微信流量识别和分析的几个方法

DPI和DFI传统方法

•传统的报文检测仅分析IP包的ISO层4以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。

•DPI，Deep Packet Inspection，深度包检测

•基于应用层的流量检测和控制技术

•DFI，Dynamic Flow Inspection，动态流检测

•基于检测数据流基于五元组的到达过程、间隔等特征的检测技术

微信识别方法总括：

•基于人工拨测的bit-level级的DPI检测方法

•基于机器学习的检测方法：Flow-level,Packet-level,Bit-level.


方法一：人工拨测DPI的检测方法

机器学习-样本集选取

•机器学习过程：建立模型和分类。

•建立模型：采用训练数据( 样本) 建立分类模型;

•分类：基于该模型产生一个分类器对未知数据集进行分类。

•建立样本集

•人工拨测

•自动拨测

•DPI，对现网数据深度解析，导出host数据

方法二：Flow-Level分析：

•采用期望最大化算法(EM)来识别不同应用每个连接的网络流量，并采用总包数、上行平均包大小、下行平均包大小、总时延、邻包间隔时延这五个流量统计特征来标示。统计得出微信的五个流量统计特征。

•缺点：训练时间较长，可以用以下前置步骤缓解。

•改进：利用K-means和DBSCAN的聚类方法来对流量进行初步分类并大致识别微信的五个流量统计特征。这两种方法可以在较短的时间内构造出所需的模型。

•缺点：分类的准确度有所下降

•这两种方法都要提前指定某些参数的值，当选取不当时，需要较多的实验。

方法三：Packet-level流量分析



方法四：Bit-Level流量分析

微信流量分析思路

•从原始流量中提取有意义的特征属性。因为准确的特征选取是模型构建的基础, 只有选取的特征有效, 才能对网络流量进行有意义的划分, 它们决定了流量分类模型的有效性。

•流量分类模型的构建与有效性。融合各种聚类、分类技术的思想, 综合利用不同算法的优点, 采用两阶段的分析方法: 用聚类的方法进行离线学习, 用分类的方法进行在线分类,使得构建的流量分类与应用识别模型能够在动态变化的网络中进行主动学习, 降低训练时间, 提高其泛化能力。

•将人的指导信息引入模型构建过程。人的指导信息有助于分析不同应用的流量特征、选择合适的流量分类算法, 从而进一步提高流量分类模型的有效性。