23 | 02 | 2025

DOI: 10.14489/vkit.2020.03.pp.037-048

Ермаков Р. Н.
(c. 37-48)

Аннотация. Рассмотрен новый эффективный подход к анализу сетевого трафика в целях определения протокола информационного обмена прикладного уровня. Дано краткое описание структуры алгоритма классификации сетевых пакетов на принадлежность к одному из известных сетевых протоколов. Для определения протокола применен принцип высокоскоростной однопакетной классификации, который заключается в анализе информации, передаваемой в каждом конкретном пакете. Использованы элементы поведенческого анализа. Дана классификация переходных состояний протоколов информационного обмена, что позволяет достичь более высокого уровня верности классификации и более высокой степени обобщения на новых тестовых выборках. Использованы алгоритмы нечеткой логики и нейронные сети. Показаны результаты тестирования построенного программного модуля, способного идентифицировать сетевые протоколы информационного обмена.

Ключевые слова:  классификация сетевых пакетов; искусственные нейронные сети; логистическая регрессия; машинное обучение; анализ сетевого трафика; «глубокий» анализ пакетов.


Ermakov R. N.
(pp. 37-48)

Abstract. This paper presents a new effective approach to analyzing network traffic in order to determine the protocol of information exchange. A brief description of the structure of the algorithm for classifying network packets by belonging to one of the known network protocols is given. To define the protocol, the principle of high-speed one-packet classification is used, which consists in analyzing the information transmitted in each particular packet. Elements of behavioral analysis are used, namely, the transition states of information exchange protocols are classified, which allows to achieve a higher level of accuracy of classification and a higher degree of generalization in new test samples. The topic of the article is relevant in connection with the rapid growth of transmitted traffic, including malicious traffic, and the emergence of new technologies for transmitting and processing information. The article analyzes the place of traffic analysis systems among other information security systems, describes the tasks that they allow to solve. It is shown that when recognizing the internal state in which a particular protocol may be in the process of information exchange at the handshake stage, a classifier of network packets of the application level can be useful. To classify network packets, we used fuzzy logic algorithms (Mamdani model) and machine learning methods (neural network solutions based on logistic regression). The paper presents 4 stages of developing a network packet classifier – monitoring and collecting packet statistics of the most famous network traffic protocols, preprocessing primary packet statistics, building a classifier for network packets and testing. The test results of the constructed software module capable of identifying network protocols for information exchange are demonstrated.

Keywords: Network packet classification; Artificial neural networks; Logistic regression; Machine learning; Network traffic analysis; Indepth packet analysis.


Р. Н. Ермаков (АО «НИИ «Масштаб», Санкт-Петербург, Россия) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  


R. N. Ermakov (JSC “RI “Masshtab”, St. Petersburg, Russia) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  


