(中國(guó)電子科技集團(tuán)公司第五十四研究所 河北省電磁頻譜認(rèn)知與管控重點(diǎn)實(shí)驗(yàn)室,石家莊 050081)

0 引言

在信息化極速發(fā)展的當(dāng)今社會(huì)，無(wú)線(xiàn)通信技術(shù)已經(jīng)普及到各群眾的生活中。無(wú)線(xiàn)技術(shù)已全面應(yīng)用于商業(yè)、生活、金融及工作中。移動(dòng)電話(huà)、語(yǔ)音通話(huà)、數(shù)字電視、網(wǎng)絡(luò)通信、數(shù)據(jù)交換等，都隨著無(wú)線(xiàn)通信技術(shù)的平臺(tái)繁衍而生。

隨著大眾網(wǎng)絡(luò)安全意識(shí)的穩(wěn)步提升，對(duì)于數(shù)據(jù)保護(hù)的意識(shí)也愈加強(qiáng)烈。對(duì)于特定類(lèi)型的流量，加密甚至已成為法律的強(qiáng)制性要求，數(shù)據(jù)加密儼然已經(jīng)成為保護(hù)隱私的重要手段之一。根據(jù)最新統(tǒng)計(jì)報(bào)告截止到2019年，超過(guò)80%的企業(yè)網(wǎng)絡(luò)流量被加密，75%的網(wǎng)絡(luò)流量被加密。Barac預(yù)測(cè)到2020年，83%的流量將被加密。

雖然加密技術(shù)的推行旨在保護(hù)網(wǎng)絡(luò)通信的安全和隱蔽性，但這種隱蔽性同樣讓它成為了攻擊者隱藏部署惡意代碼、滲透、命令和控制等惡意行為的強(qiáng)大工具。Radware公司在2016年公開(kāi)的年度全球應(yīng)用與網(wǎng)絡(luò)安全研究報(bào)告中顯示已有 35%的惡意攻擊正在借助 SSL/TLS 協(xié)議進(jìn)行C&C命令傳輸、惡意代碼傳輸?shù)裙艋顒?dòng)。在2017年5月，勒索軟件“想哭”(WannaCry)通過(guò)加密技術(shù)來(lái)逃避入侵檢測(cè)系統(tǒng)的檢測(cè)，致使該攻擊在網(wǎng)絡(luò)空間中如野火燎原之勢(shì)傳播。實(shí)現(xiàn)加密流量有效監(jiān)管是互聯(lián)網(wǎng)流量識(shí)別和監(jiān)管的重要組成部分。加密流量識(shí)別和管理可以有效防范惡意流量，保障計(jì)算機(jī)和終端設(shè)備安全運(yùn)行，維護(hù)健康綠色的網(wǎng)絡(luò)環(huán)境。

目前國(guó)內(nèi)外學(xué)者專(zhuān)家對(duì)于有線(xiàn)互聯(lián)網(wǎng)網(wǎng)絡(luò)加密流量分類(lèi)識(shí)別的研究比較成熟，由于無(wú)線(xiàn)傳輸?shù)慕橘|(zhì)是電磁波，相比于有線(xiàn)傳輸更易受到其他因素的干擾，而且易受相同或相近頻段的無(wú)線(xiàn)電波影響，降低信息傳輸速度。因此無(wú)線(xiàn)通信可能引發(fā)信號(hào)損耗，降低信號(hào)傳遞質(zhì)量，出現(xiàn)數(shù)據(jù)包誤碼和丟包問(wèn)題。而且通常情況下僅能收到單向流量。因此，對(duì)于無(wú)線(xiàn)傳輸條件下網(wǎng)絡(luò)加密流量分類(lèi)識(shí)別的研究相對(duì)困難，研究成果較少。

1 無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)加密流傳輸差異性機(jī)理研究

由于有線(xiàn)網(wǎng)絡(luò)與無(wú)線(xiàn)網(wǎng)絡(luò)的工作頻段、傳輸媒介等條件不同，因此在物理層和數(shù)據(jù)鏈路層具有差異性。但是有線(xiàn)網(wǎng)和無(wú)線(xiàn)網(wǎng)在網(wǎng)絡(luò)層以上都遵循TCP/IP協(xié)議，因此在網(wǎng)絡(luò)層以上不具有差異性。

1.1 物理層相似性與差異性

無(wú)線(xiàn)網(wǎng)絡(luò)和有線(xiàn)網(wǎng)絡(luò)都需要通過(guò)前導(dǎo)碼通知設(shè)備數(shù)據(jù)鏈路層幀的到達(dá)。有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)前導(dǎo)碼結(jié)構(gòu)不同；有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)根據(jù)依據(jù)的標(biāo)準(zhǔn)不同，在物理層使用的技術(shù)也不同。無(wú)線(xiàn)網(wǎng)與有線(xiàn)網(wǎng)在物理層均通過(guò)前導(dǎo)碼(preamble)通知設(shè)備數(shù)據(jù)鏈路層幀的到達(dá)，不同的是無(wú)線(xiàn)網(wǎng)物理層前導(dǎo)碼包含兩個(gè)部分：sync和SFD。其中sync用于發(fā)現(xiàn)信道中是否存在數(shù)據(jù)幀，分為長(zhǎng)和短兩個(gè)部分，一般直接稱(chēng)為長(zhǎng)前導(dǎo)碼和短前導(dǎo)碼。其中長(zhǎng)前導(dǎo)碼是用于大范圍低速模式，短前導(dǎo)碼用于小范圍高速模式；SFD固定為0000 0101 1100 1111，用作幀起始標(biāo)志。對(duì)于有線(xiàn)以太網(wǎng)而言，其前導(dǎo)碼為固定8個(gè)字節(jié)。根據(jù)依據(jù)的標(biāo)準(zhǔn)不同，無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)在物理層使用的技術(shù)也不同。

1.2 數(shù)據(jù)鏈路層相似性與差異性

無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)在數(shù)據(jù)鏈路層層面的差異性主要在于實(shí)現(xiàn)的技術(shù)與流量的傳輸格式。在數(shù)據(jù)鏈路層實(shí)現(xiàn)技術(shù)中，有線(xiàn)網(wǎng)絡(luò)的集線(xiàn)器和中繼器設(shè)計(jì)中采用了CSMA/CD(Carrier Sense Multiple Access with Collision Detection，載波偵聽(tīng)多路訪(fǎng)問(wèn)/沖突檢測(cè))技術(shù)。該技術(shù)早期是用來(lái)解決有線(xiàn)網(wǎng)絡(luò)中，共享介質(zhì)下的多路網(wǎng)絡(luò)接入問(wèn)題，仍然在當(dāng)今的10M/100M半雙工網(wǎng)絡(luò)中使用。在更高的帶寬情況下，比如1 000 M網(wǎng)絡(luò)，則采用全雙工技術(shù)以取代CSMA/CD。無(wú)線(xiàn)網(wǎng)絡(luò)采用CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance，載波偵聽(tīng)多路訪(fǎng)問(wèn)/沖突避免)協(xié)議搭配停止等待協(xié)議。無(wú)線(xiàn)信道的通信質(zhì)量遠(yuǎn)不如有線(xiàn)信道，因此無(wú)線(xiàn)站點(diǎn)每通過(guò)無(wú)線(xiàn)局域網(wǎng)發(fā)送完一幀后，要等到收到對(duì)方的確認(rèn)幀后才能繼續(xù)發(fā)送下一幀。

1.3 其他協(xié)議層次的共同性

無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)差異主要集中在物理層與數(shù)據(jù)鏈路層，在網(wǎng)絡(luò)層以上的層次中，二者并無(wú)區(qū)別，即無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)均使用TCP/IP架構(gòu)中的網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。因此，對(duì)加密流量檢測(cè)、加密流量協(xié)議分類(lèi)和加密流量業(yè)務(wù)識(shí)別，在網(wǎng)絡(luò)層以上的處理均與有線(xiàn)網(wǎng)絡(luò)無(wú)異。檢測(cè)要素則主要需要考慮物理層和數(shù)據(jù)鏈路層中的信息。

2 無(wú)線(xiàn)通信網(wǎng)絡(luò)加密傳輸環(huán)境構(gòu)建

2.1 業(yè)務(wù)環(huán)境構(gòu)建

本文要對(duì)不同業(yè)務(wù)進(jìn)行分類(lèi)識(shí)別，因此需要構(gòu)建出業(yè)務(wù)環(huán)境。目前本文選定了幾種業(yè)務(wù)，分別是文件下載業(yè)務(wù)、網(wǎng)頁(yè)瀏覽業(yè)務(wù)、郵件業(yè)務(wù)、即時(shí)通信業(yè)務(wù)、流媒體業(yè)務(wù)。

本文用兩臺(tái)計(jì)算機(jī)，一臺(tái)作為服務(wù)器，一臺(tái)作為客戶(hù)端，建立了FTP服務(wù)器、郵件服務(wù)器、流媒體服務(wù)器、即時(shí)通信服務(wù)器。本文利用兩臺(tái)計(jì)算機(jī)進(jìn)行FTP文件下載業(yè)務(wù)，網(wǎng)頁(yè)瀏覽業(yè)務(wù)，郵件業(yè)務(wù)，流媒體業(yè)務(wù)，即時(shí)通信業(yè)務(wù)。

圖1 FTP文件下載業(yè)務(wù)

圖2 郵件業(yè)務(wù)

圖3 流媒體業(yè)務(wù)

圖4 即時(shí)通信業(yè)務(wù)

2.2 加密環(huán)境構(gòu)建

本文利用實(shí)驗(yàn)室環(huán)境中的加密衛(wèi)星通信系統(tǒng)，該系統(tǒng)是由一個(gè)主站和若干小站構(gòu)成的，并且在數(shù)據(jù)鏈路層加密。作者利用其主站和兩個(gè)小站，兩個(gè)小站通過(guò)主站進(jìn)行通信，兩個(gè)小站分別連接到計(jì)算機(jī)上即可采集加密數(shù)據(jù)。結(jié)合上節(jié)構(gòu)建的業(yè)務(wù)環(huán)境，就完成了加密傳輸?shù)沫h(huán)境，為后續(xù)加密數(shù)據(jù)采集作鋪墊。

3 無(wú)線(xiàn)網(wǎng)絡(luò)加密數(shù)據(jù)采集

由于加密數(shù)據(jù)的隱私性及衛(wèi)星通信系統(tǒng)的特殊性，目前沒(méi)有公開(kāi)的數(shù)據(jù)集，所以本文利用前文構(gòu)建的加密環(huán)境和業(yè)務(wù)環(huán)境進(jìn)行加密數(shù)據(jù)的采集。

1)文件下載業(yè)務(wù)：

文件傳輸業(yè)務(wù)主要基于文件傳輸協(xié)議FTP(file transfer protocol)，它是由TCP/IP提供的用于從一個(gè)主機(jī)往另一個(gè)主機(jī)復(fù)制文件的標(biāo)準(zhǔn)機(jī)制。FTP是在兩個(gè)主機(jī)之間穿件了兩條連接，一條用于文件傳輸(通常端口20)，另一條用于控制信息(通常端口21)。在整個(gè)FTP回話(huà)期間，控制連接端口都是開(kāi)放的，用于在客戶(hù)端和服務(wù)器之間發(fā)送控制信息和客戶(hù)端命令。數(shù)據(jù)連接使用的是臨時(shí)端口來(lái)創(chuàng)建的。每當(dāng)有文件要在客戶(hù)端和服務(wù)器之間傳輸時(shí)，就創(chuàng)建一個(gè)數(shù)據(jù)連接。FTP要求客戶(hù)端在請(qǐng)求文件傳輸之前，發(fā)送登錄名和密碼給服務(wù)器，來(lái)驗(yàn)證自己。本文利用前文構(gòu)建的業(yè)務(wù)模型中的FTP服務(wù)，配置好FTP服務(wù)器并設(shè)置好目錄及文件，用另一臺(tái)客戶(hù)端訪(fǎng)問(wèn)FTP服務(wù)器地址，然后登陸FTP服務(wù)，訪(fǎng)問(wèn)目錄并進(jìn)行文件下載，并在登錄服務(wù)的同時(shí)采集數(shù)據(jù)。采集幾組相同文件下載的數(shù)據(jù)和幾組不同文件下載的數(shù)據(jù)來(lái)做對(duì)比。

2)電子郵件業(yè)務(wù)：

郵件業(yè)務(wù)主要基于簡(jiǎn)單郵件傳輸協(xié)議SMTP(simple mail transfer protocol)，它是一種用于從一個(gè)服務(wù)器往另一個(gè)服務(wù)器傳輸?shù)腅-mail協(xié)議。SMTP的特征包括郵件列表、回復(fù)接收和轉(zhuǎn)發(fā)。SMTP可以接收輸入的消息，并利用TCP把它發(fā)送給另一個(gè)服務(wù)器上的SMTP。SMTP的作用是利用本地電子郵件數(shù)據(jù)包把輸入消息存儲(chǔ)在用戶(hù)的收件箱中。一旦SMTP服務(wù)器標(biāo)志出了接收者的E-mail服務(wù)器的IP地址，就將通過(guò)標(biāo)準(zhǔn)的TCP/IP路由過(guò)程發(fā)送消息。本文利用構(gòu)建好的電子郵件服務(wù)，分別在連接到兩個(gè)小站的計(jì)算機(jī)上登錄配置好的郵件賬號(hào)，開(kāi)啟數(shù)據(jù)采集設(shè)備，兩個(gè)賬戶(hù)之間互相發(fā)文字信息，互相傳送附件并下載。

3)流媒體業(yè)務(wù)：

流媒體業(yè)務(wù)主要基于實(shí)時(shí)傳輸協(xié)議RTP(Real-time transport protocol),它用來(lái)為網(wǎng)絡(luò)上的語(yǔ)音、圖像、傳真等多種需要實(shí)時(shí)傳輸?shù)亩嗝襟w數(shù)據(jù)提供端到端的實(shí)時(shí)傳輸服務(wù)。RTP既不需要實(shí)現(xiàn)建立連接，也不需要中間節(jié)點(diǎn)的參與。在網(wǎng)絡(luò)帶寬充足的情況下，RTP具有一定的帶寬調(diào)控能力，保證端到端的多媒體流同步。在網(wǎng)絡(luò)帶寬不足時(shí)，RTP的帶寬調(diào)控能力將受到一定的限制。本文利用構(gòu)建好的流媒體服務(wù)器VLC，在服務(wù)器端配置好串流視頻屬性，在客戶(hù)端配置好串流地址，開(kāi)始進(jìn)行數(shù)據(jù)采集。采集幾組同樣視頻的數(shù)據(jù)和不同視頻的數(shù)據(jù)來(lái)作對(duì)比。

4)即時(shí)通信業(yè)務(wù)：

即時(shí)通信業(yè)務(wù)主要是為用戶(hù)提供即時(shí)消息，語(yǔ)音，視頻，文件傳輸?shù)榷鄻踊?wù)。即時(shí)通信業(yè)務(wù)是一種基于Internet的通信技術(shù)，涉及到IP/TCP /UDP等多種技術(shù)手段。無(wú)論即時(shí)通信系統(tǒng)的功能多么復(fù)雜，它們大都基于相同的技術(shù)原理，主要包括客戶(hù)/服務(wù)器(C/S)和對(duì)等通信(P2P)模式。本文利用FeiQ在兩臺(tái)計(jì)算機(jī)之間進(jìn)行通信，采集文字、圖片等消息的發(fā)送接收和文件的傳送等數(shù)據(jù)。

4 無(wú)線(xiàn)通信網(wǎng)絡(luò)分層加密數(shù)據(jù)的特征選擇及提取

4.1 無(wú)線(xiàn)網(wǎng)絡(luò)分層加密數(shù)據(jù)特征差異性研究

1)無(wú)線(xiàn)加密流量物理層與數(shù)據(jù)鏈路層特征：

無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)的主要差異在物理層和數(shù)據(jù)鏈路層中，因此本文對(duì)于無(wú)線(xiàn)加密流量進(jìn)行特征提取的研究點(diǎn)也主要集中在物理層和數(shù)據(jù)鏈路層的協(xié)議特征提取中。

相較于有線(xiàn)信道，無(wú)線(xiàn)信道為了保證數(shù)據(jù)傳輸?shù)陌踩?，有些情況在數(shù)據(jù)鏈路層就進(jìn)行了加密處理。但是，與TLS等安全傳輸層加密協(xié)議類(lèi)似，無(wú)線(xiàn)網(wǎng)絡(luò)兩個(gè)通信節(jié)點(diǎn)建立連接時(shí)，經(jīng)歷了802.11相互發(fā)現(xiàn)過(guò)程、802.1X認(rèn)證過(guò)程和4次握手過(guò)程，這些過(guò)程中會(huì)包含大量的伴生明文信息。而在正常通信過(guò)程中數(shù)據(jù)鏈路層中還存在一些未被加密的數(shù)據(jù)幀字段，這均可以作為無(wú)線(xiàn)加密流量的特征進(jìn)行識(shí)別。由于這種加密通信大部分情況下需要手動(dòng)進(jìn)行配置(例如在路由器設(shè)置中手動(dòng)開(kāi)啟使用WPA2)，這也有可能導(dǎo)致無(wú)線(xiàn)信道中可能存在未經(jīng)加密的報(bào)文，靈活運(yùn)用這些未被加密的報(bào)文，可以較為方便的對(duì)網(wǎng)絡(luò)層及以上的特征進(jìn)行提取。

2)無(wú)線(xiàn)加密流量的網(wǎng)絡(luò)層與傳輸層特征：

由于無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)在網(wǎng)絡(luò)層及以上并無(wú)明顯差異，因此，在可以完整提取到網(wǎng)絡(luò)層及以上報(bào)文的前提條件下，無(wú)線(xiàn)網(wǎng)絡(luò)與有線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)層與傳輸層特征并無(wú)太大差異。但是，如果使用TCP協(xié)議作為傳輸層協(xié)議以實(shí)現(xiàn)數(shù)據(jù)的嚴(yán)格按序傳輸，相較于有線(xiàn)網(wǎng)絡(luò)，無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境將面臨三點(diǎn)主要的問(wèn)題：1)由于信號(hào)衰減等多種問(wèn)題，無(wú)線(xiàn)信道的丟包率明顯較高；2)無(wú)線(xiàn)信道是不對(duì)稱(chēng)的，主要體現(xiàn)在帶寬不對(duì)稱(chēng)、丟包率不對(duì)稱(chēng)與路由不對(duì)稱(chēng)3個(gè)方面，這將導(dǎo)致測(cè)量結(jié)果產(chǎn)生偏差，進(jìn)而無(wú)法正確設(shè)置TCP重傳定時(shí)器的超時(shí)時(shí)間；3)由于通信范圍的有限，無(wú)線(xiàn)網(wǎng)絡(luò)存在隱患終端和暴露終端問(wèn)題，這將導(dǎo)致時(shí)隙資源的無(wú)序爭(zhēng)用，增加了報(bào)文碰撞的概率，進(jìn)而增大了數(shù)據(jù)傳輸時(shí)延，嚴(yán)重影響網(wǎng)絡(luò)的吞吐量。因此無(wú)線(xiàn)網(wǎng)絡(luò)中存在比有線(xiàn)網(wǎng)絡(luò)更多的重傳報(bào)文，在對(duì)會(huì)話(huà)進(jìn)行特征提取時(shí)需要對(duì)這些情況進(jìn)行特別的識(shí)別與處理。

4.2 特征選擇與提取方法研究

為了進(jìn)行識(shí)別與分析，需要對(duì)無(wú)線(xiàn)加密流量的特征進(jìn)行提取，本論文擬通過(guò)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)流量進(jìn)行分析，歸納出無(wú)線(xiàn)加密流量的特征池，為后續(xù)的研究奠定基礎(chǔ)。

從無(wú)線(xiàn)信道中抓取到的數(shù)據(jù)幀有可能從數(shù)據(jù)鏈路層開(kāi)始就已經(jīng)得到加密處理，這樣將無(wú)法正常對(duì)網(wǎng)絡(luò)層及以上的特征進(jìn)行獲取，這對(duì)加密流量識(shí)別產(chǎn)生了很大困擾。因此相較于有線(xiàn)網(wǎng)絡(luò)加密流量識(shí)別特征提取主要提取網(wǎng)絡(luò)層及以上特征，針對(duì)無(wú)線(xiàn)加密流量的特征提取來(lái)源更加廣泛。

由于有些無(wú)線(xiàn)通信系統(tǒng)物理層就是加密的，所以無(wú)法提取到上層的特征，必須對(duì)物理層的特征進(jìn)行分析。通過(guò)對(duì)采集的大量數(shù)據(jù)的十六進(jìn)制數(shù)據(jù)流進(jìn)行分析，可以通過(guò)不加密的幀頭分離出業(yè)務(wù)幀與控制幀。

圖5是對(duì)文件下載業(yè)務(wù)的幀長(zhǎng)統(tǒng)計(jì)，文件下載業(yè)務(wù)主要分為兩部分完成，包括FTP的登錄和文件的傳輸，F(xiàn)TP登錄時(shí)客戶(hù)端請(qǐng)求訪(fǎng)問(wèn)需要將自己的登錄名和密碼發(fā)送給服務(wù)器來(lái)驗(yàn)證。從圖中可以看出，0～50幀左右?guī)L(zhǎng)度在100～600字節(jié)小幅波動(dòng)，此時(shí)為FTP的登錄過(guò)程；在后續(xù)50～1 700幀為文件的傳輸過(guò)程，可以看出此時(shí)幀長(zhǎng)度基本可以保持在最大值1 500字節(jié)，并且比較穩(wěn)定。

圖5 文件下載業(yè)務(wù)幀長(zhǎng)統(tǒng)計(jì)

圖6是對(duì)流媒體業(yè)務(wù)的幀長(zhǎng)統(tǒng)計(jì)，從圖中可以看出，流媒體業(yè)務(wù)的幀長(zhǎng)波動(dòng)范圍很大，從100～1 500字節(jié)均有分布，但是基本都在200字節(jié)以上由圖可知，流媒體業(yè)務(wù)的幀長(zhǎng)度波動(dòng)幅度很大，最大幀長(zhǎng)度可達(dá)到1 500字節(jié)?？梢钥闯隽髅襟w業(yè)務(wù)幀長(zhǎng)波動(dòng)幅度較大，最大幀長(zhǎng)可達(dá)到1 525字節(jié)。

圖6 流媒體業(yè)務(wù)幀長(zhǎng)統(tǒng)計(jì)

圖7是對(duì)郵件業(yè)務(wù)的幀長(zhǎng)統(tǒng)計(jì)，從圖中可以看出，在0～30幀左右?guī)L(zhǎng)在100～600字節(jié)波動(dòng)，在30～120幀左右在100字節(jié)左右波動(dòng)較小，在120～1 800幀左右在100～1 500字節(jié)波動(dòng)但1 500字節(jié)占很大比例。通過(guò)分析發(fā)現(xiàn)，在0～30幀左右為郵件的登錄過(guò)程，在30～120幀左右為郵件發(fā)送文字業(yè)務(wù)，在120～1 800幀左右為郵件發(fā)送附件的業(yè)務(wù)，此時(shí)和文件下載業(yè)務(wù)類(lèi)似。

圖7 郵件業(yè)務(wù)幀長(zhǎng)統(tǒng)計(jì)

圖8是對(duì)即時(shí)通信業(yè)務(wù)的幀長(zhǎng)統(tǒng)計(jì)，從圖中可以看出，在0～20幀左右?guī)L(zhǎng)為100字節(jié)左右，可能為通信雙方交互過(guò)程；在20～30幀左右有一個(gè)較大值，可達(dá)到1500字節(jié)；在30～100幀基本維持在100字節(jié)左右，可能是保持通信的數(shù)據(jù)幀；在100～150幀有一段1 500字節(jié)的峰值，可能是消息通信；在150～350幀也有一段1 500字節(jié)的數(shù)據(jù)幀，可能是消息通信或者文件傳輸；在560～860幀有比較多的1 500字節(jié)的數(shù)據(jù)幀，可能是文件傳輸過(guò)程。

圖8 即時(shí)通信業(yè)務(wù)幀長(zhǎng)統(tǒng)計(jì)

5 無(wú)線(xiàn)網(wǎng)絡(luò)加密流業(yè)務(wù)分類(lèi)

5.1 算法介紹

本論文利用K-means算法進(jìn)行特征分類(lèi)，該算法核心是通過(guò)設(shè)定參數(shù)作為個(gè)子集的中心點(diǎn)，將計(jì)算數(shù)據(jù)集中的點(diǎn)與中心點(diǎn)的相似性，將點(diǎn)歸入相似性最高的子集中，然后在每個(gè)子集中計(jì)算均值選擇中心點(diǎn)，重復(fù)以上步驟直至中心點(diǎn)不再變化。其中計(jì)算相似性使用最小化平方差來(lái)計(jì)算：

(1)

其中：E為數(shù)據(jù)集中所有點(diǎn)之間的均方差之和，xj為隨機(jī)選擇的數(shù)據(jù)集中非本輪中心點(diǎn)的某一點(diǎn)，cj為本輪選擇的中心點(diǎn)，K-means 算法是基于參數(shù)K預(yù)先設(shè)定，并且受包含與正常值差異較大的噪聲數(shù)據(jù)影響較大，算法的具體步驟如下：

輸入：聚類(lèi)個(gè)數(shù)K和具有n個(gè)對(duì)象的數(shù)據(jù)集。

輸出：K個(gè)聚類(lèi)中心點(diǎn)及其對(duì)象。

1)在包含n個(gè)對(duì)象的數(shù)據(jù)集中隨機(jī)選取K個(gè)對(duì)象作為中心點(diǎn)；

2)計(jì)算與中心點(diǎn)的距離，將數(shù)據(jù)集中剩余數(shù)據(jù)對(duì)象聚到與之距離最小的中心點(diǎn)的類(lèi)簇中；

3)在每個(gè)類(lèi)簇中重新計(jì)算得到n個(gè)中心點(diǎn)；

4)重復(fù)步驟2)和3)直至中心點(diǎn)不再發(fā)生變化；

5)輸出結(jié)果。

5.2 業(yè)務(wù)分類(lèi)結(jié)果及分析

本文利用前文構(gòu)建的加密傳輸環(huán)境得到的加密數(shù)據(jù)，結(jié)合上文提取的特征和方法，對(duì)文件下載業(yè)務(wù)、即時(shí)通信業(yè)務(wù)、流媒體業(yè)務(wù)和郵件業(yè)務(wù)進(jìn)行分類(lèi)識(shí)別，得到的結(jié)果如圖9所示?？梢钥闯觯糠N業(yè)務(wù)的分類(lèi)識(shí)別率都在85%以上。

圖9 業(yè)務(wù)分類(lèi)識(shí)別率

現(xiàn)有針對(duì)網(wǎng)絡(luò)加密流量分類(lèi)識(shí)別的研究主要是研究網(wǎng)絡(luò)層及以上加密數(shù)據(jù)，本文研究的是數(shù)據(jù)鏈路層加密數(shù)據(jù)。通過(guò)對(duì)4種業(yè)務(wù)的加密流量分類(lèi)結(jié)果分析得出，本文提出的無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)鏈路層加密流量特征也可以對(duì)業(yè)務(wù)進(jìn)行分類(lèi)，并且由于加密層次在數(shù)據(jù)鏈路層，對(duì)于數(shù)據(jù)的要求更加廣泛，適用范圍更廣。但是加密層次低帶來(lái)的一個(gè)問(wèn)題是數(shù)據(jù)中包含的信息相對(duì)于網(wǎng)絡(luò)層及以上包含的信息較少，由此帶來(lái)對(duì)于某些業(yè)務(wù)例如即時(shí)通信業(yè)務(wù)的某些特征會(huì)與其他業(yè)務(wù)的相似性較大造成識(shí)別率相對(duì)較低。本文進(jìn)一步的研究方向是對(duì)流量特征進(jìn)行更深層次的挖掘以尋找更多可用于分類(lèi)的特征。

6 結(jié)束語(yǔ)

目前國(guó)內(nèi)外學(xué)術(shù)界對(duì)專(zhuān)門(mén)無(wú)線(xiàn)通信網(wǎng)絡(luò)加密流的測(cè)量與識(shí)別還是一片空白，其主要研究著眼于無(wú)線(xiàn)通信網(wǎng)絡(luò)加密技術(shù)、無(wú)線(xiàn)網(wǎng)絡(luò)測(cè)量技術(shù)和非網(wǎng)絡(luò)環(huán)境相關(guān)的加密流量識(shí)別技術(shù)。國(guó)內(nèi)除近幾年興起的加密流量識(shí)別與分析領(lǐng)域的研究外，其他領(lǐng)域的研究相較于國(guó)外而言相對(duì)落后。因此，國(guó)內(nèi)亟需對(duì)無(wú)線(xiàn)通信加密網(wǎng)絡(luò)的安全通信進(jìn)行研究，而無(wú)線(xiàn)通信網(wǎng)絡(luò)加密流的測(cè)量與識(shí)別則可以為未來(lái)無(wú)線(xiàn)通信加密網(wǎng)絡(luò)的安全通信奠定基礎(chǔ)。

本文創(chuàng)新性地面向無(wú)線(xiàn)通信數(shù)據(jù)準(zhǔn)確識(shí)別的需求，考慮到實(shí)際無(wú)線(xiàn)通信網(wǎng)絡(luò)環(huán)境中存在的問(wèn)題，研究針對(duì)無(wú)線(xiàn)通信網(wǎng)絡(luò)加密流的測(cè)量與識(shí)別技術(shù)，突破目前國(guó)內(nèi)在無(wú)線(xiàn)通信網(wǎng)絡(luò)加密流測(cè)量與分析領(lǐng)域的空白，打破國(guó)際在該領(lǐng)域的技術(shù)壟斷，實(shí)現(xiàn)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的有效監(jiān)管，并反哺推動(dòng)無(wú)線(xiàn)通信加密技術(shù)的發(fā)展，保障我國(guó)未來(lái)無(wú)線(xiàn)網(wǎng)絡(luò)通信的安全，為國(guó)家網(wǎng)絡(luò)安全保駕護(hù)航。