Network Traffic分类方法比较分析
时间:2013-12-21 11:34 文章来源:http://www.lunwenbuluo.com 作者:彭勃 点击次数:
摘要:准确的流量分类是网络管理的前提,比较分析了基于端口、基于数据包、基于主机行为、基于机器学习的四种流量分类方法的优缺点,展望了流量分类技术未来发展方向。
关键词:网络流量;分类方法;机器学习
中图分类号:TP393文献标识码:A文章编号:1009-3044(2013)33-7420-03
如何对各种纷繁复杂的网络应用进行识别对于网络管理和监控来说非常重要,从网络安全监控到网络计费,从QoS(QualityofService)到提供给用户长期有价值的预测信息等,从近期引起广泛争议的美国政府合法监听网络的"棱镜"项目,也说明流量分类可帮助ISP及时识别疑犯在网络任意给定位置使用了何种类型应用。
1基于端口号匹配方法
早期的网络流量分类方法基于传输层端口号,基于端口号的分类器检查每个数据包的端口号,然后根据国际互联网代理成员管理局(IANA)公布的标准端口号和注册端口号列表来查找确定不同的应用类型。例如分类器要想知道服务器端一个新的客户机/服务器的TCP连接类型仅需查找TCP_SYN数据包(这是TCP协议在建立会话过程中三次握手的第一步),通过查找IANA注册端口号表中的TCP_SYN数据包的目的端口号从而推断出应用类型。UDP协议是无连接建立也没有连接状态保持的协议,它也使用类似的端口号匹配方法。
尽管端口号匹配法是最快和最简单的方法,但其存在缺陷。首先,有些应用并不在IANA注册其端口号。第二,有些应用并不使用它的默认端口号以规避操作系统对它的存取控制限制(例如在类似Unix系统中未被授权的用户运行HTTP服务时将被强制禁用端口号80)。第三,在一些情况下服务器端口号将根据需要进行动态分配。例如RealVideo流允许采用动态协商服务器端口号的方式来进行数据传送,在一开始使用默认的标准RealVideo控制端口号建立起来的连接中,服务器的端口号可以通过动态协商而得到。另外,在一些环境下对IP层的信息加密也可能造成TCP_Header和UDP_Header模糊,因此分类器不可能知道其实际的端口号。
Moore等人[1]指出,若使用官方的IANA表,使用基于端口号的分类器准确率将低于70%。Karagiannis等人[2]指出大量的P2P应用使用随机端口传输数据,使得基于默认端口的流量识别方法难以准确标识P2P等新型网络应用。
2基于数据包检测方法
数据包检测方法[3]是通过解析应用层协议数据包载荷特征字符来区分不同的应用。这种方法曾被誉为最为准确的流量识别方法,目前仍为大多数商用系统所采用。但是这需要较高的计算复杂度和访问较多的数据包才能完成。例如,根据Moore等人研究,仅有少量特殊的应用可通过第一个数据包(有载荷数据)而被正确分类,而其他的应用则需更详细的检测,只能当检测到的载荷数据量达到1Kbyte时才能确定其应用类别。匹配特征值可通过公开出版的协议规范获得。
除了需要访问载荷数据,这种方法也不能处理载荷数据加密的应用。首先,面对应用协议的频繁更新、载荷加密技术的普及、新应用频出等状况,该方法的有效性已逐步降低。第二,维护特征库需耗费计算资源和计算时间,其适用范围有限。第三,采集和解析载荷记录受到侵犯用户隐私权等法律问题的约束。
3基于传输层行为模式方法
- 论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
- 论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
-
- 论文投稿客服QQ:
2863358778、
2316118108
-
- 论文投稿电话:15380085870
-
- 论文投稿邮箱:lunwenbuluo@126.com