SBAR: SDN flow-Based monitoring and Application Recognition SOSR 2018 poster
摘要
-
检测系统,可以细化应用层分类。
-
基于DPI和Machine Learning分类,可以减少开销。
-
基于应用协议分类。
-
使用特定的 DPI 技术检测 web 和加密流量
-
解决问题:无法识别相同协议下的不同应用(如http下的Facebook,Twitter等)
-
DPI:检测包负载,分类细化到应用协议下的具体应用。
-
ML:分类细化到应用协议级别,缓解处理负担。
-
利用传输层特征值分析。
架构
测量模块
- 流测量报告:NetFlow/IPFIX
- Openflow流表:提供包比特数、duration
- 组表:解耦不同网络任务模块的操作
分类模块
- machine learning:对应用协议分类(SMTP,SSH)
- DPI:web和加密流分类
具体实现
- machine learning:分类C5.0 决策树,特征:源、目的端口,IP协议,最初一些包的大小。
- 训练集:使用nDPI提供的协议标签
- DPI:提取主机的HTTP头部,SSL/TLS 的 SNI 段,分析 DNS 流量推断应用(IP到域名的映射)
- C5.0决策树对流的应用协议分类
- Bro IDS 处理DNS、HTTP和加密流量
- SBAR 提供流层面的测量报告,并发往测量
实验:最后接入巴塞罗那的校园网流量测试:
