| 识别方法 | 说明 | 识别内容 | 研究文献 | | 基于有效负载的方法 | 从加密协议密匙协商过程中未加密的数据流里提取有用信息来识别协议或应用 | 部分未加密 负载 | 文献[15,16,17] | | 基于分组负载随机性检测的方法 | 根据每个数据分组携带的一些相同特征字段的随机性来识别加密流量 | 负载随机性 | 文献[6]、
文献[18,19] | | 基于机器学习的方法 | 加密技术不处理流统计特征,基于流统计特征的机器学习识别方法受加密影响相对较小 | 流统计特征 | 文献[3]、
文献[20,21,22,23,24,25,26,27,28,29,30,31,32] | | 基于主机行为的方法 | 从主机的角度粗粒度地分析不同应用的行为特征 | 主机行为 | 文献[33,34,35,36,37] | | 基于数据分组大小分布的方法 | 根据数据分组大小分布的差异来识别,该方法受加密影响较小 | 数据分组大小 | 文献[38,39] | | 基于多策略融合的方法 | 大部分方法只对指定加密协议有效,将多种识别方法结合,实现高效识别 | 多种特征 | 文献[40,41,42] |
|