Skip to main content
SUPERVISOR
Ali Fanian,Mehdi Berenjkob
علی فانیان (استاد مشاور) مهدی برنج کوب (استاد راهنما)
 
STUDENT
Farzane Karami
فرزانه کرمی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1392

TITLE

Hybrid p2p traffic classification
Internet traffic classification plays an important role in the different aspects of network management such as balancing bandwidth, assuring Quality of Service (QoS) and implementing billing mechanisms. Nowadays detection and classification of P2P traffic is an important concern of I and network administrators. The P2P applications are growing widely and they act greedy, consuming bandwidth as much as they can.The P2P host can easily share its content for other peers so it makes additional traffic in its LAN. Sharing and distributing the contents, makes peers near to each other however causes viruses and threats disseminate rapidly. It is important to restrict the P2P traffic for security policies. The P2P protocols use obfuscation methods to hide their traffic from filters and pass firewalls. These protocols use encryption, random ports and make detection more difficult. The encryption makes content of payload inaccessible and causes the content-based approaches will be ineffective. New methods which do not employ deep packet iection, are suitable for detecting encrypted protocols. They use information of headers in third and fourth layers which are feasible but not encrypted. Packet size and inter-arrival time between packets of flow, are the two important information of those headers. The obfuscation can also happen in the header information by means of changing and padding more bytes to packets. The combination of approaches is more effective, since Relying on only one method can not handle payload and header obfuscations. The combination of methods which uses information of payload and header of packets, is called hybrid method. In this thesis the hybrid method is used to classify encrypted protocols. In this classification, the content-based method is combined with the method which uses the header information. By using these two methods obfuscated protocols are detected with high accuracy. In this approach the part of content-based classifier measures the randomness of data in payloads of packets. For measuring the randomness, two techniques are implemented and the new one which is proposed in this thesis is more accurate than the other. After comparing the two new techniques the header information is added to the features so the hybrid classification is implemented Key Words:Internet traffic classification, statistical features, hybrid method, machine learning
دسته‌بندی ترافیک شبکه در زمینه‌های بسیاری از جمله برنامه‌ریزی شبکه، مدیریت ترافیک و اعمال سیاست‌های مفروض، اولویت‌دهی برنامه‌های کاربردی مختلف جهت کیفیت سرویس، صدور صورت‌حساب و کنترل امنیت ضروری است. منظور از دسته‌بندی ترافیک، شناسایی برنامه‌های کاربردی مختلف تولیدکننده‌ی داده‌های عبوری در شبکه با مشاهده‌ی مستقیم یا غیرفعال بسته‌ها می‌باشد. این موضوع در طی 10 سال اخیر بسیار مورد توجه بوده و تکنیک‌های بسیاری تا به امروز پیشنهاد و تحقیق شده است. همچنان که تحقیقات جهت بهبود دقت و کارایی سیستم‌های دسته‌بند در تلاش هستند، بسیاری از برنامه‌های کاربردی با پنهان‌سازی ماهیت خود، دسته‌بندها و فیلترها را دور می‌زنند. در واقع اکثر اوقات کاربران بدخواه رفتار خود را در ترافیک رمز شده یا تونل شده پنهان می‌کنند، به همین سبب دسته‌بندی ترافیک یکی از موضوعات باز برای تحقیق در زمینه شبکه است. تکنیکی که برای دسته‌بندی اتخاذ می‌شود باید مناسب برای خطوط پرسرعت امروزی و پاسخگو حتی در شرایط خاص، زمانی که با تکنیک‌های ضد شناسایی (رمز ترافیک و تغییر ویژگی‌های آماری آن) ترافیک را مبهم می‌سازند نیز باشد. سیستم دسته‌بند باید علاوه بر سریع بودن دقت بالای خود را حفظ کند و قابلیت تنظیم و گسترش بر حسب شرایط با هزینه کم را داشته باشد. در این پایان‌نامه روش ترکیبی که شامل دو دسته‌بند مبتنی بر محتوا و مبتنی بر ویژگی‌های جریان است، برای دسته‌بندی پروتکل‌های P2P معرفی و پیاده‌سازی شده است. طبق نتایج پیاده‌سازی، دسته‌بند ترکیبی نسبت به دسته‌بند مبتنی بر محتوا بهتر عمل می‌کند. در این پایان‌نامه در دسته‌بند مبتنی بر محتوا تکنیک آماری جدیدی استفاده شده و نتایج دسته‌بند مبتنی بر روش آماری جدید، با مقاله‌ی مرتبط مقایسه شده است. با پیاده‌سازی تکنیک جدید و تکنیک به‌کار رفته در مقاله، روش آماری جدید بهتر عمل می‌کند زیرا به کمک روش آماری جدید، امضاهای دقیق‌تری از پروتکل‌ها استخراج شده و دقت دسته‌بند افزایش می‌یابد. پس از طراحی دسته‌بند مبتنی بر محتوا، ویژگی‌های جریان به مجموعه‌ی ویژگی‌ها اضافه شده و طبق نتایج دقت دسته‌بند افزایش می‌یابد. کلمات کلیدی : دسته‌بندی ترافیک، ویژگی‌های آماری، روش‌های ترکیبی، یادگیری ماشین.

ارتقاء امنیت وب با وف بومی