復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究

數(shù)據(jù)通信DataCommuincation復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究ResearchonEncryptedTrafficRecognitionMethodinComplexNetworkEnvironmentTongBo，ShiJun，ZhaoChunxi(ChinaInformationTechnologyDesigning&ConsultingInstituteCo.，Ltd.，Beijing100048，China)摘要：互聯(lián)網(wǎng)絡(luò)快速發(fā)展，流量的變化日益多樣和復(fù)雜，加密流量占比不斷提高給網(wǎng)絡(luò)安全帶來(lái)挑戰(zhàn)。通過(guò)對(duì)現(xiàn)有加密流量的主流識(shí)別方法進(jìn)行分析對(duì)比，設(shè)計(jì)了一種適用于大型骨干網(wǎng)加密流量應(yīng)用識(shí)別的系統(tǒng)，以對(duì)不同網(wǎng)絡(luò)環(huán)境下的加密關(guān)鍵詞：文章編號(hào)：1007-3043(2022)08-0070-05流量進(jìn)行精準(zhǔn)分類(lèi)。開(kāi)放科學(xué)(資源服務(wù))標(biāo)識(shí)碼(OSID)：Abstract：Keywords：俊，趙純熙.復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究[J].郵電設(shè)計(jì)技術(shù)，2022(8)：70-74.隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)應(yīng)用日益豐富，運(yùn)營(yíng)商骨干網(wǎng)出口流量也逐漸向復(fù)雜化和多樣化方向演進(jìn)。一方面，用戶(hù)對(duì)數(shù)據(jù)的隱私保護(hù)需求不斷增加，另一方面，網(wǎng)絡(luò)應(yīng)用軟件使用私有協(xié)議進(jìn)行數(shù)據(jù)傳輸，這樣使得網(wǎng)絡(luò)中加密流量的比例不斷提高。根據(jù)谷歌的報(bào)告，2021年5月Chrome加載網(wǎng)頁(yè)中啟用加密的比例已經(jīng)到了98%[1]。加密在保護(hù)隱私的同時(shí)也給網(wǎng)絡(luò)安全帶來(lái)了新的挑戰(zhàn)。網(wǎng)絡(luò)攻擊者將加密作為隱藏攻擊活動(dòng)的工具，使攻擊活動(dòng)變得隱秘，不易識(shí)別。為了維護(hù)健康的網(wǎng)絡(luò)環(huán)境，運(yùn)營(yíng)商需要提出有效的識(shí)別方法，提高網(wǎng)絡(luò)監(jiān)管技術(shù)手段，實(shí)現(xiàn)加密流收稿日期：2022-06-24量精細(xì)化管理，保障網(wǎng)絡(luò)安全運(yùn)行。2加密流量應(yīng)用類(lèi)型識(shí)別方法2.1單包凈荷特征識(shí)別為了保護(hù)用戶(hù)和網(wǎng)站數(shù)據(jù)的隱私，保護(hù)網(wǎng)絡(luò)瀏覽和交易的安全，越來(lái)越多的互聯(lián)網(wǎng)應(yīng)用使用HTTPS加HTTPS的協(xié)議，它是在會(huì)話(huà)層SSL/HTTPS協(xié)議交互流程如圖1所示?？蛻?hù)端和服務(wù)端TCP建鏈成功后，客戶(hù)端驗(yàn)證完服務(wù)端的公鑰證書(shū)后，生成正文密鑰，使用公鑰加密后發(fā)送給服務(wù)端。服務(wù)端使用私鑰解密后，得到正文密鑰。隨后雙方開(kāi)始進(jìn)入正文數(shù)據(jù)通信階段，正文數(shù)據(jù)經(jīng)過(guò)正文密鑰加密后在線(xiàn)路中傳輸，保障了數(shù)據(jù)安全。702022/08/DTPT復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究數(shù)據(jù)通信DataCommuincation客戶(hù)端服務(wù)端TCP鏈HTTPS連接證書(shū)檢查證書(shū)檢查交換密鑰公鑰加密后的正文密鑰正文加密傳輸正文加密傳輸加密的正文QUIC(QuickUDPInternetConnection)是谷歌制定QUIC協(xié)議整合了TCP協(xié)議的可靠性和UDP協(xié)議的速關(guān)于谷歌自有業(yè)務(wù)的請(qǐng)求響應(yīng)都是通過(guò)QUIC承載。議，如圖2所示，可以利用協(xié)議交互過(guò)程中的明文信息進(jìn)行應(yīng)用類(lèi)型識(shí)別。例如ClientHello報(bào)文的server?name字段和ServerCertificate中的commonName均包含了域名等明文信息。此類(lèi)加密的協(xié)議，可以根據(jù)域名信息，識(shí)別單包凈荷特征字，并進(jìn)一步確定加密流量的應(yīng)用類(lèi)型。TPTPIPTPIPHTTP/2APIIPTPSTPTPSTP圖2HTTPS和QUIC協(xié)議棧2.2基于DNS域名回填互聯(lián)網(wǎng)流量采集系統(tǒng)針對(duì)HTTPS等協(xié)議生成相應(yīng)協(xié)議話(huà)單，話(huà)單中包含識(shí)別出的應(yīng)用類(lèi)型。對(duì)于單包凈荷特征不能判斷出應(yīng)用類(lèi)型的HTTPS話(huà)單，可通過(guò)解析DNS報(bào)文，從中提取出域名信息，再回填到DNS文，請(qǐng)求進(jìn)行域名解析。DNS解析服務(wù)器返回的DNS應(yīng)答報(bào)文中包含該域名對(duì)應(yīng)的IP地址信息。客戶(hù)端獲得IP地址后，再訪(fǎng)問(wèn)相應(yīng)網(wǎng)站。通過(guò)上述過(guò)程，運(yùn)營(yíng)商可以解析DNS應(yīng)答報(bào)文，并緩存DNS報(bào)文里域名和IP地址映射關(guān)系，采用域名回填方案，獲取話(huà)單中的應(yīng)用類(lèi)型。但是，基于DNS域名回填的方法存在以下局限性和問(wèn)題。a)1個(gè)IP對(duì)應(yīng)多個(gè)域名(例如一個(gè)服務(wù)器群中部署多個(gè)HTTPS網(wǎng)站或CDN環(huán)境)的情況不能使用DNS域名回填，否則會(huì)造成應(yīng)用類(lèi)型識(shí)別錯(cuò)誤。b)1個(gè)域名映射對(duì)應(yīng)多個(gè)IP時(shí)，為提高關(guān)聯(lián)率，需要記錄所有IP用于關(guān)聯(lián)匹配，這會(huì)增加本方案的復(fù)雜度。2.3基于多包關(guān)聯(lián)的加密流量識(shí)別網(wǎng)絡(luò)中有些應(yīng)用采用私有加密方式進(jìn)行通信，根據(jù)單包特征，難以進(jìn)行應(yīng)用識(shí)別。但從數(shù)據(jù)流上來(lái)看，同一個(gè)流上多個(gè)報(bào)文之間存在著一定的指紋特征?；诙喟P(guān)聯(lián)識(shí)別方法有以下幾種。a)單包特征強(qiáng)度不夠，容易誤識(shí)別，可以通過(guò)多包特征匹配進(jìn)行強(qiáng)化，降低誤識(shí)別率。b)單包特征強(qiáng)度不夠，但與多包之間流量特征結(jié)c)沒(méi)有任何擔(dān)保特征，單純依靠流量特征來(lái)識(shí)別，即純DFI識(shí)別。例如多個(gè)報(bào)文長(zhǎng)度之和等于固定值，且成組出現(xiàn)。DFI識(shí)別可以用于應(yīng)用流量大類(lèi)識(shí)別，很難精確識(shí)別到具體應(yīng)用。2.4基于多流關(guān)聯(lián)的加密流量識(shí)別多流關(guān)聯(lián)的加密流量識(shí)別有以下2種方式。a)應(yīng)用程序的控制面和數(shù)據(jù)面在2個(gè)數(shù)據(jù)流上傳輸?？刂泼鎴?bào)文中攜帶數(shù)據(jù)面的IP端口信息，數(shù)據(jù)面采用被動(dòng)方式建立連接(如FTP業(yè)務(wù))，由服務(wù)器端動(dòng)態(tài)分配IP端口，數(shù)據(jù)面上的數(shù)據(jù)流中只有數(shù)據(jù)內(nèi)容，沒(méi)有協(xié)議本身的指紋特征，難以識(shí)別。對(duì)于這類(lèi)業(yè)務(wù)，需要在控制面數(shù)據(jù)流中解析出數(shù)據(jù)面的IP端口信息，并進(jìn)行鎖存。在數(shù)據(jù)面報(bào)文建立通信后，可以通過(guò)鎖存的IP端口信息進(jìn)行應(yīng)用類(lèi)型的識(shí)別。b)應(yīng)用程序在通信前協(xié)商加密算法和加密能力，會(huì)根據(jù)通信對(duì)端采用適當(dāng)?shù)募用芩惴ㄟM(jìn)行通信。如果對(duì)端不支持加密，則會(huì)進(jìn)行明文通信。此類(lèi)應(yīng)用可以通過(guò)抓取暴露的明文通信報(bào)文，進(jìn)行IP端口的訓(xùn)練學(xué)習(xí)，建立IP端口與應(yīng)用的映射庫(kù)，通過(guò)IP端口信息識(shí)別出加密流量報(bào)文的應(yīng)用類(lèi)型。2.5基于多鏈路關(guān)聯(lián)的加密流量識(shí)別郵電設(shè)計(jì)技術(shù)/2022/0871數(shù)據(jù)通信DataCommuincation復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究骨干出口等復(fù)雜網(wǎng)絡(luò)環(huán)境存在非對(duì)稱(chēng)路由，即1條五元組流的上行和下行方向數(shù)據(jù)分散在不同鏈路或不同設(shè)備中傳輸。對(duì)于HTTPS等報(bào)文指紋特征主要出現(xiàn)在上行方向(請(qǐng)求方向)的應(yīng)用，可以采用上下行鏈路話(huà)單關(guān)聯(lián)的方法，通過(guò)上下方向識(shí)別出的應(yīng)用類(lèi)型回填到下行方向的話(huà)單中，提高下行方向應(yīng)用識(shí)別效果。多鏈路關(guān)聯(lián)識(shí)別的網(wǎng)絡(luò)部署可以采用以下2種方案。a)在原始鏈路流量和DPI應(yīng)用識(shí)別模塊之間部署匯聚分流平臺(tái)。全部鏈路接入?yún)R聚分流平臺(tái)。匯聚分流平臺(tái)將全部流量進(jìn)行同源同宿處理，進(jìn)行上下?lián)?bào)文上下行完整的采集和識(shí)別。b)原始流量分別接入DPI采集模塊，DPI采集模塊后端部署話(huà)單合成系統(tǒng)。不同的DPI采集模塊分別針對(duì)上行、下行流量獨(dú)立產(chǎn)生數(shù)據(jù)話(huà)單，傳送到話(huà)單合成系統(tǒng)，在話(huà)單合成系統(tǒng)，針對(duì)上行或下行的話(huà)單，按照五元組流進(jìn)行上下行關(guān)聯(lián)。2.6基于逆向技術(shù)破解加密數(shù)據(jù)包網(wǎng)絡(luò)中有些應(yīng)用程序采用私有加密協(xié)議，包括常對(duì)這些私有加密應(yīng)用進(jìn)行逆向分析，可破解一部分應(yīng)用的加密協(xié)議。在實(shí)際應(yīng)用中，以下3種加密方式可以通過(guò)逆向分析識(shí)別應(yīng)用類(lèi)型。a)固定的密鑰：應(yīng)用代碼中有固定的密鑰，雙方進(jìn)行通信時(shí)，使用代碼中固定的密鑰進(jìn)行加密和解密。針對(duì)解密后的內(nèi)容，可以通過(guò)單包指紋特征匹配進(jìn)行應(yīng)用類(lèi)型識(shí)別。b)密鑰在凈荷中：在報(bào)文交互過(guò)程中，密鑰存在凈荷中，位置、長(zhǎng)度不固定，但在凈荷內(nèi)有字段與之有關(guān)?？赏ㄟ^(guò)相關(guān)字段計(jì)算得到密鑰的長(zhǎng)度、位置，從而獲得雙方交互的密鑰。針對(duì)解密后的內(nèi)容，可以通過(guò)單包指紋特征匹配進(jìn)行應(yīng)用類(lèi)型識(shí)別。c)私有數(shù)據(jù)流傳輸格式：采用私有自定義數(shù)據(jù)流傳輸格式的應(yīng)用程序，可以通過(guò)提取加密流或者加密數(shù)據(jù)流的特征字段，并在多字段的組合的基礎(chǔ)上，進(jìn)應(yīng)用類(lèi)型識(shí)別的效果。2.7基于機(jī)器學(xué)習(xí)的加密流量識(shí)別采用強(qiáng)加密手段的應(yīng)用無(wú)法通過(guò)逆向解析識(shí)別，可以通過(guò)機(jī)器學(xué)習(xí)，研究出這個(gè)應(yīng)用的加密流量的數(shù)722022/08/DTPT據(jù)模型。不同應(yīng)用類(lèi)型的流量特征不同。如圖3所示，語(yǔ)音流的流量特點(diǎn)是平均報(bào)文長(zhǎng)度短，上下行流交替出現(xiàn)。網(wǎng)頁(yè)瀏覽是上行方向發(fā)出請(qǐng)求后，下行方向傳來(lái)對(duì)應(yīng)網(wǎng)頁(yè)，其特點(diǎn)是平均報(bào)文長(zhǎng)，連續(xù)報(bào)文較少。對(duì)于視頻流的特點(diǎn)是平均報(bào)文長(zhǎng)，連續(xù)報(bào)文較多。上行流下行流語(yǔ)音流網(wǎng)頁(yè)瀏覽視頻流圖3不同應(yīng)用類(lèi)型流量特征對(duì)比基于上述不同應(yīng)用的流量特點(diǎn)，運(yùn)營(yíng)商可以針對(duì)流統(tǒng)計(jì)特征和時(shí)序特征，建立不同應(yīng)用與數(shù)據(jù)流量特征對(duì)應(yīng)關(guān)系的模型特征庫(kù)，通過(guò)機(jī)器學(xué)習(xí)，積累大量的數(shù)據(jù)流和數(shù)據(jù)包特征信息作為訓(xùn)練集，根據(jù)決策樹(shù)算法，對(duì)加密流量進(jìn)行類(lèi)型識(shí)別。流統(tǒng)計(jì)特征和時(shí)序特征包括：上下行數(shù)據(jù)包流量特征、數(shù)據(jù)包間隔、數(shù)據(jù)包的離散性、數(shù)據(jù)包長(zhǎng)度分布、時(shí)間戳信息、私有加密協(xié)議的特殊端口等。在機(jī)器學(xué)習(xí)中，應(yīng)用流量識(shí)別算法可分為淺層學(xué)習(xí)和深度學(xué)習(xí)[2]。深度學(xué)習(xí)采用訓(xùn)練多個(gè)單層非線(xiàn)性網(wǎng)絡(luò)，組合底層特征構(gòu)成數(shù)據(jù)的抽象表示，從而表達(dá)數(shù)據(jù)的本質(zhì)特征，在加密的流量識(shí)別中表現(xiàn)良好。目前主流的深度學(xué)習(xí)方法有自動(dòng)編碼器(SAE)、卷積神經(jīng)網(wǎng)絡(luò)(CNN)、循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)、深度置信網(wǎng)絡(luò) DBN方法被廣泛應(yīng)用到加密流量識(shí)別中，并取得不錯(cuò)的效果。圖4是一個(gè)基于卷積神經(jīng)網(wǎng)絡(luò)的應(yīng)用流量識(shí)別的機(jī)器學(xué)習(xí)模型。在該模型中，原始數(shù)據(jù)包輸入卷積神前主要有以下2種訓(xùn)練模式。撥測(cè)終端原始數(shù)據(jù)包應(yīng)用統(tǒng)計(jì)模型模型訓(xùn)撥測(cè)終端原始數(shù)據(jù)包應(yīng)用統(tǒng)計(jì)模型圖4卷積神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)a)基于數(shù)據(jù)報(bào)文流特征進(jìn)行訓(xùn)練，包括報(bào)文間b)基于數(shù)據(jù)報(bào)文的內(nèi)容進(jìn)行訓(xùn)練，主要基于數(shù)據(jù)包凈荷數(shù)據(jù)前段中的內(nèi)容進(jìn)行訓(xùn)練。復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究數(shù)據(jù)通信DataCommuincation3復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量應(yīng)用識(shí)別系統(tǒng)基于上述研究的結(jié)果，本文設(shè)計(jì)了一種適用于骨干出口網(wǎng)絡(luò)加密流量的應(yīng)用識(shí)別系統(tǒng)。加密流量應(yīng)用識(shí)別系統(tǒng)如圖5所示。加密流量應(yīng)用識(shí)別系統(tǒng)主要由數(shù)據(jù)采集、報(bào)文解原始流量業(yè)務(wù)話(huà)單原始流量業(yè)務(wù)話(huà)單數(shù)數(shù)據(jù)采集IP-域名映射表應(yīng)用表配置管配置管理報(bào)文解析規(guī)則匹配模塊話(huà)單生成五元組匹配應(yīng)用類(lèi)型仲裁字串字串特征庫(kù)流流模式特征匹配單包特征匹配流模式特征庫(kù)五元組流表五元組流表圖5加密流量應(yīng)用識(shí)別系統(tǒng)框圖析、特征庫(kù)、五元組流表、規(guī)則匹配模塊、話(huà)單生成模塊和配置管理模塊組成。3.1數(shù)據(jù)采集數(shù)據(jù)采集模塊使用DPDK等高性能報(bào)文處理技術(shù)，針對(duì)鏈路上的實(shí)時(shí)數(shù)據(jù)流量進(jìn)行高速采集和預(yù)處理。預(yù)處理過(guò)程中，首先將非對(duì)稱(chēng)流量進(jìn)行同源同宿處理，然后通過(guò)哈希算法將流量負(fù)載分擔(dān)至多個(gè)CPU核心，以此提高數(shù)據(jù)處理性能和準(zhǔn)確性。3.2報(bào)文解析報(bào)文解析模塊按不同協(xié)議對(duì)報(bào)文進(jìn)行解析，提取出五元組信息、元數(shù)據(jù)信息以及針對(duì)不同協(xié)議的關(guān)鍵特征字段進(jìn)行應(yīng)用識(shí)別。針對(duì)數(shù)據(jù)流中只有數(shù)據(jù)內(nèi)容，沒(méi)有協(xié)議特征字段的協(xié)議，采用如下方式，進(jìn)行加密流量的多流關(guān)聯(lián)識(shí)別。a)對(duì)于DNS報(bào)文，提取出IP和域名的映射關(guān)系后，記錄到IP—域名映射表中，待后續(xù)域名回填應(yīng)用類(lèi)型時(shí)使用。b)對(duì)于FTP等在控制面中攜帶數(shù)據(jù)面端口信息待數(shù)據(jù)面報(bào)文到達(dá)后，可以進(jìn)行跨流的多流關(guān)聯(lián)識(shí)別。c)對(duì)于同時(shí)支持加密和不加密的應(yīng)用，在其明文傳輸數(shù)據(jù)時(shí)，鎖定相應(yīng)端點(diǎn)的IP端口信息，待相同IP端口加密流量到達(dá)后，可以進(jìn)行跨流的多流關(guān)聯(lián)識(shí)別。3.3特征庫(kù)特征庫(kù)包括字串特征庫(kù)和流模式特征庫(kù)2種。字串特征庫(kù)中存儲(chǔ)的是各類(lèi)應(yīng)用報(bào)文的指紋特報(bào)文的匹配。字串匹配方式包括固定偏移位置匹配、浮動(dòng)位置匹配和域名等協(xié)議字段匹配。字串特征支持多個(gè)字串相與運(yùn)算的操作，組合成復(fù)雜字串特征。流模式特征庫(kù)中存儲(chǔ)的是流統(tǒng)計(jì)特征(通過(guò)機(jī)器學(xué)習(xí)獲得的各類(lèi)應(yīng)用的多維度流量特征)，包括報(bào)文間隔、報(bào)文長(zhǎng)度分布、報(bào)文離散度、跨包流特征組合等信息。3.4五元組流表五元組流表用于記錄一個(gè)五元組流的流信息，這些信息分為通用信息和協(xié)議信息2類(lèi)。通用信息是數(shù)據(jù)傳輸過(guò)程中的通用流量特征，例如TCP建鏈時(shí)延、服務(wù)訪(fǎng)問(wèn)應(yīng)答時(shí)延、平均報(bào)文長(zhǎng)度、報(bào)文長(zhǎng)度分布、時(shí)間間隔分布、序列號(hào)增長(zhǎng)、丟包重傳計(jì)數(shù)、報(bào)文亂序計(jì)數(shù)等信息。協(xié)議信息是根據(jù)應(yīng)用協(xié)議類(lèi)型存儲(chǔ)與協(xié)議有關(guān)的相應(yīng)字段。五元組流表中存儲(chǔ)了同一個(gè)五元組流上的相關(guān)流信息，對(duì)于同一流上先后到達(dá)的報(bào)文，可以通過(guò)五元組流表進(jìn)行關(guān)聯(lián)識(shí)別。3.5規(guī)則匹配模塊規(guī)則匹配模塊負(fù)責(zé)完成采集的數(shù)據(jù)與系統(tǒng)內(nèi)靜態(tài)或動(dòng)態(tài)的特征庫(kù)匹配操作，從而完成流量數(shù)據(jù)的分類(lèi)和智能分析。規(guī)則匹配模塊是整個(gè)系統(tǒng)的核心模塊，規(guī)則匹配算法的優(yōu)劣決定了整個(gè)系統(tǒng)的處理性能的高低。規(guī)則匹配模塊由五元組匹配、單包特征匹配和流模式特征匹配組成。郵電設(shè)計(jì)技術(shù)/2022/0873數(shù)據(jù)通信DataCommuincation復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別方法研究a)五元組匹配支持按5個(gè)元組的組合來(lái)進(jìn)行匹配。本系統(tǒng)內(nèi)容主要是針對(duì)IP、IP端口進(jìn)行匹配。通IPIP名映射表，再用查詢(xún)到的域名，送入單包特征匹配單元。通過(guò)IP端口表的查詢(xún)，進(jìn)行多流關(guān)聯(lián)分析，提高加密流量識(shí)別率。b)單包特征匹配支持按報(bào)文凈荷內(nèi)容匹配字串特征庫(kù)預(yù)定義的特征字串。字串匹配方式包括固定偏移位置匹配、浮動(dòng)位置匹配和域名等協(xié)議字段匹配。字串特征支持多個(gè)字串相與運(yùn)算的操作，組合成復(fù)雜字串特征。c)流模式特征匹配支持按五元組流表記錄的流統(tǒng)計(jì)信息匹配流模式特征庫(kù)中流量模型。流模式特征匹配支持基于五元組流表的多包關(guān)聯(lián)識(shí)別，同時(shí)也支持流特征的多維組合智能分析，根據(jù)五元組流表中的流量模型，識(shí)別出相應(yīng)的應(yīng)用類(lèi)型，提高加密流量的識(shí)別率。規(guī)則匹配模塊中各個(gè)匹配單元均根據(jù)各類(lèi)協(xié)議應(yīng)用的規(guī)則庫(kù)，進(jìn)行流量識(shí)別和分類(lèi)。為了提高應(yīng)用識(shí)別的準(zhǔn)確度，在規(guī)則匹配模塊中，針對(duì)某些應(yīng)用類(lèi)型有多重匹配規(guī)則。模塊中設(shè)計(jì)應(yīng)用類(lèi)型仲裁單元，針對(duì)不同匹配規(guī)則制定優(yōu)先級(jí)，采用按優(yōu)先級(jí)加權(quán)重的優(yōu)化算法，智能進(jìn)行應(yīng)用識(shí)別和分類(lèi)，并將結(jié)果填寫(xiě)到五元組流表中，最終進(jìn)一步提升應(yīng)用識(shí)別的準(zhǔn)確性。3.6話(huà)單生成原始數(shù)據(jù)流量在五元組流表中完成相關(guān)流信息的關(guān)聯(lián)識(shí)別后，五元組流信息將從流表中刪除，并將結(jié)果輸出到話(huà)單生成模塊，進(jìn)行五元組表項(xiàng)格式化整理，再送給話(huà)單大數(shù)據(jù)平臺(tái)。五元組流話(huà)單的內(nèi)容包含了流的完整關(guān)鍵信息，全量完整的話(huà)單后期可以在大數(shù)據(jù)平臺(tái)進(jìn)行多鏈路、多場(chǎng)景關(guān)聯(lián)分析，可以進(jìn)一步提升加密流量識(shí)別率。3.7配置管理配置管理模塊實(shí)現(xiàn)對(duì)系統(tǒng)的配置管理和對(duì)外接口功能，包括系統(tǒng)運(yùn)行狀態(tài)監(jiān)控、系統(tǒng)告警、系統(tǒng)參數(shù)3.8系統(tǒng)部署復(fù)雜網(wǎng)絡(luò)環(huán)境下加密流量識(shí)別系統(tǒng)的網(wǎng)絡(luò)部署系統(tǒng)在運(yùn)營(yíng)商網(wǎng)絡(luò)