论文地址：https://www.sciencedirect.com/science/article/abs/pii/S1005888511604408

论文源码：无

在电脑应用程序中，有一种一直运行的应用程序，该程序的网络流量也贯穿了用户整个使用时间。这些应用具有一种特殊的通信行为：LTQP。此文章主要是通过构建一种级联结构识别方法来逐步检测LTQP通信行为。

LTQP通信行为是指应用程序出于某种目的，以类似周期性的通信时间，连续地、间歇地向某台服务器发送和接收少量数据包的行为。

基本上有两种具有LTQP通信行为的应用程序(以下简称LTQP应用程序):一种是各种常驻软件，用于即时通讯、微博、社交、杀毒、网盘、邮箱等。这些应用程序自动引导启动，或由用户开机后不久启动，通常出现在系统托盘区域。

另一种是恶意的僵尸网络木马，从启动开始，在用户不知情的情况下在后台持续运行。一些常见的LTQP应用的包长序列如图1所示。“长时间”和“准周期性”这两个特征在图中可以清晰地看到:通信信息在整个在线时间内持续存在;报文(组)具有统一的时间间隔，即以几秒为一次通信。

机器学习被用于聚类数据包间隔时间，获取长时间查询协议的间隔时间并过滤噪声。选择了基于密度的空间聚类算法DBSCAN，其基本思想如下：聚类中的每个点在给定的半径内至少包含给定数量的点，密度足够高的区域将被划分为一个类。使用DBSCAN聚类IPT如下：reps是数据包组超时半径，Ptsmin是一个类的最小间隔数。

步骤1：选择一个IPT P作为起点，标记为已访问，并搜索在reps秒内的所有IPT，作为附近的点。

步骤2：如果附近点的数量少于Ptsmin，则P暂时标记为噪声。

步骤3：否则，形成一个新的IPT类C，将P添加到C中，并将P的附近点中未访问且在reps内有超过Ptsmin个附近点的所有点标记为已访问。扩展该组，并将所有不属于其他类的附近点添加到该类中。

步骤4：重复上述过程，直到所有的IPT都被标记为已访问。

聚类后，IPT被分成几个类并过滤掉了很多噪声。以QQ的IPT为例，聚类结果如图8所示。有3个类，一个大值和两个小值。它们之间的点是噪声。上述IPT分布的分析表明，较大间隔类包含了IPGT。考虑到应用流可能有多于一个LTQP通信行为，所有非零周围的IPGT类应该被检测为准周期，并使用短路判断，只要有一个类是准周期的，就可以确定流具有准周期通信。

对多个应用程序进行检测判断，均达到准确的判断。

分析了网络应用的LTQP通信行为，讨论了其应用类型、IPT分布和分组模式，提出了基于序列假设、聚类和序列结构统计决策的检测算法。通过实验，实现了对LTQP通信行为的检测。本文的研究结果可直接应用于网络中LTQP的检测与识别，具有较高的准确性和实用价值。

论文下载地址：

链接：https://pan.baidu.com/s/19vw0ZoVirnGEFcDSdv1Nqw 
提取码：1msi 
--来自百度网盘超级会员V6的分享