基于XAI實(shí)現(xiàn)的應(yīng)用識(shí)別及分類(lèi)的方法

陳 暉，唐 勇

CHEN Hui1, TANG Yong2

（1. 四川大學(xué) 電氣信息學(xué)院，成都 610065；2. 中科院 成都計(jì)算機(jī)應(yīng)用技術(shù)研究所，成都 610041）

0 引言

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，給網(wǎng)絡(luò)的安全管理帶來(lái)了許多新的問(wèn)題。一些新的更復(fù)雜的安全風(fēng)險(xiǎn)隱藏在各個(gè)應(yīng)用中，與應(yīng)用密不可分。譬如，基于Web服務(wù)的安全漏洞及利用這些漏洞的攻擊越來(lái)越多。一些未受控的應(yīng)用，占用正常應(yīng)用帶寬，如在企業(yè)網(wǎng)中，基于P2P的下載、娛樂(lè)占用大量的帶寬。如何針對(duì)這些問(wèn)題進(jìn)行應(yīng)用管理的基礎(chǔ)在于應(yīng)用識(shí)別及分類(lèi)。

應(yīng)用識(shí)別及分類(lèi)的關(guān)鍵技術(shù)是協(xié)議識(shí)別，協(xié)議識(shí)別方法主要有基于IP/端口識(shí)別技術(shù)、基于行為模式識(shí)別技術(shù)、基于統(tǒng)計(jì)信息識(shí)別技術(shù)和基于DPI（深度包檢測(cè)）識(shí)別技術(shù)。

基于IP/端口識(shí)別技術(shù)利用的是某些軟件使用固定端口及服務(wù)器IP可窮舉的特點(diǎn)，人工統(tǒng)計(jì)IP/端口信息，一旦發(fā)現(xiàn)有連接匹配信息就能夠識(shí)別出相應(yīng)的應(yīng)用。由于該基于IP/端口識(shí)別模式使用的IP/端口特征碼本身就是用于描述連接信息，因此IP/端口識(shí)別技術(shù)不具備連接內(nèi)進(jìn)一步分析的能力，進(jìn)而不適用于連接重用情況。

基于行為模式識(shí)別技術(shù)和基于統(tǒng)計(jì)信息識(shí)別技術(shù)利用的是某些網(wǎng)絡(luò)軟件和用戶行為的特定規(guī)律進(jìn)行識(shí)別，不具有通用性且識(shí)別精度也很難滿足商業(yè)化需求。且基于行為模式識(shí)別技術(shù)和基于統(tǒng)計(jì)信息識(shí)別技術(shù)的控制策略都是基于網(wǎng)絡(luò)節(jié)點(diǎn)或連接，因此即使這兩種識(shí)別技術(shù)能夠識(shí)別單連接上的多種用戶行為也無(wú)法通過(guò)制定策略進(jìn)行區(qū)別控制。

基于DPI識(shí)別技術(shù)利用數(shù)據(jù)包載荷的固定特征進(jìn)行識(shí)別，識(shí)別結(jié)果精確可靠。但是DPI本身存在效率低下的缺點(diǎn)，而且策略控制上同樣存在困難。

目前傳統(tǒng)協(xié)議識(shí)別技術(shù)大多受到連接的限制，能夠識(shí)別出連接使用的協(xié)議，卻無(wú)法進(jìn)一步識(shí)別連接內(nèi)的信息。對(duì)于一條連接只對(duì)應(yīng)一種行為來(lái)說(shuō)，用戶行為能夠通過(guò)識(shí)別一條或多條連接來(lái)確定。對(duì)于一條連接對(duì)應(yīng)多種行為（連接重用），由于連接重用可以隱匿用戶的網(wǎng)絡(luò)行為，僅僅通過(guò)識(shí)別連接使用的協(xié)議是無(wú)法確定用戶正在進(jìn)行的真實(shí)操作。如何在連接重用的情況下有效地區(qū)分其中的合法行為與非法行為，提升原有系統(tǒng)的應(yīng)用協(xié)議識(shí)別及應(yīng)用分類(lèi)的精準(zhǔn)度，是網(wǎng)絡(luò)行為分析的重要目的與重大難點(diǎn)。

針對(duì)以上問(wèn)題，本文提供了一種高效的識(shí)別同一連接中不同用戶行為的方法，從而做到有效控制非法行為。

1 XAI技術(shù)

XAI全稱(chēng)Extensive Application Inspection，拓展應(yīng)用識(shí)別技術(shù)。XAI技術(shù)是在DPI技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的，它繼承了傳統(tǒng)DPI的所有功能，并在此基礎(chǔ)上更進(jìn)一步，將應(yīng)用層識(shí)別的范疇進(jìn)行了擴(kuò)展，將網(wǎng)絡(luò)流量中的更多的信息挖掘出來(lái)，提供了深層應(yīng)用信息識(shí)別、攻擊/威脅識(shí)別、拓?fù)渥R(shí)別等更加豐富和強(qiáng)大應(yīng)用層識(shí)別能力。從而使產(chǎn)品能夠進(jìn)行更精細(xì)的分析、管理、保障和統(tǒng)計(jì)。

XAI技術(shù)針對(duì)DPI技術(shù)從兩個(gè)方面進(jìn)行優(yōu)化和改進(jìn)。

通過(guò)XAI技術(shù)，可以從相同的網(wǎng)絡(luò)流量中挖掘出更深層次的信息和更豐富的數(shù)據(jù)，更好地為客戶創(chuàng)造價(jià)值。

具體來(lái)說(shuō)，XAI技術(shù)可以提供以下四個(gè)方面的信息。

1) 應(yīng)用識(shí)別

XAI技術(shù)不僅繼承了傳統(tǒng)DPI所支持的所有識(shí)別技術(shù)，包括報(bào)文特征識(shí)別和流特征識(shí)別等，而且在許多方面更進(jìn)一步，使得XAI技術(shù)的識(shí)別準(zhǔn)確度更高，識(shí)別能力更強(qiáng)。

2) 深層應(yīng)用信息識(shí)別

XAI技術(shù)能夠在應(yīng)用識(shí)別基礎(chǔ)之上，進(jìn)一步識(shí)別內(nèi)容層次和行為層次的描述信息，比如：HTTP瀏覽的具體行為，IM的帳號(hào)信息、聊天行為等；這就使產(chǎn)品不僅能針對(duì)應(yīng)用，而且能更進(jìn)一步針對(duì)深層應(yīng)用信息進(jìn)行分析、管理、保障和優(yōu)化。

3) 攻擊/威脅識(shí)別

XAI技術(shù)可從應(yīng)用流量中識(shí)別網(wǎng)絡(luò)中的非法入侵和惡意腳本（惡意腳本，惡意郵件，惡意插件等），為網(wǎng)絡(luò)安全保障提供預(yù)警和管理。

4) 拓?fù)渥R(shí)別

XAI 技術(shù)可以識(shí)別流量的位置信息，比如移動(dòng)網(wǎng)絡(luò)的蜂窩、WLAN 節(jié)點(diǎn)等，為運(yùn)營(yíng)商或IT管理部門(mén)提供分區(qū)域監(jiān)控和管理能力。

XAI技術(shù)通過(guò)四川電力在各產(chǎn)品線，對(duì)從企業(yè)網(wǎng)到運(yùn)營(yíng)商網(wǎng)絡(luò)，從寬帶互聯(lián)網(wǎng)到移動(dòng)互聯(lián)網(wǎng)、WLAN的應(yīng)用層管理提供了全方位的技術(shù)支持。通過(guò)XAI技術(shù)提供的更細(xì)致和更豐富的信息，可以進(jìn)行更細(xì)粒度和更具差異化的策略控制，更好地為客戶提供以下價(jià)值。

1) 基于應(yīng)用協(xié)議以及應(yīng)用內(nèi)容、應(yīng)用行為等深層次應(yīng)用信息的分析、管理、保障和優(yōu)化；

2) 基于應(yīng)用流量的攻擊/威脅識(shí)別，更好地防止網(wǎng)絡(luò)入侵，為網(wǎng)絡(luò)安全保障提供預(yù)警和管理；

3) 基于應(yīng)用內(nèi)容識(shí)別，提供數(shù)據(jù)防護(hù)、關(guān)鍵帳號(hào)安全防護(hù)的能力；

4) 基于應(yīng)用行為的識(shí)別，提供對(duì)應(yīng)用行為的控制能力，防止非業(yè)務(wù)應(yīng)用和非法應(yīng)用，提高工作效率；

5) 基于對(duì)應(yīng)用內(nèi)容的識(shí)別，提供應(yīng)用層防泄密、控制關(guān)鍵文件資料的外發(fā)的能力；

6) 基于應(yīng)用流量的拓?fù)渥R(shí)別，提供對(duì)應(yīng)用流量進(jìn)行分區(qū)域控制的能力。

2 針對(duì)共享類(lèi)應(yīng)用的細(xì)分識(shí)別

現(xiàn)在互聯(lián)網(wǎng)主要的工作在TCP和UDP協(xié)議上，這兩種協(xié)議的基礎(chǔ)就是網(wǎng)絡(luò)連接。只有用戶和服務(wù)提供者建立了連接，才能獲取網(wǎng)絡(luò)服務(wù)和信息。而連接是由一系列數(shù)據(jù)包構(gòu)成的。在以往DPI的設(shè)計(jì)邏輯中，通常假設(shè)在單一連接上傳遞的數(shù)據(jù)包都是用于同一用途的。比如，一條P2P連接全部由P2P數(shù)據(jù)包構(gòu)成。

但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，很多網(wǎng)站開(kāi)始嘗試使用連接復(fù)用的方式提供服務(wù)，即在一條連接上提供不同種類(lèi)、不同功能的數(shù)據(jù)包。并且由于分類(lèi)的細(xì)化，很多場(chǎng)景下用戶希望知道更為具體的行為，即使這些行為數(shù)據(jù)包位于同一連接上。在這種情況下，單一的連接識(shí)別方式在很多情況下已經(jīng)不能滿足用戶的需要，需要對(duì)每個(gè)特定的數(shù)據(jù)包進(jìn)行分析。在這種情況下，我們?cè)O(shè)計(jì)了基于數(shù)據(jù)包細(xì)分的新分類(lèi)模式，對(duì)每個(gè)數(shù)據(jù)包進(jìn)行分析。當(dāng)然，數(shù)據(jù)包仍然不能游離與連接之外，因此這種新模式也充分利用了已有的基于連接的分類(lèi)模式。用戶可以通過(guò)特征庫(kù)配置的方式為每條連接在這兩種模式間自由切換。

新模式的工作原理如下：首先定義一組起點(diǎn)特征，這些特征和以前的連接特征一樣，但是在匹配后，它們將激活新分類(lèi)模式、為連接設(shè)置基礎(chǔ)特征、選擇后續(xù)數(shù)據(jù)包需要使用的細(xì)分特征庫(kù)。連接的基礎(chǔ)特征是連接的一種屬性，一般是一種能夠涵蓋該連接所有可能性的特征，比如視頻、游戲、P2P，或者服務(wù)提供商的信息，比如某網(wǎng)站或者某游戲。基礎(chǔ)特征可以保存連接的基本屬性，如果后續(xù)數(shù)據(jù)包無(wú)法分類(lèi)，我們?nèi)匀豢梢詾閷徲?jì)模塊提供一個(gè)基礎(chǔ)的分類(lèi)結(jié)果。同時(shí)，也可以定義一組結(jié)束特征，這組特征可以停止基于數(shù)據(jù)包的分類(lèi)，一般用在性質(zhì)比較強(qiáng)的數(shù)據(jù)包類(lèi)型上，比如木馬、違法內(nèi)容，也可以使用用戶下線等關(guān)鍵節(jié)點(diǎn)。圖解如圖1所示。

下面舉例說(shuō)明：假設(shè)有一條連接，分別提供A、B、C三種視頻服務(wù)，在DPI的基于連接模式下，這條連接會(huì)被表示為第一個(gè)看的的特征，假設(shè)為A。然后假定這條連接都提供的是A這種視頻服務(wù)，停止分析。或者是給這條連接賦上高一級(jí)的特征，即視頻。都無(wú)法具體分類(lèi)出出現(xiàn)的視頻服務(wù)種類(lèi)。在新的框架下，當(dāng)XAI引擎發(fā)現(xiàn)連接中出現(xiàn)A服務(wù)（假設(shè)為起點(diǎn)特征）時(shí)，如果在配置里面指定了這種服務(wù)，引擎會(huì)馬上切換到基于數(shù)據(jù)包的細(xì)分模式，同時(shí)把這條連接標(biāo)識(shí)成為視頻服務(wù)，繼續(xù)分析后續(xù)數(shù)據(jù)包。后續(xù)的數(shù)據(jù)包將只使用視頻的特征進(jìn)行分析，當(dāng)發(fā)現(xiàn)服務(wù)B時(shí)，連接上會(huì)記錄服務(wù)B出現(xiàn)，同時(shí)把該數(shù)據(jù)包表示為服務(wù)B，送往統(tǒng)計(jì)、控制或者日志模塊。如果在后續(xù)數(shù)據(jù)包中未發(fā)現(xiàn)A、B、C任何一種服務(wù)，數(shù)據(jù)包會(huì)讀取連接的基礎(chǔ)特征，這種情況下為視頻，以避免審計(jì)模塊出現(xiàn)漏審。如果我們?cè)O(shè)置了結(jié)束特征，比如服務(wù)C，那么當(dāng)發(fā)現(xiàn)服務(wù)C的存在時(shí)，引擎切換回基于連接的分類(lèi)方式，后續(xù)數(shù)據(jù)包的分類(lèi)結(jié)果將不再改變。

圖1 新模式工作原理示意圖

3 結(jié)束語(yǔ)

本文設(shè)計(jì)并實(shí)現(xiàn)了一種全新的基于XAI技術(shù)實(shí)現(xiàn)的應(yīng)用識(shí)別及分類(lèi)方法，通過(guò)標(biāo)記不同的狀態(tài)特征來(lái)區(qū)分同一連接中的不同應(yīng)用，解決了連接共享類(lèi)應(yīng)用的識(shí)別難題，狀態(tài)特征通過(guò)字符序列多維度圖的結(jié)構(gòu)來(lái)存儲(chǔ)，保證了在大特征集合下的匹配速度。與傳統(tǒng)的應(yīng)用識(shí)別及分類(lèi)方法如基于IP/端口識(shí)別技術(shù)、基于行為模式識(shí)別技術(shù)、基于統(tǒng)計(jì)信息識(shí)別技術(shù)、基于DPI（深度包檢測(cè)）識(shí)別技術(shù)相比，解決了連接重用情況下傳統(tǒng)協(xié)議識(shí)別技術(shù)無(wú)法有效區(qū)分合法行為和非法行為的問(wèn)題。

[1]智能流量管理技術(shù)實(shí)現(xiàn)篇之XAI識(shí)別技術(shù). http://tech.ccident.com/art/3735/20110718/2440473_1.html.

[2]崔志磊. 基于行為模式的計(jì)算機(jī)安全策略研究[J]. 蘇州市職業(yè)大學(xué)學(xué)報(bào), 2007, 18(3): 54-55.

[3]連一峰. 基于模式挖掘的用戶行為異常檢測(cè)[J]. 計(jì)算機(jī)學(xué)報(bào) 報(bào), 2002, 25(3): 325-330.

[4]Pei J, Han J, Mortazavi-Asl B, et al. Prefix Span:Mining Sequential Patterns Efficiently by Prefix- Projected Pattern Growth [C]. Proc. of 2001 Int. Conf. on Data Eng.,Heidelberg, Germany, 2001: 215-224.

[5]Taylor D E,Tumer J S.ClassBench: A packet classification benchmark[C]//IEEE/ACM Transactions on Networking,New York, 2007: 499-511.