[发明专利]P2P网络流量检测方法

权利要求书

1.一种P2P网络流量检测方法，其特征在于包括下述步骤：

(a)使用流量采集卡在网关出口捕获网络流量，对捕获的网络流量进行数据包解析，并计算相应的流统计特征；

(b)根据网络数据包的源IP地址、源端口、传输协议、目的端口、目的IP地址信息进行网络流重组，信息相同的数据包组成一个数据流；使用17-fileter对重组后的网络流进行标注，标注数据分为P2P协议和非P2P协议两类；

(c)以数据流为单位提取统计特征，包括包大小、包到达时间间隔、流大小、流持续时间；协议已知的数据流加上协议类别标签，P2P协议数据流的标签为“1”，非P2P协议数据流的标签为“-1”，协议未知的数据流标签为“0”，每条数据流对应一个样本，用一个特征向量表示；将标注协议数据与未标注协议数据混合，使用K-Means聚类算法对混合数据聚类，生成两个聚类簇；

(d)将步骤(c)得到的标注协议数据流样本和未标注协议数据流样本混合到一起构成训练集，标注协议数据流样本集用train_set表示，未标注协议数据流样本集用test_set表示；

(e)使用K-Means聚类算法对步骤(d)中的train_set和test_set组成的混合训练集进行半监督聚类，生成两个聚类簇；分别计算两个簇中的包含的标注数据中P2P协议数据的比例，确定两个簇所属的类别；根据P2P协议簇中包含的样本个数来近似确定测试样本中的正例样本数N的值；

(f)根据步骤(e)确定的测试样本中的正例样本数N的值，使用标注协议数据和未标注协议数据共同训练TSVM分类模型；

TSVM的训练过程描述如下：

Minimize over(y1*,...,yk*,w,b,ξ1,...,ξn,ξ1*,...,ξk*)]]>

12||w||2+CΣi=1nξi+C*Σj=1kξj*---(1)]]>

Subject to：

y_i[w·x_i+b]≥1-ξ_i

∀j=1k:]]>yj[w·xj*+b]≥1-ξj*]]>

∀i=1n:]]>ξ_i≥0

∀j=k:]]>ξj*≥0]]>

式中，ξ_i和是松弛变量，C是标注协议样本的影响因子，C^*未标注协议样本的影响因子；

(g)使用步骤(f)中训练的TSVM分类模型对网络数据流进行识别，判定是否为P2P网络流量。