網(wǎng)絡(luò)業(yè)務(wù)流識別研究綜述

1、網(wǎng)絡(luò)業(yè)務(wù)流識別研究綜述宋龍高朱從喜華信咨詢設(shè)計研究院有限公司摘要：互聯(lián)網(wǎng)的蓬勃發(fā)展出現(xiàn)了多種多樣的網(wǎng)絡(luò)運用功能，但與此同時也爆發(fā)嚴重的 安全危機。分類和識別互聯(lián)網(wǎng)流量能夠營造安全可信的互聯(lián)網(wǎng)環(huán)境，保證各項網(wǎng) 絡(luò)服務(wù)功能可以正常發(fā)揮作用。關(guān)鍵詞：網(wǎng)絡(luò)業(yè)務(wù)流;文獻研究;網(wǎng)絡(luò)技術(shù);1網(wǎng)絡(luò)流量分類和識別的意義1.1便于網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理員能夠通過網(wǎng)絡(luò)流量的分類和識別，了解到當前網(wǎng)絡(luò)的運行狀況，及 時進行設(shè)備的搶修和擁塞鏈路的疏通。同時可以幫助管理員明確當前的網(wǎng)絡(luò)結(jié)構(gòu), 根據(jù)網(wǎng)絡(luò)流量的分析結(jié)果進行網(wǎng)絡(luò)結(jié)構(gòu)的科學優(yōu)化和補足設(shè)計pm,防止出 現(xiàn)掃描式的修補和投資。1. 2便于安全檢測網(wǎng)絡(luò)流量能夠察覺到各種病毒

2、信息，受到不同病毒信息影響時網(wǎng)絡(luò)流量會呈現(xiàn) 出不同的變化趨勢，因此分類和識別網(wǎng)絡(luò)流量能夠分析不同的病毒信息，如木 馬、僵尸世1、分布式拒接服務(wù)攻擊£11等等。而且網(wǎng)絡(luò)流量的識別和分類，能夠 讓網(wǎng)絡(luò)提供商加強網(wǎng)絡(luò)安全的監(jiān)管力度，保證用戶的個人隱私。1. 3合理配置流量工程雖然當前的網(wǎng)絡(luò)應用較多，但是在眾多網(wǎng)絡(luò)應用中，少部分應用占據(jù)大多數(shù)流 量，甚至會影響內(nèi)存導致其他網(wǎng)絡(luò)應用無法正常發(fā)揮功能。isp為了實現(xiàn)網(wǎng)絡(luò)流 量的合理分配，根據(jù)不同用戶的需求提供針對性的網(wǎng)絡(luò)服務(wù)。通過網(wǎng)絡(luò)流量的識 別和分類可以了解不同應用的實際運用情況，了解網(wǎng)絡(luò)應用的未來發(fā)展狀況的 發(fā)展?jié)摿?，采用預期性的路由政策，保

3、證網(wǎng)絡(luò)流量資源的合理配置。2網(wǎng)絡(luò)流量分類和識別發(fā)展現(xiàn)狀網(wǎng)絡(luò)流量的分配和識別，能夠了解當前網(wǎng)絡(luò)業(yè)務(wù)的開展狀況，進行網(wǎng)絡(luò)結(jié)構(gòu)的 科學優(yōu)化和補足設(shè)計，及時進行設(shè)備搶修和擁塞鏈路的疏通，提高服務(wù)質(zhì)量等。 如今越來越多的學者專家開始進行網(wǎng)絡(luò)業(yè)務(wù)流精確識別和分類研究，這是當前 的熱門研究方向，目前在眾多學者專家的努力下取得了驕人的成績。當前業(yè)界內(nèi) 權(quán)威的方法有四種，分別為:主機行為法、端口分析法、深度包檢測(dpi)流識 別法以及流統(tǒng)計特征的識別方法。早期互聯(lián)網(wǎng)地址指派機構(gòu)(internet assigned numbersauthority, 1ana7) 頒布了端口映射表，成為指導人們識別和分類網(wǎng)絡(luò)業(yè)

4、務(wù)流的準則，可以進麗 絡(luò)業(yè)務(wù)流的分類。操作基礎(chǔ)是syn包或tcp,根據(jù)端口號確定網(wǎng)絡(luò)業(yè)務(wù)流，這是 較為基礎(chǔ)和簡單的操作方法良1，也是當時業(yè)界內(nèi)使用較多的方法。但是隨著新 技術(shù)的發(fā)展，這種原理簡單、操作簡便的識別方法，已經(jīng)不能滿足當前的社會需 求，而且弊端也逐漸顯露，p2p的應用也讓它逐漸被時代淘汰10 11。臨時端 口無法得知動態(tài)端口號信息和iana信息。很多p2p應用是基于動態(tài)端口或隱藏 端口，因此防火墻難以實現(xiàn)有效的阻隔，當前的互聯(lián)網(wǎng)環(huán)境下這種分類方法已 經(jīng)逐漸喪失競爭優(yōu)勢。3網(wǎng)絡(luò)流量分類和識別的內(nèi)外研究綜述二十一世紀初moore£31等人通過iana列表信息確定端口的分類標準，

5、實踐后發(fā) 現(xiàn)獲取的分類結(jié)果擁有低于七成的準確率。willieunsonlll等人通過實證測試了 解端口號流量的識別情況，發(fā)現(xiàn)近6成的流量無法進行有效識別。在當前的互聯(lián)網(wǎng)環(huán)境下，端口號網(wǎng)絡(luò)流識別方法已經(jīng)逐漸喪失競爭優(yōu)勢，為了 滿足當前的流量識別需求，眾多學者專家和網(wǎng)絡(luò)工作者希望能夠研發(fā)出更加精 準的識別方法，能夠提高網(wǎng)絡(luò)流量分類的準確率，由此誕牛了基于深度包檢測 (deep packet inspection, dpt)的網(wǎng)絡(luò)流識別分類方法。sen13等人發(fā)現(xiàn)該 方法的確能夠改善以往網(wǎng)絡(luò)流量分類準確率不足的情況。papagiannaki等在該 技術(shù)的基礎(chǔ)上結(jié)合端口號后，能夠識別69%的網(wǎng)絡(luò)業(yè)務(wù)測

6、試流，能夠?qū)崿F(xiàn)近百 分之百的分類流量識別率，雖然基于深度包測試的方法能夠彌補以往測試方法 的不足，但是木身并不是完美無缺的:如果網(wǎng)絡(luò)流數(shù)據(jù)包超出負荷，處理器雖然 能夠維持運轉(zhuǎn)但是內(nèi)存消耗量巨大，容易造成硬件設(shè)備的損壞;而且移動寬帶的 拓寬，需要處理和解析的數(shù)據(jù)流量越來越多，很多重要數(shù)據(jù)資料無法保存，會 影響顧客的使用體驗;加密處理雖然能夠保障通信數(shù)據(jù)信息的隱秘性，但是也會 降低網(wǎng)絡(luò)業(yè)務(wù)流分類的效率和準確度。不管是基于端口號還是dpi,這些分類識別方法都會泄露隱私信息和違反國家 法律規(guī)定，而口難以對動態(tài)加密信息進行識別分類。而基于主機行為的方法，既 不需要端口號，也不需要獲取數(shù)據(jù)包的字符信息，但

7、是也可以進行網(wǎng)絡(luò)流的分 類和識別。karagiannis等人在研究p2p流量的識別時，發(fā)現(xiàn)基于p2p流量額連 接模式明顯優(yōu)于深度包檢測方法，能夠?qū)崿F(xiàn)近99%的p2p流量識別。之后 karagiannis17人在以往研究成果的基礎(chǔ)上，指出基于主機行為的識別分類 方法具有明顯的優(yōu)勢，不僅能夠識別較多的實驗數(shù)據(jù)流量，而口準確率高?？墒?該種方法的識別分類能力較差，如果首層加密后就會切斷與其他域的關(guān)聯(lián)，該 種方法也無法正常發(fā)揮功能。上述介紹的方法主要有各自的優(yōu)缺點，學者專家在總結(jié)三種方法的優(yōu)缺點后創(chuàng) 造出更為科學有效的方法一一基于機器學習的流統(tǒng)計方法，它不僅將以上方法 的優(yōu)點結(jié)合，而且能夠改善上述方法

8、的不足之處，受到越來越多學者專家的重 視和推崇，應用范圍越來越廣。目前分類方法分為無監(jiān)督學習和有監(jiān)督學習兩 種。mcgregor等人將數(shù)據(jù)包內(nèi)存、網(wǎng)絡(luò)流量時間等作為分類標準。zander等人 結(jié)合sfs和貝葉斯分類方法，選出有效的特征集后可以自發(fā)分類數(shù)據(jù)流。erman 等人在研究網(wǎng)絡(luò)流的分類時，將平均包內(nèi)存、時間和間隔作為web、ftp的分類 標準。murthy是決策樹概念的首創(chuàng)人，corinna cortes等人是向量機(support vector machine, svm)分類方法的首批擁護者。zhu li等人選取9個特征作為 流量分類指標，在svm方法的幫助下發(fā)現(xiàn)該種分類方法的準確率較

9、高。auld等 人在研究網(wǎng)絡(luò)流時，結(jié)合神經(jīng)網(wǎng)絡(luò)分類標準獲得246個特征數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)流 分類識別結(jié)果的準確率較高。w訂liams等人在對比不同的分類方法后，指明每 種監(jiān)督學習分類方法的優(yōu)勢，其中比較典型的就是c4. 5決策樹，它不僅能在較 短時間內(nèi)獲得分類結(jié)果，而且準確率較高，可是無法和其他算法拉開差距，與 其他算法也沒有木質(zhì)差別。王宇等人確定了 c4.5決策樹算法的適用范圍，認為 一般復雜情況的網(wǎng)絡(luò)流可以應用該方法，而且能夠保持較高的準確率。徐鵬等人 在研究c4. 5隨機決策樹算法時，通過實踐結(jié)果證明它的高效性和準確性。4小結(jié)無論是基于深度包檢測、基于端口還是基于主機行為，這些網(wǎng)絡(luò)業(yè)務(wù)流識別和分 類方法都有各自的缺點。二十一世紀以來互聯(lián)網(wǎng)技術(shù)的發(fā)展，互聯(lián)網(wǎng)環(huán)境復雜多 變，因此這些方法都無法滿足當前網(wǎng)絡(luò)業(yè)務(wù)流的分類需求。相較于上述三種方法 而言，基于流統(tǒng)計特征的網(wǎng)絡(luò)流量分類方法能夠較好的滿足數(shù)據(jù)流的分類需求， 不僅速度快而且準確率高，可是該種方法也不是完美無缺的，需要解決測試樣 本敏感的問題，這也需要眾多的學者專家和研究者們不斷努力，不斷進行方法 的改進和完善，從而滿足當前互聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)流分類識別的新要求。參考文獻1 劉穎，朱斯燕，孫晨華，李國彥面向時延約束的多跳自組網(wǎng)絡(luò)性能建模分 析j/ol北京郵電大學學報，2017.2 曹