Zusammenfassung
Die Klassifizierung von Verkehrsströmen anhand von Portnummern ermöglicht heutzutage keine zuverlässigen Aussagen bezüglich der ursächlichen Anwendungen. Auch die Verwendung von anwendungsspezifischen Signaturen stößt an ihre Grenzen, sobald der Verkehr verschlüsselt ist. Ein aktuelles Forschungsgebiet beschäftigt sich daher mit Verfahren, die es ermöglichen, Verkehrsströme mit Hilfe von alternativen Flow- und Paketeigenschaften einer Anwendung zuordnen zu können.
In diesem Kontext stellen wir ein Klassifizierungsverfahren vor, welches die Abfolge von gesetzten TCP-Flags und Paketgrößen innerhalb einer TCP-Verbindung mit Hilfe von Markov-Modellen modelliert. Stehen Markov-Modelle für verschiedene Anwendungen zur Verfügung, kann eine neue TCP-Verbindung durch Bestimmung der maximalen Aposteriori-Wahrscheinlichkeit einer dieser Anwendungen zugeordnet werden. Ein Vergleich des Verfahrens mit dem viel zitierten Ansatz von Bernaille [Teixeira and Salamatian, Early application identification: 2006] zeigt, dass sich mit unserem Ansatz ähnlich gute und bei geeigneter Parametrisierung sogar bessere Klassifikationsergebnisse erzielen lassen.
© 2010 Walter de Gruyter GmbH & Co. KG, Berlin/New York
