基于C4.5决策树的单向P2P流量识别方法研究

P2P流量识别方法已能对基于TCP传输的双向P2P流量进行高准确率的识别,但少有论文研究单向P2P流量的识别方法.针对单向P2P流量的识别难点,提出一种基于C4.5决策树的单向P2P流量识别方法.该方法仅利用10个网络流统计特征,且这些特征可在一个流的前若干个数据包内快速计算完成,并对承载P2P流量的传输层协议具有通用性.实验结果表明,该方法识别准确率高,识别时间短,可用于高速骨干链路P2P流量的实时识别.     

带背景流的P2P流量识别技术研究

针对P2P(peer-to-peer,对等体网络)应用系统中对等体主机的行为特征与P2P业务流量特征多样化、复杂化,使得单纯利用一种典型特征的P2P流量分类技术的识别精度不高的问题,提出了一种新的P2P流量多阶段识别方法;该方法根据P2P应用流量的一系列固有特征,可以从聚合网络流中识别P2P流量;通过实验表明,该方法P2P流识别精度可达99.7%,同时错误分类精度0.3%。     

10Gb/s线速可扩展P2P流量识别引擎

通过引入流特征统计和深度数据包检测相结合的思想,设计了一种可扩展的10Gb/s线速P2P流量识别引擎,给出了该引擎的硬件实现方案,详细介绍了方案中已知流过滤、传输层特征统计、净荷关键词匹配等核心部分的实现。测试表明,该引擎可完全实现10Gb/s速率下的P2P流量线速识别,识别准确率大于95%。     

基于双层特征的P2P流量检测

P2P应用的流行和泛滥,占用带宽,吞噬大量的网络资源.为了更好地识别和控制P2P流量,介绍了目前常用的P2P流量检测技术.提出了一个基于应用层有效载荷特征和传输层流量特征的双层特征的高效混合检测方法,介绍了选取的流量特征并总结出相应的数学公式,详细介绍了系统流程以及端口匹配模块、流量特征匹配模块和payload特征匹配模块的实现.通过实验室环境下测试出该方法和单独采用深度数据包扫描方式在虚警率和误报率两方面的数据表明该方法拥有更高的识别率和准确率.     

基于应用层签名特征的P2P流量识别

P2P的广泛使用带来了带宽过量消耗、病毒传播迅速等严重问题。如何在享受P2P技术带来便利的同时又能有效地识别、控制P2P流量是当前的研究热点。通过基于报文TRACE的数据分析方法,获得了当前五种主流的P2P流的应用层签名特征,提出了一个基于应用层签名特征的识别算法,并通过实际实验对所提识别算法的有效性进行了验证,研究成果可直接应用于P2P流量的识别与管理。     

基于聚类和流量传播图的P2P流量识别方法

为有效监管网络,快速精确识别P2P流量,通过分析P2P网络流量中节点与节点、节点与链路之间的交互和行为特征,将聚类方法与流量传播图方法相结合,提出了一种基于网络行为特征的P2P流量识别方法。该方法首先通过采集网络流的包级和流级统计特征对不同种类的网络应用的流量进行聚类,然后利用流量传播图对P2P流量进行识别。实验结果表明,提出的方法在骨干网络数据上能够有效识别P2P网络应用流量,◢F◣▼1▽-measure达到95%以上。     

P2P应用流量的高效分类方法研究

随着互联网应用的广泛使用,网络应用已经呈现出很多类别,尤其是P2P应用流量的暴增。传统的流量分类和应用识别方法已经达不到稳定可观的应用识别率。为了提高P2P应用流量分类准确率和稳定性,科学管理规划网络,提出WMFA(滑动窗口多流关联)分类算法,使用P2P应用流量统计特征,通过降低流统计特征维数,以及减少计算每个流中包的数量,利用C4.5决策树算法对P2P主流应用进行一次分类,采用WMFA算法进行误识别流的挖掘,再进行多流关联进行二次识别,从而提高P2P应用流量分类准确率。实验表明,在降低流特征维数以及减少每个流数据包的前提下,面向国内主流P2P应用WMFA算法对P2P应用在线识别的分类正确率达到96%以上,在准确率上比现有方法平均提高3%。     

P2P流量识别技术综述

在归纳P2P流量识别问题概念的基础上,对现有的P2P流量识别技术进行了较全面地分析.借助分类模型形式化地定义P2P流量识别问题,依据所采用的识别特征将已有技术分为基于端口号、基于流量特征、基于应用层签名、基于双重特征和基于统计行为特征五类方法,并对各类方法进行了介绍、分析与优劣对比.探讨了新兴的P2P流媒体流量识别问题,总结了P2P流量识别技术的发展趋势.     

P2P流量识别技术研究

P2P技术飞速发展,应用形式不断多元化,很大程度上满足了人们信息共享和直接交流的需要;但是同时P2P流量特征决定了它给其他网络应用带来了一定的影响。因此,对高效可靠的P2P流量识别技术的研究刻不容缓。本文阐述了P2P流量特征,在此基础上分析了几种常见的P2P流量识别技术,并对这些技术的性能进行了比较,最后指出未来P2P流量识别技术发展方向。     

P2P流媒体流量特征的提出及验证

使用流量特征的方法可有效实现对未知P2P流媒体流量及加密后流量的辨识,具有可扩展性.总结出多源型P2P流媒体系统区别于P2P文件下载系统的资源高动态性、超细粒度的分块和由此引起的高频度信息交换及调度的独特特性,因此P2P流媒体节点的流量中应具有交换信息的通讯包发送频率高的特征,从而提出通过计算节点入流量的平均连接信息数据比来识别多发送节点方式下的P2P流媒体流量的观点,给出信息数据比的定义及测量模型,并对测度值进行了推导和实验,证明了这些测度值的可用性.     

TCP与UDP网络流量对比分析研究*

网络带宽不断增长,越来越多的音/视频、在线游戏等应用成为网络空间的主体。基于实时性考虑,这些新兴应用协议多选择UDP作为其底层的传输协议,使得UDP流量呈上升趋势,而以往的流量测量工作一般基于TCP进行,忽略了UDP协议。对国内某骨干网流量进行了连续12 h的在线测量,在传输层和应用层分别对TCP和UDP及其应用层协议的流的总数、长度分布、持续时间分布、流的速度分布等进行了详尽的分析,并对TCP和UDP的应用层协议流的大小、长短、快慢作了详细的分类。为网络流的分类技术、网络行为发现、网络设计等提供了数据支持。     

云计算环境下的P2P流量识别

由于内存限制使得单机环境下的P2P流量识别方法只能对小规模数据集进行处理,并且基于朴素贝叶斯分类的识别方法所使用的属性特征均为人工选择,因此,识别率受到了限制并且缺乏客观性。基于以上问题分析提出了云计算环境下的朴素贝叶斯分类算法并改进了在云计算环境下属性约简算法,结合这两个算法实现了对加密P2P流量的细粒度识别。实验结果表明该方法可以高效处理大数据集网络流量,并且有很高的P2P流量识别率,同时结果也具备客观性。     

基于流身份识别的P2P流量检测

网络地址翻译器转发的混合流与P2P数据流呈现相似的流量外部特征。实际测试结果显示,如果数据捕获点位于网络地址翻译器之后,当前P2P流量特征识别方法（TLI）因为没有对网络地址翻译器(NAT)转发混合流进行区分而将导致虚警和漏报情况。为了解决此类问题,提出了基于流身份识别的P2P流量检测方法,首先通过分析IP标识时间序列完成对NAT转发混合流中源自不同设备数据流的身份识别,在此基础上采用流量特征检测P2P流量。以当前主要的P2P应用为例进行测试,结果说明,利用该方法可以有效识别NAT混合流中的P2P流量,较大幅度降低虚警率和漏报率。     

基于排列熵与决策级多传感器数据融合的P2P僵尸网络检测方法

提出了一种基于排列熵和决策级多传感器数据融合的P2P僵尸网络检测算法。首先分别构建流量异常检测传感器和异常原因区分传感器:前者利用排列熵刻画网络流量的复杂度特征(该特征并不依赖于特定类型的P2P僵尸网络),通过利用Kalman滤波器检测该特征是否存在异常;后者利用TCP流量特征在一定程度上减弱P2P应用等网络应用程序对P2P僵尸网络检测的误差影响。最后利用D-S证据理论对上述传感器的检测结果进行决策级数据融合以获得最终的检测结果。实验表明,提出的方法可有效检测新型P2P僵尸网络。     

基于频繁项挖掘的未知P2P流量识别方法

提出一种基于多维聚类的频繁项挖掘算法,利用聚类思想自动挖掘网络中的显著流量及其规则,并在此基础上,对显著流量进行P2P疑似性判别,同时结合应用层特征识别技术,对高度疑似的P2P显著流量类进行过滤,实现未知P2P流量检测。实验结果表明,该方法是有效的。     

基于连接模式的P2P流量识别的研究与实现*

提出基于网络层连接模式的P2P流量识别算法,并对识别过程中的几个关键问题进行了研究。提出采用分光技术对链路数据进行旁路处理,通过在链路层加入过滤策略减少对冗余数据的采集,对采集到的有效数据通过流归并技术进行预处理,并介绍了识别结果显示阶段的相关处理方法。     

利用统计特征结合神经网络的P2P流量识别方法

准确识别P2P流量对进一步地流量控制具有重要的实际意义。利用模糊ARTMAP神经网络实时学习和快速识别的优点,提出一种基于神经网络的P2P流量识别方法。在实际网络环境下对BitTorrent、PPLive、PPStream、EMule四种主流P2P应用进行实验,统计分析并提取了九种流量特征。通过神经网络对各种P2P应用流量特征的学习和识别,得出该方法的识别准确率达到95%以上,验证了其有效性。     

基于P2P应用的网络流量特征分析

为了解和掌握网络中P2P流量的特征，对网络中的P2P文件共享应用的流量进行了分析。发现在P2P文件共享应用Maze产生的流量中：流量具有突发性特点；流量的局部性比WWW和FTP应用相比更不明显；流长分布明显不同于WWW应用；而在流持续时间上明显比WWW和FTP应用要长；所传输的流量中传输量大的流所占的比例要比WWW和FTP要高。