mifs算法 matlab,信息安全工程师教程协议分析深度流检测技术（DFI）真题习题与考点...

信息安全工程师教程协议分析-深度流检测技术(DFI)真题习题

深度流检测技术是一种主要通过判断网络流是否异常来进行安全防护的网络安全技术,深度流检测系统通常不包括(  )。

A.流特征提取单元

B.流特征选择单元

C.分类器

D.响应单元

参考答案：D 点击查看更多>>

信息安全工程师教程协议分析-深度流检测技术(DFI)考点

流是一定时间内具有相同的目的地址、源地址、目的端口地址、源端口地址和传输协议报文的集合。深度流检测(DPI)就是以流为基本研究对象，从庞大网络流数据中提取流的特征，如流大小、流速率等，从而判断一个流是否正常的技术。

各类网络安全问题中，数据流可能产生一系列异常，如heavy-hitters C 持续大流量，当下载恶意软件时)， heavy-changers C 瞬时流量变化，当发送一个大的敏感文件时)，高速流(当频繁交互时) , super spread 流(广播流，当攻击其他主机时〉以及较小流(当发送控制命令时)，此时，使用深度流捡测技术就能从中发现异常。深度流检测技术由于不用对应用层数据进行深挖，只需要提取流特征以后做统计，故具有良好的性能，并且可以查出一些加密的异常，因此，可作为防御的第一步，先检测出异常的数据流，然后对异常数据流做进一步的深度挖掘，从丽找到各种攻击威胁的源头。

深度流检测技术主要分为三部分:流特征选择、流特征提取、分类器。其中常见的流特征有:

•流中数据包的总个数:

.流中数据包的总大小;

.流的持续时间;

•在一定的流深度，流中包的最小、最大长度及均方差;

.在一定的流深度，流中最小、最大时间及均方差:

•在一定的流深度，某方向上的数据包总和。

常见的特征选择算法有BIF (Best lndividual Feature, BIF) 算法、MIFS (Mutual lnforτnationFeature Selection , MIFS) 算法、MIFS-U (Mutual lnformation Feature Selection-Uncertainty, MIFS礼J)算法、FCBF (Fast Correlation-based Fi1ter, FCBF) 算法等，用于选择影响因子最大的流特征，便于之后的攻击流量识别。

分类器先以样本集训练出分类模型，然后对待识别的数据流统计特征进行分析，识别出与APT 攻击有关的恶意流量。分类器中常见的分类方法有贝叶斯、SVM ( Support Vector Machine, SVM)、神经网络、决策树等。

在深度流检测中，首先对会话流进行识别，提取其流特征，然后经由分类器进行分析，如果判断为异常，则可采取相应的处理行为:如果判断为可疑流量，则可结合其他方法如上下行流量对称法、时间跨度均衡法、行为链关联法进行延迟监控判别。