net.nz/wits/.
[11]LIPPMANN R, HAINES J W, FRIED D J, et al. The 1999 DARPA off-line intrusion detection evaluation [J]. Computer Networks, 2000, 34(4): 579-595.
[12]TOUCH J, MANKIN A, KOHLER E, et al. Service name and transport protocol port number registry [EB/OL]. [2019-04-14]. https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml.
[13]MADHUKAR A, WILLIAMSON C. A longitudinal study of P2P traffic classification [C]// Proceedings of the 14th International Symposium on Modeling, Analysis, and Simulation. Piscataway: IEEE, 2006: 179-188.
[14]YOON S H, PARK J W, PARK J S, et al. Internet application traffic classification using fixed IP-port [C]// Proceedings of the 12th Asia-pacific Network Operations and Management Conference on Management Symposium, LNCS 5787. Berlin: Springer, 2009: 21-30.
[15]KARAGIANNIS T, BROIDO A, FALOUTSOS M, et al. Transport layer identification of P2P traffic [C]// Proceedings of the 4th ACM SIGCOMM Internet Measurement Conference. New York: ACM, 2004: 121-134.
[16]汪立東,钱丽萍,王大伟,等.网络流量分类方法与实践[M].北京:人民邮电出版社,2013:122-126.(WANG L D, QIAN L P, WANG D W, et al. Network Traffic Classification [M]. Beijing: Posts and Telecom Press, 2013: 122-126.)
[17]SEN S, SPATSCHECK O, WANG D. Accurate, scalable in-network identification of P2P traffic using application signatures [C]// Proceedings of the 2004 13th International Conference on World Wide Web. New York: ACM, 2004: 512-521.
[18]YUN X, WANG Y, ZHANG Y, et al. A semantics-aware approach to the automated network protocol identification [J]. IEEE/ACM Transactions on Networking, 2016, 24(1): 583-595.
[19]MOORE A W, PAPAGIANNAKI K. Toward the accurate identification of network applications [C]// Proceedings of the 6th International Workshop on Passive and Active Network Measurement, LNCS 3431. Berlin: Springer, 2005: 41-54.
[20]BUJLOW T, CARELA-ESPANOL V, BARLET-ROS P. Independent comparison of popular DPI tools for traffic classification [J]. Computer Networks, 2015, 76: 75-89.
[21]CHEN H, HU Z, YE Z, et al. A new model for P2P traffic identification based on DPI and DFI [C]// Proceedings of the 2009 International Conference on Information Engineering and Computer Science. Piscataway: IEEE, 2009: 1-3.
[22]WANG C, ZHOU X, YOU F, et al. Design of P2P traffic identification based on DPI and DFI [C]// Proceedings of the 2009 International Symposium on Computer Network and Multimedia Technology. Piscataway: IEEE, 2009: 1-4.
[23]叶文晨,汪敏,陈云寰,等.一种联合DPI和DFI的网络流量检测方法[J].计算机工程,2011,37(10):102-104,107.(YE W C, WANG M, CHEN Y H, et al. Network flow inspection method of joint DPI and DFI [J]. Computer Engineering, 2011, 37(10): 102-104, 107.)
[24]林冠洲.网络流量识别关键技术研究[D].北京:北京邮电大学,2011:10.(LIN G Z. Research on the key technologies of network traffic classification [D]. Beijing: Beijing University of Posts and Telecommunications, 2011: 10.)
[25]付文亮,嵩天,周舟.RocketTC:一种基于FPGA的高性能网络流量分类架构[J].计算机学报,2014,37(2):414 -422.(FU W L, SONG T, ZHOU Z. RocketTC: a high throughput traffic classification architecture on FPGA [J]. Chinese Journal of Computers, 2014, 37(2): 414-422.)
[26]KUMAR S, DHARMAPURIKAR S, YU F, et al. Algorithms to accelerate multiple regular expressions matching for deep packet inspection [J]. ACM SIGCOMM Computer Communication Review, 2006, 36(4): 339-350.
[27]TONG D, QU Y R, PRASANNA V K. Accelerating decision tree based traffic classification on FPGA and multicore platforms [J]. IEEE Transactions on Parallel and Distributed Systems, 2017, 28(11): 3046-3059.
[28]FINAMORE A, MELLIA M, MEO M, et al. KISS: stochastic packet inspection classifier for UDP traffic [J]. IEEE/ACM Trans on Networking, 2010, 18(5): 1505-1515.
[29]CROTTI M, DUSI M, GRINGOLI F, et al. Traffic classification through simple statistical fingerprinting [J]. ACM SIGCOMM Computer Communication Review, 2007, 37(1): 5-16.
[30]KARAGIANNIS T, PAPAGIANNAKI K, FALOUTSOS M. BLINC: multilevel traffic classification in the dark [C]// Proceedings of the 2005 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communications. New York: ACM, 2005: 229-240.
[31]ILIOFOTOU M, PAPPU P, FALOUTSOS M, et al. Network monitoring using Traffic Dispersion Graphs (TDGs) [C]// Proceedings of the 7th ACM SIGCOMM Conference on Internet Measurement. New York: ACM, 2007: 315-320.
[32]李君,張顺颐,王浩云,等.基于贝叶斯网络的Peer-to-Peer识别方法[J].应用科学学报,2009,27(2):124-130.(LI J, ZHANG S Y, WANG H Y, et al. Peer-to-peer traffic identification using Bayesian networks [J]. Journal of Applied Sciences, 2009, 27(2): 124-130)
[33]张泽鑫,李俊,常向青.基于特征加权的朴素贝叶斯流量分类方法研究[J].高技术通讯,2016,26(2):119-128.(ZHANG Z X, LI J, CHANG X Q. Internet traffic classification using the attribute weighted naive Bayes algorithm [J]. High Technology Letters, 2016, 26(2): 119-128.)
[34]孙德山.支持向量机分类与回归方法研究[D].长沙:中南大学,2004:10.(SUN D S. The researches on support vector machine classification and regression methods [D]. Changsha: Central South University, 2004: 10.)
[35]LI Z, YUAN R, GUAN X. Accurate classification of the Internet traffic based on the SVM method [C]// Proceedings of the 2007 IEEE International Conference on Communications. Piscataway: IEEE, 2007: 1373-1378.
[36]YANG A, JIANG S, DENG H. A P2P network traffic classification method using SVM [C]// Proceedings of the 9th International Conference for Young Computer Scientists. Piscataway: IEEE, 2008: 398-403.
[37]GROLEAT T, ARZEL M, VATON S. Hardware acceleration of SVM-based traffic classification on FPGA [C]// Proceedings of the 8th International Wireless Communications and Mobile Computing Conference. Piscataway: IEEE, 2012: 443-449.
[38]王一鹏,云晓春,张永铮,等.基于主动学习和SVM方法的网络协议识别技术[J].通信学报,2013,34(10):135-142.(WANG Y P, YUN X C, ZHANG Y Z, et al. Network protocol identification based on active learning and SVM algorithm [J]. Journal on Communications, 2013, 34(10): 135-142.)
[39]曹杰.基于SVM的网络流量特征降维与分类方法研究[D].长春:吉林大学,2017:10.(CAO J. Research of feature reduction and traffic classification method based on SVM [D]. Changchun: Jilin University, 2017: 10.)
[40]LOBATO A G P, LOPEZ M A, SANZ I J, et al. An adaptive real-time architecture for zero-day threat detection [C]// Proceedings of the 2018 International Conference on Communications. Piscataway: IEEE, 2018: 1-6.
[41]谭骏,陈兴蜀,杜敏,等.基于自适应BP神经网络的网络流量识别算法[J].电子科技大学学报,2012,41(4):580-585.(TAN J, CHEN X S, DU M, et al. Internet traffic identification algorithm based on adaptive BP neural network [J]. Journal of University of Electronic Science and Technology of China, 2012, 41(4): 580-585)
[42]WANG W, ZHU M, ZENG X, et al. Malware traffic classification using convolutional neural network for representation learning [C]// Proceedings of the 2017 International Conference on Information Networking. Piscataway, NJ: IEEE, 2017: 712-717.
[43]王勇,周慧怡,俸皓,等.基于深度卷积神经网络的网络流量分类方法[J].通信学报,2018,39(1):14-23.(WANG Y, ZHOU H Y, FENG H, et al. Network traffic classification method basing on CNN [J]. Journal on Communications, 2018, 39(1): 14-23.)
[44]JAIN A V. Network traffic identification with convolutional neural networks [C]// Proceedings of the IEEE 16th International Conference on Dependable, Autonomic and Secure Computing, 16th International Conference on Pervasive Intelligence and Computing, 4th International Conference on Big Data Intelligence and Computing and 2018 International Conference on Cyber Science and Technology. Piscataway: IEEE, 2018: 1001-1007.
[45]陳雪娇,王攀,俞家辉. 基于卷积神经网络的加密流量识别方法[J].南京邮电大学学报(自然科学版),2018,38(6):40-45.(CHEN X J, WANG P, YU J H. CNN based encrypted traffic identification method [J]. Journal of Nanjing University of Posts and Telecommunications (Natural Science Edition), 2018, 38(6): 40-45)
[46]叶松.基于现代网络的深度学习应用协议识别技术研究与实现[J].软件导刊,2018,17(10):194-199.(YE S. Research and implementation of deep learning application protocol recognition technology based on modern network [J]. Software Guide, 2018, 17(10): 194-199.)
[47]REN J, WANG Z. A novel deep learning method for application identification in wireless network [J]. China Communications, 2018, 15(10): 73-83.
[48]WILLIAMS N, ZANDER S, ARMITAGE G. A preliminary performance comparison of five machine learning algorithms for practical IP traffic flow classification [J]. ACM SIGCOMM Computer Communication Review, 2006, 36(5): 5-16.
[49]徐鹏,林森.基于C4.5决策树的流量分类方法[J].软件学报,2009,20(10):2692-2704.(XU P, LIN S. Internet traffic classification using C4.5 decision tree [J]. Journal of Software, 2009, 20(10): 2692-2704.)
[50]周剑峰,阳爱民,刘吉财.基于改进的C4.5算法的网络流量分类方法[J].计算机工程与应用,2012,48(5):71-74.(ZHOU J F, YANG A M, LIU J C. Traffic classification approach based on improved C4.5 algorithm [J]. Computer Engineering and Applications, 2012, 48(5): 71-74)
[51]王朝正.基于Hadoop的C4.5決策树及其在网络流量中的应用[D].重庆:重庆邮电大学,2016:10.(WANG C Z. C4.5 decision tree based on Hadoop and its application in network traffic [D]. Chongqing: Chongqing University of Posts and Telecommunications, 2016: 10.)
[52]程珊,钮焱,李军.基于网络资源的KNN网络流量分类模型的研究[J].湖北工业大学学报,2016,31(4):75-79,82.(CHENG S, NIU Y, LI J. A study on network traffic classification model of KNN based on network resources [J]. Journal of Hubei University of Technology, 2016, 31(4): 75-79, 82.)
[53]SU M Y. Using clustering to improve the KNN-based classifiers for online anomaly network traffic identification [J]. Journal of Network and Computer Applications, 2011, 34(2): 722-730.
[54]ZHANG J, XIANG Y, WANG Y, et al. Network traffic classification using correlation information [J]. IEEE Transactions on Parallel and Distributed Systems, 2013, 24(1): 104-117.
[55]WU D, CHEN X, CHEN C, et al. On addressing the imbalance problem: a correlated KNN approach for network traffic classification [C]// Proceedings of the 2015 International Conference on Network and System Security, LNCS 8792. Cham: Springer, 2015: 138-151.
[56]MCGREGOR A, HALL M, LORIER P, et al. Flow clustering using machine learning techniques [C]// Proceedings of the 2004 International Workshop on Passive and Active Network Measurement, LNCS 3015. Berlin: Springer, 2004: 205-214.
[57]LIU S, HU J, HAO S, et al. Improved EM method for Internet traffic classification [C]// Proceedings of the 8th International Conference on Knowledge and Smart Technology. Piscataway: IEEE, 2016: 13-17.
[58]ZANDER S, NGUYEN T, ARMITAGE G. Automated traffic classification and application identification using machine learning [C]// Proceedings of the 2005 IEEE Conference on Local Computer Networks 30th Anniversary. Piscataway: IEEE, 2005: 250-257.
[59]LIU Y, LI W, LI Y. Network traffic classification using k-means clustering [C]// Proceedings of the 2nd International Multi-symposiums on Computer and Computational Sciences. Piscataway: IEEE, 2007: 360-365.
[60]彭大芹,项磊,李司坤,等.多协议下智能家居协议的分类方法[J].重庆邮电大学学报(自然科学版),2018,30(3):321-328.(PENG D Q, XIANG L, LI S K, et al. Classification of intelligent home protocol under multi-protocols [J]. Journal of Chongqing University of Posts and Telecommunications (Natural Science Edition), 2018, 30(3): 321-328.)
[61]何震凯,阳爱民,刘永定,等.一种使用DBSCAN聚类的网络流量分类方法[J].计算机应用研究,2009,26(9):3461-3464.(HE Z K, YANG A M, LIU Y D, et al. Method of network traffic classification using DBSCAN clustering [J]. Application Research of Computers, 2009, 26(9): 3461-3464.)
[62]张凤荔,周洪川,张俊娇,等.基于改进凝聚层次聚类的协议分类算法[J].计算机工程与科学,2017,39(4):796-803.(ZHANG F L, ZHOU H C, ZHANG J J, et al. A protocol classification algorithm based on improved AGENS [J]. Computer Engineering and Science, 2017, 39(4): 796-803.)
[63]周文剛,陈雷霆,董仕.基于谱聚类的网络流量分类识别算法[J].电子测量与仪器学报,2013,27(12):1114-1119.(ZHOU W G, CHEN L T, DONG S. Network traffic classification algorithm based on spectral clustering [J]. Journal of Electronic Measurement and Instrument, 2013, 27(12): 1114-1119.)
[64]BERNAILLE L, TEIXEIRA R, SALAMATIAN K. Early application identification [C]// Proceedings of the 2006 ACM Conference on Emerging Network Experiment and Technology. New York: ACM, 2006: Article No. 6.
[65]赵英,韩春昊.马尔科夫模型在网络流量分类中的应用与研究[J].计算机工程,2018,44(5):291-295.(ZHAO Y, HAN C H. Application and research of Markov model in network traffic classification [J]. Computer Engineering, 2018, 44(5): 291-295.)
[66]ERMAN J, MAHANTI A, ARLITT M, et al. Semi-supervised network traffic classification [J]. ACM SIGMETRICS Performance Evaluation Review, 2007, 35(1): 369-370.
[67]ZHANG J, CHEN C, XIANG Y, et al. Semi-supervised and compound classification of network traffic [C]// Proceedings of the 32nd International Conference on Distributed Computing Systems Workshops. Piscataway: IEEE, 2012: 617-621.
[68]丁伟,徐杰,卓文辉.基于层次聚类的网络流识别算法研究[J].通信学报,2014,35(Z1):41-45.(DING W, XU J, ZHUO W H. Net traffic identifier based on hierarchical clustering [J]. Journal on Communications, 2014, 35(Z1): 41-45.)
[69]WANG Y, XUE H, LIU Y, et al. Statistical network protocol identification with unknown pattern extraction [J]. Annals of Telecommunications, 2019, 74(7/8): 473-482.
[70]CARELA-ESPANOL V, BUJLOW T, BARLET-ROS P. Is our ground-truth for traffic classification reliable? [C]// Proceedings of the 2014 International Conference on Passive and Active Network Measurement, LNCS 8362 . Cham: Springer, 2014: 98-108.
This work is partially supported by the National Key Research and Development Program of China (2017YFB0802900).
FENG Wenbo, born in 1994, M. S. candidate. His research interests include network protocol recognition, machine learning.
HONG Zheng, born in 1979, Ph. D., associate professor. His research interests include network security, protocol reverse engineering.
WU Lifa, born in 1968, Ph. D., professor. His research interests include network security, network management.
FU Menglin, born in 1995, M. S. candidate. Her research interests include vulnerability mining, blockchain security.
收稿日期:2019-06-06;修回日期:2019-08-07;录用日期:2019-08-08。基金项目:国家重点研发计划项目(2017YFB0802900)。
作者简介:冯文博(1994—),男,河南周口人,硕士研究生,主要研究方向:网络协议识别、机器学习; 洪征(1979—),男,江苏南京人,副教授,博士,主要研究方向:网络安全、协议逆向工程; 吴礼发(1968—),男,湖北黄石人,教授,博士,CCF会员,主要研究方向:网络安全、网络管理; 付梦琳(1995—),女,江苏南京人,硕士研究生,主要研究方向:漏洞挖掘、区块链安全。
作者:冯文博 洪征 吴礼发 付梦琳
车辆租赁协议
甲方:
联系电话:
乙方:XXXXXXXXXXXXXXX公司
联系电话:
根据《合同法》及相关法律规定,甲乙双方在平等自愿的基础上按照公平公正诚实守信的原则,双方友好协商,就车辆租赁事宜达成一致签订本协议。
1、甲方将
轿车一辆租赁给乙方,车牌号为
,发动机号为
,租赁期限为
年,自
年
月
日至
年
月
日。
2、租赁汽车为甲方无偿提供,乙方承担租赁期间的油费、维修费,否则,甲方有权收回车辆,并视为乙方违约。
3、签订本协议后,甲方须将租赁车辆的行驶证、机动车保险证、车辆购置附加费等原件提供给乙方,乙方应妥善保管,如有丢失,乙方应赔偿相应的损失。
4、在租赁期间,乙方有权合理安排和管理车辆的义务及做好车辆维护保养,车辆的维修保养费用全部由乙方承担;在租赁期间,乙方不得将该车买卖、抵押、质押,不得擅自变动、添改租赁车辆任何部位或部件。
5、在租赁期间车辆应按乙方要求进行保险,保险费由甲方交纳,其他如燃油费、养路费、年检费等费用由乙方承担。如因租赁车辆发生交通违章和事故等一切费用由乙方负责承担,由此引起的债权、债务亦由乙方负责,与甲方无关。(涉及到保险公司承包范围,甲方需无条件配合乙方)。
6、租赁期间如发生车辆丢失由保险公司承保后,乙方须将全部赔偿款交给甲方,若因不可抗拒因素发生时,双方以协商为原则处理。
7、乙方在租赁期满时,应及时地将车辆交还给甲主,交换时的车辆应运行良好。
8、本协议一式二份,双方签字盖章后生效。
备注:
甲方(签字):
乙方(章):
代表人(签字)
年
月
日
年
月
日
`````视频学习机校园免费试用协议
甲方: **专卖店
乙方:为了减轻学生的学习负担,激发学生学习兴趣从而提高学习的效率,让学生回家有人教,步步高视频学习机为你免费提供11000多节黄冈中学视频,在家反复听、反复看、反复做,步步高教育电子公司免费为广大在校学生提供专业的学习机试用;它集视频教学、复读机、录音机、数理化实验室多种教学功能于一体,使学生能在轻松学习的同时也能更好保证学生学习的效率。因此,特在济源市开展免费试用机活动并随时接受学生及家长朋友反馈的改进意见,协议内容如下:
甲方:
1. 提供步步高专用(壹)台,并附带机器的8G内存卡,
电源,数据线,原装耳机,系统光盘及相关产品资料介绍;
2. 为使用步步高视频学习机的学生演示操作方法和操作培训;
3. 试用期止回收学习机,机器有磨损或出现质量问题,概不需
要试用者负责(非人为的故意损坏)。
乙方:
1、领到机器后,试用者有义务保管好机器,以防遗失;如有遗失或人为损坏按市场价格的100%赔偿。
2、试用期为年月 至月日;试用期间乙方可大胆、放心的使用,并且试用过程中出现的折旧、磨损一概不需要乙方承担任何责任;另外,甲方还可根据乙方使用过程中可能遇到的类似操作、资料更新等问题进行上门跟踪服务。
3、试用其止,试用者可选择留下(补适当费用)或退回机器,甲方不得勉强乙方购买。
4、试用人需带家长身份证复印件或户口复印件等有效证件。
5、本协议一式两份,甲乙双方各一份,未尽事宜,协商解决。
甲方:**专卖店学生姓名:
签名:负责人签名家长签字:
日期:日期:
免费医疗救助协议
救助单位:周口妇产医院(地址:周口市汉阳路南段)
救助对象:贫困患者(身份证号:)
现有贫困患者,家住,身患属实的情况下,特来申请我院的“母亲健康快车计划”项目援助。
经查,患者的确患病需要治疗并且家庭十分困难,符合“母亲健康快车计划”项目的免费医疗救助标准,准予救助。
经协商,双方就免费医疗救助的相关事宜议定如下:
1、周口妇产医院按照“母亲健康快车计划”程的免费医疗救助,包括检查、治疗、手术、住院、护理等全程免费,不得收取患者任何费用。
2、因“母亲健康快车计划”属妇联和妇女发展基金会的慈善救助项目。救助单位及救助对象均应接受社会监督。故患者也应按照“母亲健康快车计划”及医院要求,积极接受媒体和社会的监督,对于各媒体对此次救助的采访及报道给予配合。本协议签订后,视为同意媒体对其进行采访和报道。
3、本协议一式两份,双方各持一份。其他事宜,均本着友好协商的原则予以商定。如有需要,再行书面签订,作为本协议附件与本协议具有同等法律效力。
救助单位:周口妇产医院救助对象:(签字) 经办人员:(签字)患者家属:(签字)
签字时间:年月日
免费培训协议书
甲方:秦皇岛市力源职业培训学校 乙方:
为了贯彻落实国家和地方政府促进就业的方针政策,提高持有《就业失业登记证》求职人员技术能力,技能等级水平,促进及早成功就业并实现稳定就业。甲乙双方经协商一致,就甲方为乙方免费进行技能培训一事达成如下条款:
第一条:培训服务事项
甲方为乙方免费进行技能培训,培训结束后,由甲方组织到市人力资源和社会保障局职业技能鉴定中心考取“职业资格证书”。
第二条:培训时间、方式
培训期为400课时(具体各个工种培训时间不同),采用理论教学和实操训练相结合的方式(理论培训200课时,实际操作200课时)。
第三条:培训目标
熟练掌握所培训工种的技术,达到上岗所需技能要求,并考取市职业技能鉴定中心颁发的相关《职业资格证书》。
第四条:培训内容
基本理论知识,操作原理,作业指导,安全规程以及技能训练课程为主要培训内容。
第五条:培训费用
乙方参加培训为免费培训,所需费用由甲方支付。 第六条:甲方的责任与义务
1、垫付乙方的培训费用。
2、做好培训计划,合理安排教学,保证教学质量。 第七条:乙方责任与义务
1、乙方参加培训需提供本人身份证、《就业失业登记证》、《户籍证》原件及复印件、一寸照片2张、小二寸照片2张。
2、严格按教学安排参加培训,保证完成培训课时,熟练掌握相关操作技能,并按甲方安排考取相关证书。
3、在培训期间服从管理,不违反甲方的政策、制度与规定。 第九条:本协议一式两份,甲、乙双方各执一份,具有同等法律效力。
甲 方: 乙 方:
年
月
日
年
月
日
甲方:_________
乙方:_________
(一)乙方要求免费试用电脑,甲方提供电脑一台,_________软件一套。乙方试用三个月。付给甲方电脑押金人民币:_________元。
(二)试用过程中乙方保管好电脑,没有人为损坏乙方不负任何责任。如电脑本身故障由甲方负责维修。试用三个月期满后:
如乙方继续想使用,押金转为电脑购买金。乙方按三个月前电脑实际价值支付给甲方(如不想买电脑硬件,也可以只买电脑软件)。
如乙方不想继续使用试用的电脑与软件,可原物退还给甲方。甲方如数退还给乙方的押金(不计息)人民币:_________元 。
(三)乙方不得将_________软件复制或转借给第三人。否则没收押金。
以上未尽事宜,由甲乙双方协商解决。
甲方(盖章):_________乙方(盖章):_________
代表人(签字):_________代表人(签字):_________
_________年____月____日_________年____月____日
签订地点:_________签订地点:_________
甲方(车主):
姓名:_ 乙方(拼车人):
1、姓名:_
2、姓名:_
3、姓名:_
4、姓名:_
身份证号码:_ 身份证号码:_ 身份证号码:_ 身份证号码:_
身份证号码:_
根据国家有关法律法规,在活动组织者组织下,甲乙双方本着自愿、平等、互助的精神,经友好协商,就自驾游拼车事宜达成协议如下:
1、活动组织者: 驾游活动。
2、自驾游拼车活动名称:_
4、参考行车路线(以实际行进路线为准): _
一、定义
“车主”是指在参加自驾游活动中对所驾车辆拥有合法所有权的人。
“驾车人”是指在参加自驾游活动中对所驾车辆具有合法驾驶资格的人,并不只限定于车主,也可以是拼车人。
“拼车人”是指参加自驾游活动中的没有提供车辆的人员,为完成参加活动的目的,自愿免费拼乘车主提供的车辆,并委托驾车人帮助自己完成活动过程的人。
“免费拼车”是指驾车人和(或)车主允许拼车人乘坐车主提供的车辆完成自驾游,并且不收取拼车人任何费用的行为。
二、车主陈述与保证
1、在本次自驾游活动中所提供的车辆和个人信息的证件及相关材料必须真实有效,并且保障车辆具有国家规定的车辆险种。
2、在本次自驾游活动中所提供的车辆(车型: 车牌号:
部门的有关规定,若因车况及相关资质违反相关规定及法规而引起的责任由车主负责。
3、在该协议上签署的姓名是本人真实姓名。
三、驾车人陈述与保证
1、对所驾车辆具备中华人民共和国合法驾驶资格。
2、不得收取乘车人任何费用。
3、在驾驶车辆过程中符合《中华人民共和国道路交通安全法》及相关规定,对自身及拼车人身安全尽合理注意及提醒义务。
4、不得在身体不适、疲倦或饮酒后等不适合驾车的情况下驾驶车辆。
自驾免费拼车协议
第1页
,负责组织本次自
3、活动时间(协议有效期): 年 月 日 至 年 月 日
),确保其车况及相关资质证件符合交通、车管、运管等
5、在该协议上签署的姓名是本人真实姓名。
四、拼车人陈述与保证
1、自愿参加自发组织的活动,自愿拼乘车主车辆、委托驾车人帮助自己完成活动过程。
2、车辆行驶过程中,不得干扰驾车人驾驶车辆。如对驾车人形成严重干扰且劝阻无效,则视为当事拼车人放弃本协议,车主有权拒绝当事拼车人继续乘坐该车辆,且不再对当事拼车人负有相关责任及义务。
3、活动中有责任提醒驾车人不得酒后驾车或身体不适时驾车。
4、如车辆行驶过程中发生故障应积极配合驾车人解除故障。
5、如发生交通事故后,在力所能及的情况下应首先保证自身安全,避免因事故造成自身受到伤害或受到后续伤害;其次应积极协助驾车人和(或)车主施救、报警、维护现场及取证,配合解决纠纷。
6、若在拼乘过程中发生事故,导致身体受到伤害,除从第三方或保险公司取得赔偿外,乘车人放弃对车主的赔偿请求,并积极配合驾车人和(或)车主向第三方或保险公司进行索赔。
7、在该协议上签署的姓名是本人真实姓名。
五、双方权利责任义务:
1、活动行程服从活动组织者统一安排,小范围活动自行协商。原则上拼车人服从驾车人,驾车人服从组织者。
2、在除外不可抗力因素(如交通意外情况、车辆故障、第三者盗抢、自然灾害等)的其他情况下,如乙方未按活动组织者安排而离开其余乘车人及车辆时间超过1小时,则视为乙方当事人放弃本协议,甲方有权不再为乙方当事人提供乘车服务,且不再对乙方当事人负有相关责任及义务。
3、甲方未经乙方过半人数许可,不得擅自终止作为车主提供车辆完成自驾游活动的责任,但在遇到不可抗力因素(包括但不限于:交通意外致第三方损失超过3000元、48小时内无法就地修复的车辆故障、第三者盗抢、自然灾害等)的情况下除外。
4、甲乙双方应确保自身身体适合本次自驾车活动,并有义务在签订本协议前将自身健康状况告知其余乘车人(包括驾车人),否则其余乘车人(包括驾车人)视为当事方完全能够承受此次活动,由此所带来的劳累、经济损失及后果,由当事方自行承担;
5、乙方不可携带易燃、易爆、危险品上车,否则造成相应后果均需自行承担;乙方所携带之物品应不具备污染性,未经甲方同意不可带宠物上车。应注意保持车内清洁,爱护车内设施。如由于乙方操作不当等原因造成的车内污染或车辆或附属设施损害,由乙方负责清洁、修复或赔偿。
6、乙方下车时应注意携带自己的行李物品,如遗失在甲方车上,无论协议终止与否,甲方均有义务归还物品,并由乙方自行领取。
7、当驾车人和(或)乘车人出现不安全或对车内设施不当操作的行为时,其余同车人员有提醒和指导的责任。
8、甲乙双方离开车辆时,应注意关好自己一侧的车窗,驾车人应注意锁好车门。如因未锁门或未关窗造成损失,由过错方承担全部损失。
9、乙方如中途欲换乘其它车辆,视为本协议提前终止,乙方应提前告知甲方。
自驾免费拼车协议
第2页
10、出于保障车辆及人身安全考虑,建议甲方自行购买车辆保险(甲方至少购买第三者责任险方可提供拼车)。乙方自行购买人身意外保险。
11、乙方驾驶车辆必须得到甲方的许可,并确保自己的驾驶证合法有效。如果由于乙方无证驾驶造成事故,由乙方承担全部责任(包括对甲方和第三方损失的赔付)。
12、行车途中无论甲乙双方何人驾驶车辆,如遇任何非双方主观意愿因素(如车辆故障、第三者盗抢、自然灾害等不可抗力因素)引致交通事故或事故,造成车辆的损失,由甲乙双方共同承担。
13、车辆在自驾游过程中造成第三方的人、财、物的损失损害的,由甲乙双方共同承担。
14、自驾游过程中,甲乙双方除遵守《中华人民共和国道路交通安全法》及相关规定外,对于其他法律法规也应自觉遵守。如因违法而产生的相应后果由当事人自行承担。
六、费用声明
活动中因车辆使用产生的各项相关费用如燃油费、过路费、过桥费、停车费、洗车费等,由活动组织者统一支付。活动期间车主和(或)驾车人未向拼车人收取任何费用,亦未通过其他任何相关渠道从拼车人处牟取利润。
七、纠纷解决
驾车人与拼车人发生争议应及时告知自驾游活动的活动组织者,由活动组织者进行协调。
八、协议有效期
驾车人与拼车人在本次自驾游活动集结之时签署该协议,至本次自驾游活动结束时该协议失效。如遇自驾游活动比拟定时间提前或延后结束,则协议失效时间以实际结束的时间为准,但延后结束时间最长不得超过3天。
九、协议声明
为规范自驾活动过程中参加者的拼车行为,减少因此带来的纠纷,特制定本协议,双方共同遵照执行。本协议一式一份,自双方签字后立即生效,并交由双方认可的第三方保留。该第三方只提供协议存留,不负有其他责任。
十、补充协议: _ _ _ _ _ _
甲方(签字):
签定日期: 年 月 日
签定日期: 年 月 日
乙方(签字):
自驾免费拼车协议
第3页
