基于隐马尔科夫模型的P2P流识别技术
隐马尔科夫模型在网络安全中的使用方法(Ⅰ)
隐马尔科夫模型(Hidden Markov Model,简称HMM)是一种在统计学中用于建模时序数据的概率图模型。
它可以用来描述一个含有隐藏状态的马尔科夫过程,这些隐藏状态不可直接观测,但可以通过观测变量的变化来推测。
在网络安全领域,隐马尔科夫模型可以被用来分析和预测网络攻击行为、检测异常流量、识别恶意软件等方面。
一、隐马尔科夫模型的基本原理HMM是一个双重随机过程模型,包含一个观测过程和一个隐藏的马尔科夫链。
观测过程产生可见的输出,而隐藏的马尔科夫链则控制这些输出的概率分布。
在网络安全中,可以将网络攻击行为视为隐藏的状态,而网络流量、日志数据等则是可观测的输出。
HMM由初始状态概率分布、状态转移概率矩阵和观测概率分布组成。
初始状态概率分布描述了模型开始时处于各个隐藏状态的概率;状态转移概率矩阵描述了各隐藏状态之间的转移概率;观测概率分布描述了在每个隐藏状态下,可观测输出的概率分布。
二、在网络安全中的应用1. 攻击行为分析隐马尔科夫模型可以用来分析网络中的攻击行为。
通过建立包含攻击行为和正常行为的隐藏状态,在观测到的网络流量中识别并预测潜在的攻击行为。
通过对攻击行为的模式进行建模,可以及时发现网络中的异常行为,提高网络安全防护能力。
2. 异常流量检测由于HMM可以对时序数据进行建模,因此可以用来检测网络中的异常流量。
通过对网络流量数据进行训练,建立模型并进行预测,可以识别出与正常流量模式不符的异常流量,从而及时采取相应的安全措施。
3. 恶意软件识别在网络安全中,恶意软件的快速识别对于保护网络和信息安全至关重要。
隐马尔科夫模型可以分析恶意软件的特征,将其作为隐藏状态来建模,并通过观测到的恶意软件行为数据进行训练,从而实现对恶意软件的识别和预测。
三、隐马尔科夫模型的优势和局限HMM在网络安全中的应用具有一定的优势,例如对时序数据的建模能力强,能够很好地捕捉数据的动态变化。
同时,HMM可以根据历史数据对未来的行为进行预测,有利于及时发现潜在的安全威胁。
基于隐马尔科夫模型的网络安全态势感知与评估
基于隐马尔科夫模型的网络安全态势感知与评估网络安全是如今社会颇受关注的话题之一,随着网络技术的日益发展,网络攻击手段和威胁日益增多,大量的恶意代码和病毒肆虐网络,经常导致系统瘫痪,数据泄漏和信息遭受损害。
面对这些威胁,如何有效地保护网络安全已成为社会亟需解决的问题。
近年来,基于隐马尔科夫模型的网络安全态势感知与评估成为了研究的热点。
隐马尔科夫模型是指在序列数据中隐含着某些未知信息,通过对这些信息加以建模,从而对序列数据进行预测和分析的一种随机过程。
从隐马尔科夫模型的角度来看,网络安全态势感知与评估本质上就是对网络流量数据的分析和建模。
隐马尔科夫模型通过对网络数据流量进行建模,从而对数据流量进行识别和分类,进而实现网络安全态势感知和评估。
网络安全态势感知与评估的流程主要分为三个阶段:数据采集、数据处理和数据分析。
其中,隐马尔科夫模型主要应用在数据分析的阶段,通过对数据流量进行建模,从而实现对网络流量的自动识别和分类。
在隐马尔科夫模型的应用中,关键点在于模型参数的选择和优化。
模型参数的选择和优化直接影响了模型的精度和性能。
因此,如何选择和优化模型参数成为了网络安全态势感知和评估的重要研究方向,同时也是一个充满挑战的问题。
除了模型参数的选择和优化之外,隐马尔科夫模型的应用还面临着其他的一些挑战,如数据量的大量增加、数据异质性的增加,以及网络攻击手段和威胁模式的不断变化。
这些挑战都要求网络安全态势感知和评估技术具有高度的适应性和灵活性,能够及时识别和响应网络威胁。
总之,隐马尔科夫模型是一种有效的网络安全态势感知与评估技术,通过对网络流量数据的分析和建模,实现了对网络威胁的自动识别和分类。
未来,随着网络技术的不断发展和更新,隐马尔科夫模型的应用也将面临着新的挑战和机遇,我们有理由相信,借助隐马尔科夫模型这一工具,我们能够更好地保障网络安全,构建一个更加稳定和安全的网络环境。
使用隐马尔科夫模型进行网络攻击检测的技术指南
隐马尔科夫模型(Hidden Markov Model, HMM)是一种常用于序列数据建模的概率图模型,其在语音识别、自然语言处理等领域有着广泛的应用。
近年来,隐马尔科夫模型在网络安全领域也开始得到应用,特别是在网络攻击检测方面,其表现出了很好的潜力。
本文将介绍使用隐马尔科夫模型进行网络攻击检测的技术指南。
一、隐马尔科夫模型简介隐马尔科夫模型是由马尔科夫链和观测序列组成的统计模型。
在隐马尔科夫模型中,系统状态是不可见的隐变量,而只能通过系统的观测序列来进行推测。
在网络攻击检测中,攻击行为往往是隐蔽的,难以直接观测到,因此使用隐马尔科夫模型来建模网络流量数据,识别潜在的攻击行为是非常合适的。
二、网络攻击行为建模在使用隐马尔科夫模型进行网络攻击检测时,首先需要对网络攻击行为进行建模。
不同类型的网络攻击会表现出不同的行为特征,例如DDoS攻击会导致大量的异常流量,而恶意软件传输数据时会表现出特定的数据包格式等。
通过分析已知的网络攻击数据,可以提取出攻击行为的特征,进而建立隐马尔科夫模型的观测状态。
三、网络流量数据预处理在构建隐马尔科夫模型之前,需要对网络流量数据进行预处理。
这包括数据清洗、特征提取和归一化等步骤。
数据清洗可以去除异常数据,特征提取可以从原始数据中提取出攻击行为的特征,而归一化可以使不同特征之间的取值范围一致,便于模型的训练和推断。
四、隐马尔科夫模型的训练隐马尔科夫模型的训练包括两个关键步骤:参数估计和模型优化。
参数估计是指利用已有的网络流量数据,根据最大似然估计等方法,估计模型的转移概率和观测概率。
模型优化则是通过训练数据不断调整模型参数,使得模型在给定观测序列下的似然度最大化。
五、网络攻击检测与模型推断在隐马尔科夫模型训练完成后,可以利用该模型进行网络攻击检测。
给定一个新的网络流量观测序列,通过隐马尔科夫模型的推断算法,可以计算出该观测序列在模型下的似然度。
若似然度低于设定的阈值,则可以判断该观测序列中存在网络攻击行为。
基于隐马尔可夫链的设备行为识别
摘要:合误差,然后合并相邻且拟合误差最小的2个分段,直到所有拟合误差都超过给定的阈值。
③根据特殊点来对数据进行分割。
PAA算法结果如图1所示,数据选用2018-08-28作为分割点来分割原数据,选定从[2]夏崇坤,苏成利,曹江涛,等.一种基于DE-ENN的烟气轮机运行状态潜在风险识别方法[J].信息与控制,2016,45(1):79-85.[3]卢坚,陈毅松,孙正兴,等.基于隐马尔可夫模型的音频自动分类[J].软件学报,2002(8):1593-1598.[4]郭雷勇,李宇,林胜义,等.用于隐马尔可夫模型语音带宽扩展的激励分段扩展方法[J].计算机应用,2017,37(8):2416-2420.[5]周顺先,林亚平,王耀南,等.基于聚簇隐马尔可夫模型的文本信息抽取[J].系统仿真学报,2007(21):4926-4931.[6]张全贵,蔡丰,李志强.基于耦合多隐马尔可夫模型和深度图像数据的人体动作识别[J].计算机应用,2018,38(2):454-457.[7]陆汝华,杨胜跃,朱颖,等.基于DHMM的轴承故障音频诊断方法[J].计算机工程与应用,2007(17):218-220.[8]韩振宇,金鸿宇,富宏亚.基于ESPRIT频谱估计和隐马尔可夫模型的铣削颤振辨识系统建模 [J].计算机集成制造系统,2016,22(8):1937-1944.[9]王宁,孙树栋,蔡志强,等.基于HSMM的两阶段设备缺陷状态识别方法[J].计算机应用研究,2011,28(12):4560-4563.[10]周大镯,李敏强.基于序列重要点的时间序列分割[J].计算机工程,2008,34(23):14-16.[11]詹艳艳,徐荣聪,陈晓云.基于斜率提取边缘点的时间序列分段线性表示方法[J].计算机科学,2006(11):139-142,161.[12]李爱国,覃征.在线分割时间序列数据[J].软件学报,2004(11):1671-1679.(作者系广东技术师范大学硕士研究生)。
使用隐马尔科夫模型进行网络攻击检测的技术指南(七)
隐马尔科夫模型(Hidden Markov Model, HMM)是一种常用于序列建模和预测的统计模型。
在网络安全领域,HMM被广泛应用于网络攻击检测和异常行为识别。
本文将介绍如何使用HMM进行网络攻击检测,并提供一份技术指南。
一、HMM简介HMM是一种基于状态转移的动态随机过程模型,它假设系统中存在不可观测的隐藏状态,而这些隐藏状态的转移和表现是可以被观测到的。
在网络攻击检测中,可以将网络流量视作一个随时间变化的序列,而HMM可以用来建模这个序列的状态转移和观测行为。
二、数据预处理在使用HMM进行网络攻击检测之前,首先需要进行数据预处理。
这包括数据收集、清洗和标记。
数据收集可以通过网络流量监测设备或软件来获取,而数据清洗则是指对收集到的数据进行去噪和去冗余处理。
最后,需要对清洗后的数据进行标记,将正常流量和攻击流量进行区分,以便后续的建模和训练。
三、模型建立建立HMM模型的关键是确定隐藏状态、状态转移概率和观测概率。
在网络攻击检测中,隐藏状态可以表示系统的安全状态,例如正常状态和受攻击状态。
状态转移概率表示系统从一个状态转移到另一个状态的概率,而观测概率则表示在每个状态下观测到不同行为的概率。
四、模型训练一旦建立了HMM模型的结构,接下来需要对模型进行训练。
训练过程包括估计模型的参数和调整模型的拓扑结构。
参数估计可以通过最大似然估计、Baum-Welch算法或EM算法来实现。
在训练过程中,需要使用已标记的数据来进行监督学习,以便模型能够准确地捕捉到正常和攻击行为的特征。
五、模型评估训练好的HMM模型需要进行评估,以验证其在网络攻击检测方面的性能。
评估过程可以通过交叉验证或留出法来进行。
在评估过程中,需要使用未见过的数据来进行测试,以便真实地反映模型的泛化能力和准确性。
六、实时检测一旦模型训练和评估完成,就可以将其应用于实时网络攻击检测中。
在实时检测过程中,需要输入实时的网络流量数据,然后利用训练好的模型来进行状态推断和异常行为识别。
使用隐马尔科夫模型进行网络攻击检测的技术指南(九)
隐马尔科夫模型(Hidden Markov Model, HMM)是一种在时间序列数据建模中广泛使用的统计模型。
它在许多领域都有应用,包括语音识别、自然语言处理、生物信息学等。
在网络安全领域,HMM也可以被用来进行网络攻击检测。
本文将介绍如何使用HMM进行网络攻击检测,并提供一些实用的技术指南。
HMM是一种统计模型,用来描述观测数据的概率分布。
它包括一个隐藏的马尔科夫链,以及一个与马尔科夫链相关联的观测序列。
在网络攻击检测中,可以将网络流量数据视为观测序列,而将网络攻击模式视为隐藏的马尔科夫链。
通过训练HMM模型,可以学习到正常的网络流量模式,并能够检测出异常的网络流量,从而识别出潜在的网络攻击。
在使用HMM进行网络攻击检测时,有几个关键的步骤是需要注意的。
首先是数据的预处理。
网络流量数据可能会包含大量的噪音,需要对数据进行清洗和预处理,以去除无关的信息,并提取出有用的特征。
其次是模型的训练。
在训练HMM模型时,需要准备标记好的训练数据,以及选择合适的模型参数和训练算法。
最后是模型的评估和调优。
训练好的模型需要进行评估,以验证其性能,并进行调优以提高检测准确率和降低误报率。
除了上述的基本步骤之外,还有一些技术指南可以帮助提高使用HMM进行网络攻击检测的效果。
首先是特征选择。
在网络流量数据中,可以选择不同的特征来描述网络流量的模式,比如数据包的大小、到达时间间隔等。
选择合适的特征可以提高模型的检测性能。
其次是模型的结构。
HMM模型的结构包括隐藏状态的个数、转移概率矩阵等,合理选择模型的结构可以提高模型的表达能力和泛化能力。
最后是模型的实时性。
在网络攻击检测中,需要及时地识别出网络攻击,因此模型的实时性也是一个重要的考量因素。
可以通过改进模型的算法和优化模型的参数来提高模型的实时性。
总的来说,HMM模型作为一种统计模型,在网络攻击检测中具有一定的潜力。
通过合理地选择特征、优化模型结构和提高模型的实时性,可以提高HMM模型在网络攻击检测中的效果。
使用隐马尔科夫模型进行网络安全威胁识别的技术指南
网络安全威胁一直是互联网时代面临的重要问题。
随着技术的不断发展,网络黑客的攻击手段也日益多样化和隐蔽化,给网络安全带来了更大的挑战。
使用隐马尔科夫模型(Hidden Markov Model, HMM)进行网络安全威胁识别成为了一种有效的技术手段。
本文将从HMM的基本原理、在网络安全领域的应用以及具体的技术实施等方面,为读者提供一份关于使用HMM进行网络安全威胁识别的技术指南。
### HMM的基本原理HMM是一种统计模型,用于描述一个含有隐含状态的马尔科夫过程。
它由一个包含有限个状态的隐含马尔科夫链和一个产生观测序列的观测符号的输出概率分布组成。
HMM的基本原理可以用马尔科夫链和概率有限状态自动机来描述,其核心思想是将观测数据视为由一个序列的不可观测的隐含状态所产生的。
### HMM在网络安全领域的应用在网络安全领域,HMM被广泛应用于入侵检测、恶意代码识别、异常流量检测等方面。
其优势在于可以对网络流量进行实时监测和分析,快速发现异常行为。
HMM能够根据历史数据来预测未来的网络流量情况,识别出潜在的安全威胁,有助于提高网络安全的防御能力。
### 使用HMM进行网络安全威胁识别的技术实施1. 数据收集:首先需要收集网络流量数据,包括传入和传出的数据包、报文等。
数据的质量和完整性对于HMM的准确识别至关重要,因此要确保数据的准确性和完整性。
2. 数据预处理:对收集到的网络流量数据进行预处理,包括数据清洗、特征提取等。
在此过程中,可以利用数据挖掘、机器学习等技术手段,对数据进行降维和特征选择,以提高HMM的识别准确度。
3. 模型训练:使用已经预处理好的网络流量数据,可以建立HMM模型并进行训练。
在模型训练中,需要根据实际网络安全情况,对HMM模型的参数进行调整和优化,以提高其对网络安全威胁的识别能力。
4. 实时监测与识别:训练好的HMM模型可以用于实时监测网络流量,并识别出潜在的安全威胁。
当网络流量出现异常时,HMM模型可以快速作出响应,采取相应的安全防御措施,保障网络安全。
隐马尔科夫模型在网络安全中的使用方法(六)
隐马尔科夫模型(Hidden Markov Model, HMM)是一种统计模型,它在许多领域都有着广泛的应用,包括语音识别、自然语言处理、生物信息学等。
在网络安全领域,隐马尔科夫模型也被广泛应用,用于检测网络中的异常行为、识别恶意软件等。
本文将介绍隐马尔科夫模型在网络安全中的使用方法,并讨论其优势和局限性。
一、隐马尔科夫模型简介隐马尔科夫模型是一种基于概率的动态系统模型,它由一个隐藏的马尔科夫链和一个可见的随机序列组成。
隐藏的马尔科夫链指的是系统的状态是不可见的,而可见的随机序列则是在每个状态下观察到的符号。
通过观察到的符号序列来推断隐藏的状态序列,从而对系统的行为进行建模和预测。
在网络安全领域,隐马尔科夫模型可以用于建模网络流量的行为模式,从而识别网络中的异常行为。
通过分析网络流量的特征,可以将正常行为和异常行为进行区分,从而及时发现潜在的安全威胁。
二、隐马尔科夫模型在网络流量分析中的应用隐马尔科夫模型在网络流量分析中的应用可以分为两个阶段:模型训练和流量分析。
在模型训练阶段,首先需要收集大量的网络流量数据,并对数据进行预处理和特征提取。
然后利用这些数据来训练隐马尔科夫模型,从而学习网络流量的行为模式。
在训练过程中,可以根据需要对模型进行参数调整和优化,以提高模型的准确性和鲁棒性。
在流量分析阶段,隐马尔科夫模型可以用于实时监测网络流量,并及时发现异常行为。
通过将实时观测到的网络流量数据与训练好的模型进行比较,可以识别出与预期行为不符的流量模式,从而发现潜在的安全威胁。
三、隐马尔科夫模型在恶意软件检测中的应用除了在网络流量分析中的应用,隐马尔科夫模型还可以用于恶意软件检测。
恶意软件通常具有特定的行为模式和特征,通过建立恶意软件的行为模型,可以利用隐马尔科夫模型来识别潜在的恶意软件。
在恶意软件检测中,首先需要收集大量的恶意软件样本,并对其行为进行分析和特征提取。
然后利用这些数据来训练隐马尔科夫模型,从而学习恶意软件的行为模式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 3 第 6期 3卷 21 0 2年 6月
通
信
学
报
、 l3 No 6 b -3 .源自 J n 01 u e2 2J u a nC o m u iai n om l m o nc t s o
基 于 隐 马 尔科 夫 模 型 的 P P流 识 别技 术 2
许博 ,陈呜,魏祥麟
中图分类号:T 3 3 P9
文献标识码 :A
文章编号 :10 —3 X 2 1)60 5 —9 004 6 (0 20 —0 50
H i e a k v m o e a e P f w e tfc to e h i u dd n M r o d l s d P2 o i n i a i n t c n q e b l d i
基 金项 目: 国家 高 技 术研 究 发 展 计 划(“ 6 ” 计划 ) 金 资 助项 目(0 7 A0 Z 1 ) 83 基 2 0 A 1 4 8 ;江 苏 省 自然 科 学基 金 资助 项 目 ( K20 0 8 ;国家 自然科 学基 金资助项 目( 17 0 3 B 095 ) 60 20 )
C e a ptv o d feen e wor ic n a b da i et if r tn t k cr um sa c t n e.
Ke r s p e e r fn t t t c n ; o i e t c t n h d e ak v mo e y wo d : e rt p e ; i sae ma h e f w n f ai ; i d nM r o d l o i e i l d i i o
流识别技术 。该技术利用分组大小 、到达时间间隔和到达顺序等特征构建流识别模型 ,采用 离散型随机变量刻 画 HMM 状态特征 ;提 出了能同时识别 多种 P P应用流的架构 H 2 MM.I FA,设计 了 H MM 的状态个数选择算法 。在 校 园网中架设可控实验环境 ,使 用 H MM—I FA识别 多种 P P流,并与 已有识别方法进行 比较 ,结果表 明采用离散 2
分类和识别 的目的I 。但此类方法大多都无法高 ” 效 、实 时地 识 别特 定协 议产生 的分 组流 。
本 文提 出了 一 种基 于 隐 马 尔科 夫模 型 ( HMM)
识别 P P流 的新 方法 ,将 H 2 MM 中的隐状 态序 列与 分组 流观 察序 列对 应起 来 ,并采 用离 散 型随机 变量 刻 画状 态特征 ,有效 地提 高 了识别 P P流 的实时性 2 和准 确 性 。实 验结 果表 明此 方法 能准确 、快速 地 识 别 多种 P P应用 协议 产 生 的分 组流 。 2
i ai h iu sp o o e . i p r a h ma e u e o c e z , n e - ri a me a d ar a r e c n tu t fc t n tc n q e wa r p s d Th sa p o c d s f a k t i e i tra rv l i n r v lo d rt o sr c o e p s t i o l w d n i ai d l n wh c ic ee r n o v ra l s u e o d p c h h r c e i i f HM M t t.A fo ie t c t n mo e ,i i h d s r t a d m a i b e wa s d t e itt e c a a t r t s o i f o sc sae
隔 构造二 维 向量 特 征 ,提 高 了识别准 确性 ,但 他们
采 用连续 型 随机 变 量 ,降低 了识别 的实 时性 , 同时 缺 乏不 同 HMM 之 间的相似度 比较 】 埽。
3 基 本 思 想
P P流识 别实 际上是 根据 收集 的流信 息识 别 出 2 某 种 P P网络应 用协 议 的过程 。网络 协 议可使 用有 2
g rtm rs lc i g t en mb r f o h f ee t u e i o n h o HM M tt sd sg e . n ac nr l b ee p rme t i u tn e i ec p s s ewa e i n d I o to l l x e a a i n a cr msa c t a u l c nh m n t r, e wo k HM M - I wa t ie d n i 2 o d wa o a e t t e e t c t n me h d . er s l F A su l d t i e t y P P f wsa sc mp d wi o ri n f a o t o s Th e u t i z o f l n r h h d i i i s s o t a ic ee r d m a ib e C e r a e t e mo e o sr ci g t d i r v e t — o t d a c r c n h w t s r t a o v r l a d c e s h d l n t t i a h d n a n c u n men mp o et me c s c u a y i h i n a
X U o CH EN i g, EIXi n ln B , M n W a g-i
( s tt o C mma d uo t n P AUnv r t f ce c n e h oo yNaj g2 0 0 , h a I tue f o ni n A tma o , L i i s yo S i e dT c n lg , ni 1 0 7 C i ) ei n a n n
Ab ta t oie t yv ro sP P f wsa c rtl e lt , id n Mak vmo e ( sr c:T n f a u 2 o c u aeyi ra— me ahd e r o d l HMM) a e 2 o ie t d i i l n i b s dP P f w ni l d —
其 状 态通 过观 测 序 列 的随 机过 程 表现 出来 。H MM
2 相 关工 作
Me a n 等人 首先将流 统计特 征应用于流 识别 ,他 们 利用 分组 大 小和到达 时间 间隔 的统 计特 征识 别 出 实时音频 流 【。A. G e o 等 人使用 E 算法 [, 8 】 Mc rg r M 9 】 利用 运输 层统 计信 息 ,如分组 大 小、流字 节数 、连
F u d t n I ms T e t n l g e h oo yR sac dD v lp n P o rm f h a(6 o r ) 2 0 A 1 4 8 ; o n a i e : h i a HihT c n lg ee ha e eo me t r ga o i 8 3 ga (0 7 A0 Z 1 ) o t Na o r n C n r P m T eN tr ce c o n a o f i g uP o ic B 2 0 0 8 ; h a o a Na r ce c o n a o f hn ( 1 7 0 3 h aua S in eF u d t no a s r vn e( K 0 9 5 )T eN t n l t a S in e u d t n i a6 0 2 4 ) l i J n i ul F i oC
识 别流 的方 法 简单 、高效 ,在传 统应 用流 识别 中发 挥 了重要 作用 。但 P P应 用广泛 采用 动态 端 口、 , 2
端 口跳 变和 端 口伪装 等 技术 ,使 该识 别方法 不 再可
行 。 于特 征字 的 P P流识 别方法 具有 识 别准 基 2 , 确 率 高 、可在 线 处理 等优 点 ,其缺 点 是需要 深度 检
1 引言
因特 网中新 型 网络应 用不 断 涌现 ,流 量成 分 日 趋 复 杂 ,这使 得优 化 网络 结构 、维护 网络安全 、强
化 网络管 理 以及理 解 网络 行为 面 临挑 战 。基于 端 口
收稿 日期 :2 1.91 ;修 回 日期:2 1. 1 4 0 00 —5 0 10 . 0
( 放 军理 工大 学 指挥 自动 化 学院 ,江 苏 南京 2 00 ) 解 107
摘
要 : 了实 时 、 确 地 识 别 多 种 P P应 用 流 ,提 出 了基 于 隐马 尔 科 夫 模 型 ( MM, id n a o d1 P P 为 准 2 H hd e r v M k mo e) 2 的
包 含 2层 ,一个 可观 察层和 一个 隐藏 层 。可 观察 层 是 待识 别 的观 察序 列 ,在 P P流 识别 中表现 为节 点 2
间交互 的多 个连续 分组 ,隐藏层 是一 个 马尔科 夫过 程 ,即运 行在 节 点 内部 的一个 有 限状态 机 ,其 中每 个 状态 转移 都带 有转 移概率 。 在H MM 中,对于 一个 随机事件 ,有一个观察值
・
5 6・
通
信
学
报
第 3 3卷
测 分组应 用层 负载 ,无法 识别 采用信 息 加密传 输 的
协 议 ,且 提取 应用 协议特 征字 比较 困难 。基 于运输 层 统 计 信 息和 行 为 特 征 的启 发 式 识 别 方 法 是 当 前 的研 究热 点 。这类 方法 利用 流 的属性 、统计 特征 以 及 行 为特 征 ,按 照启 发式规 则对 流进 行分 析 ,达 到
限状态 机描 述 ,但协 议有 限状态 机位 于节 点 内部 , 其状态 及状 态 问的转 移特 征均被 节 点屏蔽 ,只 有在