流量识别
网络流量识别与分类研究
网络流量识别与分类研究随着互联网的日益普及,人们逐渐离不开网络。
然而,网络的使用也带来了很多问题,其中之一便是网络流量的管理。
网络流量是指在网络中传输的信息,根据不同的内容和用途,可以被分为不同的类型。
本文将探讨网络流量的识别与分类研究。
一、网络流量的识别网络流量的识别是指对在网络中传输的信息进行简单的分类,以便于后续的管理和分流。
网络流量的识别可以采用深度学习等人工智能技术,也可以使用一些传统的算法。
在具体实践中,网络流量的识别可以分为两个部分:传输层流量识别和应用层流量识别。
1. 传输层流量识别传输层流量识别可以将网络的传输层协议进行分类。
传输层协议主要有TCP和UDP两种。
TCP协议是面向连接的协议,保证了数据的可靠性和数据的正确性。
UDP协议则是面向无连接的协议,可以快速地传输数据。
在实验室中,我们可以通过分析包头中的标识符来区分TCP和UDP协议。
2. 应用层流量识别应用层流量识别则可以将网络中的应用进行分类。
网络中的应用有很多种,如HTTP协议、FTP协议、P2P协议等。
我们可以通过对网络包的特征进行分析来识别不同的应用。
比如HTTP协议的应用层端口是80端口,FTP协议则是21端口。
二、网络流量的分类网络流量的分类是指对已经识别的流量进行更为细致的分类和管理。
网络流量的分类可以依据不同的需求而进行不同的划分。
在网络管理中,我们通常需要将网络流量分为是否有害流量和是否正常流量,以便于进行进一步的管理。
1. 正常流量分类正常流量是指那些网络中传输的正常数据。
在实践中,我们可以将正常流量分为以下几类:(1)Web流量:指那些由浏览器发出的HTTP请求。
(2)Email流量:指由邮件客户端或邮件服务器发出的邮件。
(3)FTP流量:指由FTP客户端或FTP服务器进行的文件传输。
(4)VoIP流量:指由VoIP软件(如Skype)进行的语音传输。
2. 有害流量分类有害流量是指那些意图破坏网络性能或者非法获取网络资源的数据。
数据链路层技术中的流量分析与监控方法(一)
数据链路层技术中的流量分析与监控方法引言:在互联网时代,数据的传输速度和网络效率变得尤为重要。
数据链路层是计算机网络中的一层,负责将上层传输的数据分成适当的数据帧并发送到物理层。
为了保证网络的稳定和高效,对数据链路层的流量进行分析和监控就显得至关重要。
本文将介绍数据链路层技术中的流量分析与监控方法。
一、流量分析方法1. 网络流量捕获网络流量捕获是一种常用的流量分析方法,包括嗅探和抓包。
嗅探通过监听网络接口上的数据包,获取网络流量的信息,这可以帮助管理员了解网络的传输情况。
而抓包则是指捕获网络包并进行分析,从而获得更详细的网络流量信息。
这两种方法结合使用可以提供全面的流量分析。
2. 协议分析在网络通信中,各种协议都扮演着重要的角色。
通过对数据链路层中的协议进行深入分析,可以了解网络流量的特点和行为。
例如,可以分析以太网协议的帧结构,了解数据包的格式和大小,从而判断网络负载是否过高,以及是否存在异常行为。
3. 流量识别流量识别是指通过对数据包的内容进行分析,来确定其类型和来源。
这对于网络管理和安全监控来说至关重要。
通过提取数据包中的关键信息,如协议类型、源IP地址和目标IP地址等,可以对流量进行分类和识别。
这种方法可以帮助管理员识别恶意流量和网络攻击。
二、流量监控方法1. 基于端口的监控端口是数据链路层中的重要概念,不同的应用程序通常使用不同的端口号来进行通信。
通过监控网络中的端口活动,可以了解各个应用程序之间的通信情况。
利用这种方法,管理员可以检测到异常流量和非法访问行为。
2. 流量统计流量统计是一种常用的监控方法,通过记录每个网络节点或链路上的流量信息来评估网络的性能。
可以使用各种工具和软件来收集和分析流量数据,如Wireshark和SNMP等。
这些统计数据可以帮助管理员了解网络的负载情况、瓶颈和流量分布情况,从而做出相应的优化措施。
3. 基于规则的监控基于规则的监控是指制定一系列的规则和策略,通过分析网络流量来检测潜在的问题和威胁。
网络流量识别技术在网络安全中的应用研究
网络流量识别技术在网络安全中的应用研究随着互联网的不断普及,网络安全问题成为人们越来越关心的问题。
在网络上进行交流、购物、娱乐等活动已经成为人们生活的一部分,但网络安全的威胁也日益增加。
网络攻击手段不断升级,安全事件也不断发生。
因此,加强网络安全防范措施成为必要。
网络流量识别技术是常用的一种网络安全防护技术,它能有效地防止网络攻击和对运营商网络造成的资源浪费。
网络流量识别技术是将网络流量通过网络协议识别、端口号识别、网络协议行为分析和应用层请求内容识别等技术手段进行分类,从而实现网络流量的分类和过滤。
网络流量包含了许多种类型的数据,例如数据传输、控制、非协议和应用程序等,对于网络流量进行分类可以将网络流量进行有效的管理和控制。
常用的网络流量识别技术主要包括基于端口号的识别技术、基于协议的识别技术、基于行为分析的识别技术和基于内容识别技术。
其中,基于端口号的识别技术是根据不同应用程序使用的端口号来识别应用程序的流量类型。
端口是一种逻辑通道,用于传输数据包。
不同应用程序使用的端口号不同,因此可以通过端口号来识别应用程序的流量类型。
基于端口号的识别技术简单易用,但对于使用非标准端口的应用程序无法进行有效的识别。
基于协议的识别技术是通过对数据包的协议头进行解析,从而识别网络流量。
例如,HTTP协议的默认端口是80,因此在解析到端口为80的数据包时,可以认为这是HTTP协议的流量。
基于协议的识别技术较为精准,但对于使用加密协议的应用程序无法进行有效的识别。
基于行为分析的识别技术是通过对数据包的大小、发送频率、发送时间等特征进行分析,从而识别网络流量。
例如,DDoS攻击通常会发送大量数据包,因此可以通过对数据包大小的分析来识别DDoS攻击。
基于行为分析的识别技术可以有效地识别网络攻击流量,但对于正常流量的误判率较高。
基于内容识别技术是通过对应用层协议的内容进行解析,从而识别网络流量。
例如,对于使用HTTPS协议的应用程序,可以通过解密数据包并对其内容进行解析,从而识别流量类型。
加密流量识别的基本原理
加密流量识别的基本原理
加密流量识别主要是指对加密通信中传输的数据流进行监控和
分析,以了解通信双方的交互信息。
其基本原理是利用加密通信中数据交换的特征,如数据包大小、传输时间间隔、协议类型等,结合网络流量分析技术进行识别和分析。
加密流量识别通常分为两种方法:一种是基于端口、协议和应用程序的识别方法,另一种是基于流量分析的识别方法。
前者主要是指通过检测端口和协议(如HTTPS、SSH等)以及应用程序(如网页、
邮件、聊天等)来识别加密流量。
后者则是通过对加密流量的流量特征进行分析,如数据包的大小、时间间隔、传输方向等,来进行识别和分析。
在实际应用中,为了提高识别准确率,可能需要使用多种方法和技术进行综合分析。
如使用深度学习算法进行数据挖掘、使用网络流量分析工具进行流量捕获和分析,通过多种手段进行数据分析和处理,从而实现对加密流量的准确识别和分析。
总之,加密流量识别是一种重要的网络安全技术,其基本原理是通过从加密通信中提取特征,结合流量分析技术进行识别和分析,从而保障网络安全和信息安全。
- 1 -。
SDN的网络流量管理技巧(六)
SDN的网络流量管理技巧在当今的网络环境中,随着云计算、大数据和物联网等技术的快速发展,网络流量管理越来越成为网络运维人员面临的一项重要挑战。
SDN(软件定义网络)作为一种新兴的网络架构,为网络流量管理提供了全新的技术手段和方法。
本文将从流量识别、流量控制和流量优化三个方面探讨SDN的网络流量管理技巧。
一、流量识别在网络流量管理中,首先要做的是对网络中的流量进行识别。
SDN通过集中式的控制器和网络操作系统,可以实现对网络中流量进行细粒度的识别和分类。
通过SDN控制器的编程能力,可以在网络设备上部署流表,实现对不同类型的流量进行识别和标记。
这样就可以根据流量的特征进行灵活的控制和管理。
此外,SDN还可以通过与其他系统集成,获取更多的上层应用信息,从而进行更加精准的流量识别。
例如,可以与云计算平台集成,获取虚拟机的信息,从而对虚拟机之间的流量进行精确识别和管理。
二、流量控制一旦对网络中的流量进行了识别,就需要对流量进行有效的控制。
SDN通过集中式的控制器和编程能力,可以实现灵活的流量控制策略。
控制器可以根据实时的网络状态和流量特征,对流量进行动态的调整和控制。
例如,可以根据流量的类型和优先级进行流量分类和调度,从而实现对网络资源的合理分配和利用。
此外,SDN还可以实现对网络中的流量进行细粒度的控制和调度。
通过在网络设备上部署流表,可以实现对流量的多种处理,如ACL(访问控制列表)、QoS (服务质量)和负载均衡等。
这样就可以根据不同的业务需求和网络策略,对流量进行个性化的控制和管理。
三、流量优化除了对流量进行识别和控制,SDN还可以通过优化网络结构和流量路径,实现对网络流量的优化。
SDN通过集中式的控制器和全局视野,可以对整个网络进行综合的规划和优化。
控制器可以根据实时的网络状态和流量特征,对网络结构和流量路径进行动态的调整和优化。
例如,可以根据流量的负载和延迟,对网络拓扑进行自适应调整,从而实现对网络流量的智能优化。
网络流量管理的关键技术
网络流量管理的关键技术随着互联网的迅速发展和普及,网络流量管理变得越来越重要。
有大量数据流经网络,管理和优化网络流量对于保证网络性能和用户体验至关重要。
本文将介绍网络流量管理的关键技术,包括流量识别、流量控制和流量优化。
一、流量识别在进行流量管理之前,首先需要对网络流量进行识别。
流量识别是指通过对网络数据进行分析和识别,判断出不同流量类型和特征。
流量识别可以基于不同的特征进行,包括协议类型、源IP地址、目的IP 地址、端口号等。
常用的流量识别技术有深度包检测(Deep Packet Inspection,DPI)、流量分析和流量分类。
深度包检测是一种通过对数据包进行深入解析,提取特定信息以进行流量识别的技术。
通过检测数据包的头部和负载,可以识别出具体的流量类型。
深度包检测可以实现对各种应用和协议的识别,对保证网络安全和流量管理非常有帮助。
流量分析是一种通过对网络流量进行收集和分析,获取流量特征和统计信息的技术。
通过对流量的分析,可以了解网络的使用情况、瓶颈和异常情况,为流量管理和优化提供依据。
流量分类是一种根据特定规则对网络流量进行分类和标记的技术。
通过预设的规则,可以将网络流量分类为不同的类型,如视频流量、文件下载流量等。
流量分类可以帮助网络管理员更好地控制和管理不同类型的流量。
二、流量控制流量控制是指对网络流量进行限制和调控,以保证网络性能和资源的合理分配。
流量控制可以通过限制带宽、设定访问策略和优先级等方式来实现。
限制带宽是一种常用的流量控制方式。
通过设定带宽的上限,可以限制单个用户或特定应用的流量,避免其占用过多的网络资源。
带宽控制可以根据需要进行调整,以满足不同用户和应用的需求。
设定访问策略是一种对特定应用或用户进行访问控制和权限管理的方式。
通过设定访问策略,可以限制特定应用的访问权限,避免其占用过多的带宽和资源。
优先级调度是一种按照设定的优先级顺序对网络流量进行调度和管理的方式。
通过设定不同应用或用户的优先级,可以确保重要的流量优先得到处理和传输,提高网络的性能和用户体验。
网络流量识别的基本方法与技术
网络流量识别的基本方法与技术1. 引言网络流量识别是在当今互联网时代中十分重要的一项技术。
随着网络的快速发展和应用的普及,对网络流量进行准确的识别和分析,有助于提高网络服务的质量、保护网络安全以及优化网络资源的分配。
本文将介绍网络流量识别的基本方法与技术,并探讨其在实际应用中的意义和挑战。
2. 传统基于端口的识别方法传统的基于端口的识别方法是最常见的一种方式。
该方法通过判断数据包传输时所使用的端口号,以识别通信协议或应用程序。
例如,HTTP通信通常使用80端口,而HTTPS通信则使用443端口。
然而,这种方法存在局限性,因为现代网络中存在大量的应用程序使用动态端口或进行端口的伪装。
3. 深度包检测(DPI)技术深度包检测(DPI)技术是一种较为先进的网络流量识别方法。
通过对数据包的内容进行深入分析,DPI能够实现对通信协议和应用程序的准确识别。
DPI技术能够判断特定应用程序的使用情况,例如视频流和音频流的传输。
然而,DPI技术也存在一些挑战,比如隐私保护和法律合规性等问题。
4. 基于机器学习的方法随着人工智能和机器学习的快速发展,基于机器学习的网络流量识别方法也得到了广泛应用。
这种方法利用训练好的机器学习模型,通过对流量数据进行特征提取和分类,以实现识别的目标。
例如,可以使用支持向量机(SVM)模型对网络流量进行分类。
但是,此方法对于大规模数据集处理的复杂性以及模型训练的困难性也是存在的挑战。
5. 基于行为分析的方法基于行为分析的方法是一种较新的网络流量识别技术。
该方法通过分析用户的行为模式和流量的特征,以识别出异常流量或潜在的安全威胁。
例如,当网络流量突然增加或用户行为异常时,可以通过行为分析来检测到潜在的网络攻击。
然而,该方法的准确性和实时性仍然需要进一步的研究和改进。
6. 结论网络流量识别是网络管理和安全保护中的关键技术。
本文介绍了传统基于端口的识别方法、深度包检测(DPI)技术、基于机器学习的方法以及基于行为分析的方法。
基于人工智能的网络流量识别与分析系统设计
基于人工智能的网络流量识别与分析系统设计网络流量识别与分析系统是一个基于人工智能的关键技术,它在当前高度信息化的社会中具有重要的意义。
本文将从系统设计的角度,介绍一个基于人工智能的网络流量识别与分析系统的设计。
一、引言随着互联网的迅猛发展,互联网数据量呈指数级增长,各种网络交互活动也大量产生。
对这些巨大的网络流量进行分类和分析,不仅是网络管理者、网络安全专家等职业人士的需求,也是企业和政府等组织机构对网络数据进行有效利用的重要手段。
通过了解和分析网络流量,可以更好地了解用户行为模式、网络威胁和攻击等安全事件,从而有针对性地做出相应的处理和决策。
二、系统架构设计基于人工智能的网络流量识别与分析系统主要包括流量采集、预处理、特征提取、分类与分析、结果展示等模块。
以下将详细介绍这些模块的设计方案。
1. 流量采集模块流量采集是网络流量识别与分析系统的第一步,主要目的是获取网络传输中的数据包。
常用的数据包获取方式有主动式和被动式两种。
主动式采集需要网络管理者在设备上部署特定的软件或硬件设备来主动监测网络流量;被动式采集则通过网络设备的镜像端口或使用网络流量嗅探技术来截取流经某个特定设备的数据包。
2. 预处理模块预处理模块旨在对采集到的原始流量数据进行清洗和格式化。
由于网络中的流量数据量通常较大,且不同网络设备之间的流量数据格式可能存在差异,因此预处理模块需要进行数据清洗、格式转换和去噪等操作,以保证后续处理的高效性和准确性。
3. 特征提取模块特征提取是网络流量识别与分析系统的核心模块之一,其目的是从经过预处理的流量数据中提取出有意义的特征。
常用的特征包括传输层特征(如端口号、传输协议等)和应用层特征(如HTTP请求、邮件内容等)。
特征提取模块可以采用传统的基于规则的方法,也可以使用机器学习算法,如支持向量机(SVM)、随机森林(Random Forest)等。
4. 分类与分析模块分类与分析模块是网络流量识别与分析系统的关键模块,其目的是对提取到的特征进行分类和分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
p2p流量识别与控制:网络应用 介绍并分析P2P流量识别和监测疯狂代码 / ĵ:http://PointToPoint/Article42519.html 随着P2P应用不断增多P2P流量所占网络总流量比重越来越大准确地识别出网络中P2P应用流量对网络规划设计、QoS保证等都有十分重要作用介绍了当前P2P流量识别研究现状综述了 4种典型P2P流量识别技术:端口识别法、应用层特征识别法、流量模式识别法以及连接模式识别分析了各个技术优缺点并对P2P流量识别发展趋势进行了些探讨 关键词 P2P;流量识别;测量;加密;流量管理 引言 P2P (Peer to Peer)是近年来出现种新网络应用它出现开启了网络边缘未使用资源当前随着硬件价格不断下降作为客户端PC机已经具有相当大处理能力和存储空间然而这些资源在大部分时间都是处于闲置状态比如在当前Internet中流行C/S配置模式中用户PC机仅仅是被作为个显示网页工具而P2P体系结构则可以使用这些PC机分担网络中心任务上百万个Internet用户组合得到处理能力将远远高于任何个中心服务器处理能力除此以外P2P体系结构还具有开放性、可扩展性强等特点所有这些使得P2P应用在短短几年时间有了飞速发展其体系结构也经历了由集中式服务器(Napster)到纯分散式文件共享系统(Gnutella)再到部分分散式结构(KazaA);由使用固定端口到使用动态端口进行数据传输;由使用独特端口到和其他应用合用端口(如使用Web应用80端口等);由明文传输到进行数据加密传输等变化过程 研究表明尽管受版权等问题困扰当前P2P应用仍呈现快速增长趋势并且变得越来越隐蔽[3]P2P飞速发展方面丰富了网络中应用形式但另方面也带来了许多负面问题如:P2P文件共享过程中版权问题;P2P应用大量占用网络带宽问题;以及P2P流量模式对传统网络设计带来挑战等其中后者尤为网络设计、管理人员所关注我们知道在Web应用流量占网络流量主体时由于Web流量高度非对称性(用户链路下行流量要远远高于其上行流量)大部分用户接入方式如ADSL、Cable modem等都设计为下行带宽远高于上行带宽而在P2P应用中由于所有性能具有很大影响例如对于些ISP而言文件共享流量约占其总流量60%另外企业网络中大量出现P2P流也会极大地影响网络性能因此无论从ISP角度还是从企业网络管理人员角度都希望能够将P2P流量有效识别出来从而便于网络规划和管理对于个企业而言可以限定P2P流量不超过某个阈值从而能够为其他重要应用提供定程度上QoS保证;或者为了网络管理需要直接在内部将P2P流量过滤掉而对于ISP而言可以在此基础上对服务进行控制以及对用户进行管理等但是当前识别P2P个主要挑战就是以种可扩展方式识别出P2P流量同时不要求对所有分组进行深层分组检查(DPI, deep packet inspection) 文章后面部分按照下述方式组织:第部分概述了P2P流量识别技术;第 2部分详细综述了当前几种常用P2P流量识别技术;第 3部分对P2P流量识别技术发展进行了展望;最后对全文进行了整理总结 1 P2P流量识别技术概述 为了控制网络P2P应用对带宽大量占用必须首先对P2P流量进行有效地监控它涉及到下面几个方面问题:流量采集、流量识别以及流量控制在其中流量采集和其他网络监测方式采用技术完全致流量控制则取决区别网络管理策略由网络管理人员进行相应设置例如进行P2P流量限制或者完全过滤P2P流量等因此这里关键部分是流量识别操作根据实现思想区别可以将它分为多种类型如基于分组分析、基于流分析等其实现方式直接关系到整个监控系统实现效率以及系统可用性 P2P应用从最初采用固定端口发展到使用可变端口甚至使用其他应用端口进行数据传输在传输具体内容方面也从使用明文传输发展到对传输数据进行加密处理因此对P2P流量进行识别技术也随的经历了相应变化过程本文中我们主要针对 4种典型识别思路方法进行讨论包括端口识别法、应用层特征识别法、流量模式识别法以及连接模式识别法对于这几种技术我们将在第 2节中进行详细讨论 2 典型P2P流量识别技术 2.1 端口识别法 在P2P应用兴起早期大多数应用使用都是固定端口例如Gnutella使用6346-6347端口BitTorrent使用6881-6889端口等在这种情况下对其流量识别方式和识别普通应用分组方式完全相同:在需要监测网络中被动收集分组然后检查分组运输层首部信息如果端口号和某些特定端口号匹配则介绍说明该分组即为P2P流量分组可以按照预设动作对其进行处理这种识别思路方法最大优点就是简单易行它不需要进行复杂分组处理即可得出结论在P2P应用出现初期它显得十分简单有效但是随着P2P技术发展该思路方法逐渐变得不再适用因此后来又出现了些新技术方案 2.2 应用层特征识别法 和第代使用固定端口进行数据传输P2P应用区别当前许多P2P应用都能够通过使用随机端口来掩盖其存在有些甚至可以使用HTTP, SMTP等些协议使用熟知端口这增加了识别P2P流量难度:简单通过分析分组首部端口信息已经无法识别出这类应用存在 但是每种应用分组中都携带有特定报文信息例如HTTP协议报文中会出现GET, PUT, POST等报文字样和的相类似在各种P2P应用协议中也具有类似信息因此人们提出了通过检查分组内部携带负载信息进行分组识别思路方法文献[2]提出了种利用应用层特征方式对P2P流量进行识别在[2]中作者首先对5种常见P2P协议(KaZaA, Gnutella, eDonkey, DirectConnect以及BitTorrent)特征进行了分析提取出其特征信息然后根据特征信息对收集到分组进行模式匹配操作从而判断出该分组是否属于某类P2P应用分组例如Gnutella连接建立报文具有下述格式 GNUTELLA CONNECT/\n\n 而应答报文格式如下 GNUTELLA OK\n\n 根据这些以及其他类似特征即可判定相应报文是否为P2P应用报文并由此确定某个流是否为P2P流 [2]中实际测量结果表明在大多数情况下该思路方法能够以低于5%概率对分组进行识别 和第种思路方法相比上述思路方法能够识别出使用可变端口P2P流量(这正是当前P2P应用发展个趋势)提高了其结果准确性例如在同样情况下用户数据特征识别 法识别出P2P流量是仅仅采用端口进行识别思路方法得到结果3倍[2]但是分析不难发现这思路方法存在下述些问题: 只能针对已知数据格式P2P应用进行识别这使得每出现种新P2P应用就需要修改上述实现因而造成其扩展性不好; 对用户数据检查不符合Internet基本原则并且由于诸如法律、个人隐私等原因检查用户数据在许多情况下几乎是不可能; 由于需要对分组内部数据进行全面检查分析使得其实现效率不是很高; 随着技术发展些P2P应用开始以密文方式进行数据传输面对这种情况用户数据识别方式则完全是无能为力 上述种种原因导致用户数据识别思路方法通用性十分有限而且随着P2P技术发展这种识别思路方法也会和通过固定端口进行识别思路方法相类似逐渐不适应实际需要因此有必要找到其他思路方法对P2P流进行较为精确识别 分析端口识别法和应用层特征识别法可以发现尽管两者实现机理完全区别但是其基本思想均是基于P2P应用些外在特征并且这些外在特征是可以隐藏旦出现上述情况这些识别思路方法就不再适用而且上述两种思路方法只能识别已知P2P协议流量旦出现种新P2P应用必须修改上述识别思路方法才能对其进行识别这限制了它们应用范围因此为了能从根本上解决这些问题必须分析P2P应用和其他些诸如Web等应用根本区别然后利用这些本质特征对其进行识别下述两种思路方法就分别从P2P应用流量特征以及P2P网络连接模式特征着手对其进行了分析 2.3 流量模式识别法 这是在Caspian路由器中实现种功能该路由器记录经过它每条流信息因此可以实现基于流流量识别和控制功能以种新方式对P2P流量进行识别和控制并且如前所述这解决方案是基于P2P流内在特征避免了前面两种识别思路方法中些问题 表1 几种比较常见IP服务流量特征 服务 持续时间 平均速率 传输字节数 HTTP 短 高 中-高 VPN 长 低 高 Games 长 低 高 Streaming 长 中 高 Telnet 长 低 中 Fileshare / P2P 长 中-高 高 上表1描述了几种区别应用对应流量特征[4]由此可以看出P2P应用特点是持续时间长、平均速率较高以及总传输字节数高这和文件传输如FTP等应用有些类似但是该类应用可以很方便通过端口号识别出来而且由于这些应用和用户交互性不如Web、视频等应用高因此出现定误判导致对它们流量限制不会造成大问题 另外根据流所包含字节数可以很容易将普通Web流量同P2P文件共享流量区分开 可见通过分析区别应用流量模式可以实现识别P2P流量目而且这思路方法不需要对分组内部用户数据进行检查因此不受数据是否加密限制扩大了其适用范围但是由于需要记录每条流信息这种思路方法对内存空间以及处理速度都提出了比较大要求这方面国内较为知名网管软件Software:聚生网管系统就是采用这种思路方法从而使得封堵P2P软件Software较其他网管软件Software有明显优势 2.4 连接模式识别法 [1]中提出了种在传输层识别P2P流量思路方法它仅仅统计用户分组首部信息而不涉及具体数据因此方面克服了前述思路方法对加密数据无法识别问题同时又不涉及用户具体数据符合Internet体系结构中端到端原则其基本思想是:基于观察源和目IP地址连接模式些模式是P2P所独有因此可以由此直接将P2P流量识别出来;另外些模式由P2P和其它少数应用所共有这时可以根据对应IP地址流历史以及其它特征来减少误判概率 在这种思想具体实现中Thomas Karagiannis等给出了两种启发式思路方法:(1) 识别出那些同时使用TCP和UDP进行数据传输源-目IP地址对研究表明大约2/3P2P协议同时使用TCP和UDP协议而其他应用中同时使用两种协议仅仅包括NetBIOS、游戏、视频等少数应用[1]因此如果个源-目IP地址对同时使用TCP和UDP作为传输协议那么可以认为在这地址对的间流除些已知应用外(对于这些应用可以根据它们特征将其排除)很有可能就是P2P流可以将它们加入到候选P2P流队列中;(2) 基于监测{IP, 端口}对连接模式这思路方法基本依据为:当个新主机A加入P2P系统后它将通过super peer广播其IP地址以及接受连接端口号port其他主机收到后利用这信息和主机A建立连接这样对端口port而言和其建立连接IP地址数目就等于和其建立连接区别端口数目(区别主机选择同端口和主机A建立连接可能性是很低完全可以忽略不计)而其他些应用如Web个主机通常使用多个端口并行接收对象这样建立连接IP地址数目将远小于端口数目但是另外些应用如mail、DNS等也具有类似属性因此使用这种思路方法在实际识别过程中需要将它们区分出来 3 难点问题和研究路线 由上文分析我们可以发现流量识别过程本质上就是根据流量或其中分组基本特性进行模式识别过程考虑区别特性可以设计出区别识别思路方法其实现性能以及算法通用性也会有很大区别 当前P2P流量识别难点主要来自两个方面:(1) Internet链路带宽不断增长;(2) 数据加密、隐藏等技术在P2P中应用前者导致网络中单位时间内数据以及流数目增大给数据采集增加了困难而后者又使得传统端口、应用层特征等识别思路方法不再适用 流量模式分析和连接模式分析两种思路方法尽管在定程度上避开了难点(2)带来问题但是它们分析思路方法又略显粗糙而且在这两种思路方法中各种特征及其在识别过程中对最终结果影响因子是由管理人员主观确定无法由根据识别过程中学习信息自动进行调整因此如何提取并有效利用P2P应用流量及连接特征仍是个有待研究问题在下步研究中可以将模式识别和人工智能中些技术引入识别过程中综合运用小波变换、人工神经网络等技术对P2P流量特征进行发掘 4 结束语 当前网络中P2P应用数目不断增加流量也呈现逐渐增长趋势而且分布式、加密、匿名P2P应用越来越成为主流[3]在这种情况下为了满足服务质量、网络规划、计费和审计等基本要求必须对P2P流量进行有效识别和监测本文所描述几种典型P2P流量识别思路方法分别针对P2P流量区别方面特征对其进行了分析和识别但是随着P2P技术不断发展上述识别思路方法仍需要相应改进包括挖掘P2P流量深度特征在识别系统中引入智能学习功能等另外在未来网络发展过程中应当考虑在网络体系结构设计引入这种流量识别监测机制以便对网络中相关P2P流量进行实时、高效监控同时能够根据网络运行状况以及用户设定处理规则对其进行智能控制从而为网络管理人员提供个便利管理平台2008-12-18 14:02:12疯狂代码 /。