网络流量分类方法与实践-图书-人邮教育社区

内容摘要

　　本书基于理论结合实践、基础结合前沿的编写原则，系统地讲解了网络流量分类技术的相关知识。在内容编排上注重夯实基础、阐明技术、关注前沿、指导实践。全书分基础知识、技术原理和实践验证三大模块，共12章。首先介绍了网络协议、网络流量数据集及其预处理技术、典型机器学习算法。在此基础上，接着介绍了基于端口、基于网络协议解析、基于深度包检测和基于统计学习的网络流量分类方法，阐述了各种方法的基本原理、技术挑战，跟踪分析了当前国内外研究进展。最后为增进知识理解和应用，安排了标准网络电话协议和非标Skype网络电话协议检测分类实践，在相关章节中亦特别注重提供网络可用资源，方便阅读者开展实验或实践。
　　本书既可以作为高等学校本科高年级或研究生专业网络技术进阶学习的参考书，或用作网络管理、网络安全、网络设计或网络运营技术人员的培训教材，也可以用作相关方向科研人员的参考资料。

目　录

第 1章　网络协议　1
1.1　互联网简史　1
1.2　OSI参考模型　3
1.3　TCP/IP协议　4
1.3.1　TCP/IP协议模型　4
1.3.2　TCP与UDP　6
1.3.3　Ethernet II帧格式　8
1.3.4　IPv4地址　9
1.3.5　IPv4报文　11
1.3.6　TCP报文　13
1.3.7　UDP报文　14
1.3.8　ICMP报文　15
1.4　IPv6　18
1.4.1　IPv6地址　18
1.4.2　IPv6报文　19
1.4.3　IPv6安全　20

第 2章　网络流量数据集　23
2.1　网络数据集格式　23
2.1.1　PCAP文件格式　24
2.1.2　NetFlow格式　25
2.2　PCAP数据采集　28
2.2.1　数据采集方法　28
2.2.2　常用捕包分析工具　29
2.2.3　Libpcap库　31
2.2.4　数据集标注　34
2.2.5　NetFlow和IPFIX处理工具　35
2.3　开放数据集　36
2.3.1　CAIDA数据集　36
2.3.2　UNIBS数据集　36
2.3.3　WIDE数据集　37
2.3.4　WITS数据集　38
2.4　其他辅助工具　39
2.4.1　匿名化处理工具　39
2.4.2　IP地址定位　40

第3章　数据预处理与评估　41
3.1　数据清洗　41
3.2　数据变换　42
3.2.1　规范化　42
3.2.2　离散化　42
3.3　数据归约　43
3.4　维规约与特征选择　44
3.5　数据抽样　45
3.6　数据分布分析　45
3.6.1　简单度量指标　45
3.6.2　数据分布评估方法　46
3.7　数据集评估指标　47
3.8　特征的相关性分析　48
3.8.1　散布图　48
3.8.2　卡方检验　49
3.8.3　皮尔逊相关系数　50

第4章　机器学习方法　51
4.1　C4.5决策树　51
4.2　贝叶斯方法　52
4.2.1　贝叶斯定理　53
4.2.2　朴素贝叶斯　54
4.2.3　隐马尔可夫模型　54
4.2.4　贝叶斯网络　55
4.3　K-**近邻算法　56
4.4　支持向量机　58
4.4.1　SVM思想概述　58
4.4.2　线性支持向量机　59
4.4.3　非线性支持向量机与核函数　61
4.4.4　C-SVM、V-SVM与LS-SVM　62
4.4.5　LibSVM　63
4.5　K-均值聚类　63
4.6　分类器评估指标　65
4.6.1　关于分类器模型评估　65
4.6.2　关于分类结果评估　66

第5章　网络流量分类技术概述　69
5.1　基本概念　69
5.2　方法与现状　70
5.2.1　基于标准端口匹配　70
5.2.2　基于DPI　70
5.2.3　基于协议解析　71
5.2.4　基于统计学习　72
5.2.5　研究方法演进　73
5.3　流量分类方法比较评估　74
5.4　挑战　76

第6章　互联网流量特性分析　79
6.1　随机过程　79
6.2　自相似性　81
6.3　长相关性　82
6.4　Hurst指数　83
6.4.1　R/S估计方法　84
6.4.2　Whittle**大似然估计方法　84
6.4.3　小波估计方法　85
6.5　重尾分布　86
6.6　突发性　87
6.7　特性计算及演进趋势分析　88

第7章　基于端口的网络流量分类　89
7.1　典型端口分配　89
7.2　CAIDA CoralReef软件包　91
7.3　布隆过滤器　91

第8章　基于协议解析的网络流量分类　95
8.1　标准开放协议解析　95
8.1.1　TCP协议状态机　95
8.1.2　POP3协议状态机　98
8.1.3　HTTP协议状态机　99
8.2　协议行为分析　102
8.2.1　基于流量的分析方法　102
8.2.2　基于软件逆向分析方法　113

第9章　基于DPI的网络流量分类　116
9.1　DPI产品概述　116
9.2　多模式匹配算法　117
9.2.1　WM算法　117
9.2.2　AC算法　119
9.3　正则表达式　120
9.4　统计签名　124
9.5　L7filter　125

第 10章　基于统计学习的网络流量分类方法　133
10.1　流统计特征　133
10.2　流特征生成工具　137
10.3　时间复杂度分析　138
10.3.1　学习算法的时间复杂度　139
10.3.2　流统计特征计算的时间复杂度　140
10.4　文献方法列举　141
10.5　机器学习软件包WEKA　153
10.5.1　WEKA数据文件格式　153
10.5.2　WEKA GUI菜单　155
10.5.3　WEKA Explorer　156
10.5.4　WEKA预处理　157
10.5.5　WEKA分类　159
10.5.6　WEKA聚类　165
10.5.7　WEKA关联分析　165

第 11章　SIP和H.323 VoIP流量检测　166
11.1　概述　166
11.1.1　简介　166
11.1.2　发展历程　167
11.1.3　协议体系　167
11.2　VoIP流量检测　170
11.2.1　检测分析功能　170
11.2.2　检测分析原理　171
11.2.3　检测分析系统　172

第 12章　Skype流量识别分类方法　174
12.1　引言　174
12.2　Skype发展现状　175
12.3　Skype流量识别方法　177
12.4　两种方法测试结果　180
12.4.1　基于应用行为的Skype识别方法测试结果　180
12.4.2　基于关键字的Skype识别方法　182
12.4.3　Skype真的没有官方服务器么？　184
12.5　小结　185

附录：词汇表　187
参考文献　194