精讀 SBAR SDN flow-Based monitoring and Application Recognition
阿新 • • 發佈:2018-11-10
目錄
SBAR: SDN flow-Based monitoring and Application Recognition SOSR 2018 poster
# 摘要
- 檢測系統,可以細化應用層分類。
- 基於DPI和Machine Learning分類,可以減少開銷。
- 基於應用協議分類。
使用特定的 DPI 技術檢測 web 和加密流量
- 解決問題:無法識別相同協議下的不同應用(如http下的Facebook,Twitter等)
- DPI:檢測包負載,分類細化到應用協議下的具體應用。
- ML:分類細化到應用協議級別,緩解處理負擔。
利用傳輸層特徵值分析。
架構
測量模組
- 流測量報告:NetFlow/IPFIX
- Openflow流表:提供包位元數、duration
- 組表:解耦不同網路任務模組的操作
分類模組
- machine learning:對應用協議分類(SMTP,SSH)
- DPI:web和加密流分類
具體實現
- machine learning:分類C5.0 決策樹,特徵:源、目的埠,IP協議,最初一些包的大小。
- 訓練集:使用nDPI提供的協議標籤
- DPI:提取主機的HTTP頭部,SSL/TLS 的 SNI 段,分析 DNS 流量推斷應用(IP到域名的對映)
- C5.0決策樹對流的應用協議分類
- Bro IDS 處理DNS、HTTP和加密流量
- SBAR 提供流層面的測量報告,併發往測量
實驗:最後接入巴塞羅那的校園網流量測試:
