[发明专利]一种高效的P2P应用流量分类方法及系统

说明书

本发明公开了一种高效的P2P应用流量分类方法及系统。本方法为：1)P2P分类服务器从采集的每一数据包中获取四元组信息、协议信息、包长信息对该数据包进行标记并存储在信息结构体中；2)P2P分类服务器从信息结构体中提取每条指定流的N个数据包，并计算每条流的基本统计特征；3)对得到的基本统计特征进行分类，并根据得到的结果计算单位时间窗口内每条流的通信属性；4)根据当前窗口内同一流的通信属性计算该流的卡方统计量；如果超过设定阈值，则去除该流的应用分类标记；如果出现未识别的流，则将该未识别的流标记为当前窗口内具有相同IP和端口PORT的P2P应用流。本发明分类稳定高，可以满足大多数系统在线识别需求。

技术领域

本发明涉及P2P网络信息安全领域，是一种能够应用于P2P网络的，高效识别P2P应用流量的方法及系统。

背景技术

随着互联网应用的广泛使用，网络应用已经呈现出很多类别，尤其是P2P应用流量的暴增，占据了巨大的网络带宽，不利于高质量的服务，同时给网络运营商带来很多管理问题。P2P是一种分布式网络，网络的参与者共享他们所拥有的一部分硬件资源(处理能力、存储能力、网络连接能力等)，这些资源能被其他对等点peer直接访问而无须经过中间实体。P2P网络结构复杂，网络拓扑具有动态性，绝大多数流量在传输过程中进行加密，为了提高P2P应用流量分类准确率和稳定性，科学管理规划网络，各类P2P应用识别技术应运而生。

(1)基于P2P端口的分类技术。在P2P网络通信过程中，无论是客户端还是服务端，或者是一个Peer节点，必须提供IP地址和端口和另一方进行通信。该方法需要截取数据包头的五元组，并判断端口是否为P2P网络应用的端口即可。基于端口的识别方法优点是简单，容易实现，分类性能很高，具有较高的实时性，所以可以应用于高速网络环境下。但是对于P2P应用来说，大多采用了端口跳变的技术，该方法主要存在的缺点是受限于注册端口数目识别数量有限并且随着新的网络应用的不断增多其可以识别应用的比重越来越低，分类准确率不稳定。

(2)基于有效负载的P2P应用分类技术。通过具体分析有效载荷中包含特定字符串(签名信息)用以标识应用，识别有效载荷中一些协商固定信息，比如消息类型T、长度字段L、版本字段Version、各类保留字段等，如果匹配则识别成对应的P2P应用。基于P2P应用负载内容的分类由于其具有较高的准确率，该分类方法的优点是可以应用于实时的流分类识别系统，且具有较高的识别准确率。缺点是需要及时跟进P2P应用的发展变化，新应用的特征提取工作量较大，而且很多P2P流量是私有协议以及加密流量，比如迅雷就采用了私有协议来传输数据，很难挖掘其负载特征。所以使用该方法还是无法有效的识别P2P应用，无法确保一些特征的有效性和实时性。

(3)基于网络行为的P2P应用分类技术。通过交互双方的网络行为特征，提取P2P网络应用的通信特征，主要包括流量连续性，应用多连接性，协议混淆性，端口离散性以及输入输出流量均衡性等P2P应用通信特征，分类不同的P2P应用。该方法优点是不用考虑端口号，而且不用对数据包进行深度解析，有效提高了分类性能。缺点是不能精细化分类P2P应用，只能有效的判断P2P类流量，也因为P2P应用在交互过程中路由具有动态性，致使该方法分类稳定性不高，有其局限性，故检测准确率也因系统而异。

(4)基于机器学习的P2P应用分类技术。目前研究热点主要在基于机器学习的分类方法，不同应用网络流量具有一定的流特征，将流特征提取出来并用机器学习算法来训练建立分类模型，然后对在线应用流量进行分类。以统计理论为基础的机器学习算法由于其广泛的应用背景和成熟的理论框架在流分类研究中被越来越多的使用。尽管P2P应用分类的统计学习方法具有成熟的理论模型，但是机器学习的方法比较依赖数据集，不同网络环境可能会影响分类准确率，而且在计算一些流特征的时候，需要计算流中每个包的特征，在网络流量暴涨情况下，应用识别的性能有所下降，分类准确率不稳定。

发明内容

针对上述已有方法存在的问题，本发明公开了一种基于滑动时间窗口的多流关联P2P应用分类方法及系统。