基于机器学习算法的P2P流量分类研究.doc-道客多多

资源描述

1、湖南工业大学学位论文原创性声明本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。作者签名：日期：年月日湖南

2、工业大学论文版权使用授权书本人了解湖南工业大学有关保留、使用学位论文的规定，即：学校有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以采用复印、缩印或其他手段保存学位论文；学校可根据国家或湖南省有关部门规定送交学位论文。作者签名：导师签名：日期：年月日-摘要P2P 应用的快速增长 , 带来网络拥塞、大量消费网络

3、带宽等诸多问题，而传统的基于端口与有效载荷的网络流量分类方法存在着很多缺陷，研究按照 5 元组 (源 IP、源 Port、目的 IP、目的 Prot 及 IP 协议 )的定义，将 P2P 报文分成双向 TCP 或 UDP流，抽取独立于端口、协议和有效载荷的原始数据报文的信息作为 P2P 流的特征，形成特征向量，用特征向量表示流，流的分类类别为 P2P 的协议类型。用提出

4、的基于 ReliefF-CFS 的方法选择流的特征子集，该方法结合 ReliefF 和基于相关性 (CFS)两种特征选择方法，产生适合于分类 P2P 流的特征子集。首先利用 ReliefF 特征选择方法把候选特征按与类别相关性的大小排序 ,通过设定的阈值选择与类别相关性大的特征子集作为 CFS 选择方法的初始集，然后利用 CFS 结合正向搜索得到最终的较优特征子集

5、。研究使用 C4.5 决策树、支持向量机 (SVM)、 K 近邻 (KNN)三种机器学习算法构建 P2P 流量分类器，利用获取的原始数据寻找分类器的最优分类参数，主要采用分类准确率和分类时间标准进行评估；并研究统计原始数据报文的部分信息分类 P2P 流，实验中分别统计流的双向 50、 100、 150、 200 个报文信息，结果显示不仅减少了特征统计计算的复杂度

6、和分类的时间，而且有更高的分类准确率。为了让研究的成果能有实际的应用价值，通过构建相应的硬件、软件环境，对 P2P 流量的在线实时分类作了初步的研究。设计并实现了基于机器学习算法的 P2P流量分类原型系统 ,系统分类分类器构建和分类两个阶段，每个阶段有数据采集、数据解析、流的合成以及分类四个模块。关键字 P2P，流量分类，

7、特征选择，机器学习I-ABSTRACTMore and more P2P applications consume network bandwidth andgenerate network congestion. The traditional P2P traffic classificationmethods based on port and payload have many objections. According to thefive-tuple definition (source IP address, source port number, destinat

8、ion IPaddress, destination port number and IP protocol), the packets are classifiedinto bidirectional TCP or UDP flow. The flow attributes irrelevant toprotocol and ports are extracted to be characteristic vector that is used torepresent the traffic. The traffic classification type is the protocol t

9、ype ofP2P.The traffic characteristic subset is decided by using the ReliefF-CFSmethod, which combines with ReliefF and CFS to generate characteristicsubsets for classifying the P2P traffic. The candidate characteristics are firstordered by the dependency using the ReliefF method, of which larger tha

10、nthreshold is set into the original set for CFS method, then the final optimalcharacteristic set is decided by using CFS and forward search.The P2P traffic classifier is constructed using C4.5 decision tree, SVMand KNN. And the optimal parameters are determined by using the originalcharacteristic se

11、t and estimated with the classification accuracy and time.Part of original packets is statistical to classify P2P traffic. In experiment,the number of 50, 100,150 and 200 bidirectional packets is statistical. Theresult shows that the promoted method has lower complexity andclassification time, and h

12、igher classification accuracy.The online real-time classification of P2P traffic is researched byconstructing hardware and software platform, which can promote theapplication.The P2P traffic classification prototype based on machine learningmethod is designed and implemented, which contains the two

13、stages ofconstruction and classification. Each stage contains data collection, dataparse, traffic compound and classification.Keyword: p2p; traffic classification; feature selection; machine learningII-目录摘要 .IABSTRACTII第一章引言 11.1 研究背景 11.2 研究目的及意义 11.3 国内外研究现状 . 21.3.1 基于端口 (

14、Port-based)方法的研究现状 . 21.3.2 基于有效载荷 (Payload-based) 方法的研究现状 21.3.3 基于机器学习的网络流量分类研究现状 . 41.3.4 基于机器学习的 P2P 流量分类研究现状 . 41.3.5 不同层面的流量分析 41.4 研究内容及组织结构. 51.4.1 论文研究内容 51.4.2 论文组织结构 6第二章基于 RELIEFF-CFS 的 P2P 流量特征选择 82.1 P2P 流的定义及特征产生. 82.1

15、.1 P2P 流的定义及表示 82.1.2 P2P 流特征的产生 82.2 特征选择理论与研究现状 92.3 基于 RELIEFF-CFS 的算法进行特征选择. 112.3.1 用基于 ReliefF 算法对 P2P 流特征进行初步选择的方法 . 112.3.2 用 CFS 方法选择较优特征子集 . 122.4 实验结果与分析 132.5 本章小结 17第三章基于机器学习 P2P 流量分类器研究 193.1 基于支持向量机 (SVM)的 P2P

16、流量分类器方法 193.1.1 核函数介绍 193.1.2 最大间隔原则 . 20I-1.5 基于 C4.5 决策树的 P2P 网络流量分类器 221.6 基于 KNN 的 P2P 流量分类器 . 231.7 实验结果与分析 241.3.6 机器学习最优参数搜索 241.3.7 机器学习算法参数设置 251.3.8 样本数量与分类准确率的关系 . 251.3.9 类别数量与分类准确率的关系 . 261.3.10 使用独立测试样本集

17、对分类器进行测试 281.3.11 实验结论 301.8 本章小结 30第四章基于机器学习的 P2P 流量分类系统的设计. 311.4.3 系统框架 . 311.4.4 数据采集模块的设计 311.4.5 数据解析模块的设计 321.4.6 合成流模块的设计 . 341.4.7 分类模块的设计 342.6 本章小结 35第五章基于机器学习的 P2P 流量分类系统的实现 .362.1.3 分类器构建阶段的实现 . 362.3.3 数据采集功能的实现. 362.3.4 数

18、据解析、流的合成模块的实现 . 372.3.5 分类模块的实现 . 372.3.6 系统主要功能介绍 . 372.3.7 分类器构建阶段实验. 392.1.4 在线分类阶段的实现 413.2 在线数据的捕获、解析 413.3 在线流的的合成 . 433.4 在线分类策略 . 432.1.5 在线分类 . 453.1.3 在线分类实验环境的构建 453.1.4 在线分类算法 . 453.1.5 在线分类实验 . 462.1.6 本章小结 48II-第六章结论

19、496.1 结论 . 496.2 进一步的工作 50参考文献. .51附录 56致谢 57III-湖南工业大学硕士学位论文：基于机器学习算法的P2P 流量分类研究第一章引言1.9 研究背景P2P (peer-to-peer)技术是近年来互联网最热门的技术，以其对等性高、扩展性强、健壮性高等诸多优点和独特的技术优势在在 VoIP、下载、流媒体、协调计算等领域得到飞速发展 1,2,3， P2P 的协议类型、用户规模和网络流量均

20、呈爆发式增长，测量研究表明在欧洲 P2P 应用已占 ISP业务总量的 60% 80%4，跃然成为网络带宽的最大消费者， P2P 应用的兴起，也打破了网络运营商原有的运营和商业模式。再加上 Internet 网重要性的日益提高和 P2P 结构的日益复杂， P2P 的安全性、可管理性受到了严峻的挑战，人们意识到越来越有必要对 P2P 流量和 P2P 行为进行深入的了解

21、、分析，为监控与管理 P2P 提供技术支持。P2P 对网络带宽资源的滥用，已经受到各个网络服务提供商、网络运营商和网络管理者的高度重视。 P2P 应用的快速发展也给社会带来了一定的负面影响，如病毒和木马的快速传播、色情和暴力等不健康内容不受限制的共享、盗版音乐和影视不受版权制约的下载等方面，如何给广大的互联网使用者提供一

22、个安全、可靠和高效的使用环境，是网络管理需要解决的问题。站在网络资源拥有者的角度，如何优化现有的各种网络资源，如何根据网络的发展趋势，做出合理的规划和设计，也是一个重要的问题。1.10 研究目的及意义P2P 流量分类 (P2P Traffic Classification)是指在基于 TCP/IP 协议的Internet 网中，按照 P2P 的协议类型 5,6，将 P2P 通信产生的

23、双向 TCP 或UDP 流 (Flow)进行分类。它是认识、管理、优化各种 P2P 资源的重要依据。随着 P2P 的不断发展，由于很多新的 P2P 系统 (如： BitTorrent, eDonkey,FastTrack)采用动态端口 7、协议加密 8以及其它方面的原因，如， Kazza、Gnutella 等一方面使用 Web 的 80 端口号传输其流量，另一方面其报文格式也模仿 http 流量，而基于有效载荷

24、的 P2P 分类方法中协议解码需要协议知识和完整的数据，且签名匹配需要更新协议变化和很难处理协议加密问题。使得传统的基于端口 (Port-based)9的 P2P 流量分类和基于有效载荷 (Payload-based)3的 P2P 流量分类方法已不能保证进行正确的 P2P1-第一章引言流量的分类和统计。所以研究依据 P2P 流量的特性，采用新的方法和技术，对 P2P 流量的

25、协议类型进行高准确的分类，即， P2P 流量分类，是非常必要的。P2P 流量是记录和反应 P2P 应用及其用户活动的重要载体。 P2P 流量分析和分类是认识 P2P 的一面镜子。 P2P 流量分类也是管理和优化各种 P2P 资源的重要依据。在基于机器学习的 P2P 流量分类研究中，用基于统计特征表示的流 (样本流 )，发现规律，构建分类器，分类新的 P2P流量

26、所对应的协议类型。研究具有以下价值。(1)利用基于 ReliefF-CFS 等特征选择方法和基于支持向量机 (SVM)、C4.5 决策树、 K 最近邻 (KNN)等机器学习相结合的方法，研究适合于 P2P流量分类的分类技术，可以获得流的特征选择、分类器构造等新的分类方法和技术，具有较强的理论价值。(2)研究所得到的分类技术，可以应用于 Internet 网上 P2

27、P 流量的分类，根据 P2P 流的协议类型在线识别和分类 P2P 流，可以应用于下列网络管理应用中。网络拥塞和路由选择网络计费 , 为改变传统包月计费方式提供支持网络质量服务 (Qos) 网络的规划、设计和管理1.11 国内外研究现状1.3.12 基于端口(Port-based)方法的研究现状基于端口的 P2P 分类使用数据报文头部传输层的端口信息，文献 9,10包含了常用的

28、 P2P 协议类型使用的静态端口 (Port Number)，当 P2P 应用使用周知的静态端口时基于端口的 P2P 流量分类技术有很好的效果，分类中只需要根据解析出的数据报文端口号就能很容易识别出 P2P 应用的类型，分类的准确率和分类效率都很高。但是越来越多新的 P2P 应用，不再使用固定的和事先预知的端口号， IANA(Internet Assigned NumbersAu

29、thority)11分配周知 (well-know)端口号范围是 0 到 1023，注册端口号的范围是 1024 到 49151。但是许多 P2P 应用没有 IANA 分配或注册的端口号，仅使用周知的默认端口，而这些通常与 IANA 分配的端口号存在交迭，这导致基于端口的方法，无法正确识别 P2P 流量的协议类型。1.3.13 基于有效载荷 (Payload-based) 方法的研究现状基于有效载荷的

30、方法是通过对数据包应用层协议的深层扫描发现P2P 协议类型，这种方法准确率比基于端口方法要高，端口的变化不会影响分类2-湖南工业大学硕士学位论文：基于机器学习算法的P2P 流量分类研究结果，使用这种方法对网络流量进行分类，简单、可靠。文献 3通过对协议类型的请求和应答信息，以及特定的字符串来识别 Gnutella， eDonkey等几种常用 P2P 协议。文献 12于 2

31、004 年提出基于应用签名的 P2P 流量检测方法，该方法把负载特征分为固定偏移量 (Fixed Offset)特征和变化偏移量 (Variable Offset)特征，第一步检查固定偏移量，第二步检查变化偏移量，在性能和精度上都取得了令人满意的效果。文献 13搜集了 8种流行的 P2P 协议的 Payload 关键字，并和端口识别的方法结合起来，对因特网主干流量 (两条 O

32、C48 链路 ) 进行了分析。文献 14基于应用层签名，提出一种简单、有效、灵活的 P2P 流量测量方法，且该方法具有易于扩展到新 P2P 应用的特点。尽管基于有效载荷方法的识别技术避免依赖于固定端口号，但它增加了网络识别设备的复杂性和处理的负担，如随着 P2P 应用的增加，特征串的数量 15也相应增加，使得这种方法每检测一个数据报文所需

33、要匹配的特征串越来越多，从而识别的效率逐渐降低。这种方法必须保持与广泛的应用语义和 P2P 级语法知识的一致性，必须有能力对潜在的大量流进行并发分析。当遇到内容特征未公布的或加了密的 P2P 流量时就十分困难或是不可能，另一个问题是直接分析应用层内容可能触及侵犯个人隐私等法律问题。文献 1在考虑基于有效载荷识别方法时，

34、同时也提出了一种基于启发式规则的 P2P 流量的分类方法，该方法对于分类 P2P 与非 P2P 有比较高的分类准确率。文献 16通过传输层统计 P2P 的连接直径和双向连接数量来识别 P2P 流量，文献 17对基于端口、基于应用层签名和基于传输层分析的三种 P2P 流量分类方法进行比较，基于传输层分析的方法是三种方法中最好的。对于 P2P 流量分类，传统

35、的基于端口的和基于有效载荷的解决方案已经在实际中取得一些成果 :L7-filter18是基于 Linux 内核的 ,挂载在IPtables 的扩展匹配模块上的包识别程序。利用简单的特征值 (如：端口号 )和对应用层的数据使用正则表达式来匹配 ,以此来辨认应用层使用的协议。分析长度是一个连接的前 10 个包或者前 2048 字节。 IPP2P19是工作在 Linux 环境下 ,同

36、样是挂载在 IPtables 的扩展匹配模块上 ,而且也同样使用特征串匹配的方式，但是分析每个包的特征串。 Cisco 的NBAR(Network-Based Application Recognition) 20是一个可以广泛识别不同应用程序的辨识引擎。通过使用 PDLM(Packet Description LanguageModule)可以加载很多的应用，但也会相应增加路由器的负担。3-第一章引言1.12 基于

37、机器学习的网络流量分类研究现状对流量分类使用机器学习 21,22的方法在国内还不多见，在国外已有一定的研究。文献 23的作者使用主成分分析和密度估计方法把流量分类到不同的应用。作者仅使用一个小的数据集、两个流属性及少数周知端口对应的网络应用，进行研究。文献 24利用最大期望 (EM)算法和固定的流属性集，将网络流量聚类到不同

38、的协议类型。文献 25提出一种无监督 (unsupervised)的机器学习算法来识别不同网络应用的框架，用流的统计特性作为流的特征来进行网络流量自动分类研究。文献 26,27 采用几种不同的机器学习算法对网络流量进行分类研究，采用的机器学习算法分别为贝叶斯网 (Bayesian Network)、 C4.5 决策树、贝叶斯 (Naive Bayes)及贝叶斯树 (Naive Bay

39、es Tree)。文献 28使用基于贝叶斯分类器 (BayesClassifier)和大量的流属性，来进行网络流量的分类研究。文献 29的作者用基于贝叶斯训练神经网络 (Bayesian trained Neural Network)的监督(Supervised)机器学习的方法，来对网络流量进行分类研究，并获得了很好的分类准确度。1.13 基于机器学习的 P2P 流量分类研究现状国内外对 P2P 流量

40、的分类使用机器学习技术也有少量的研究，文献30,31采用一种 Self Organizing Maps(SOM)的人工神经网络来识别 P2P流量， Jeffrey Erman 等 32使用无监督的聚类算法来分类 Web 和 P2P 流量，实现结果表明此分类方法达到 95%的流分类准确率和 80%的字节准确率。文献 2通过研究 P2P 结点上传与下载之间的比率，建立一个特征库结合机器学习算法

41、来分类新的 P2P 流量。文献 33,34使用不同的评价标准比较了贝叶斯等多种机器学习算法用于 P2P 流量分类的性能。文献 35提出了一种基于 P2P 流的统计特征 (26 种 ),利用支持向量机 (SVM)方法来分类BitTorrent、 pplive、 Skype、 MSN 等四种 P2P 流量的方法，对实验数据有较好的分类效果。1.14 不同层面的流量分析目前对网络流量分析的研究，主

42、要在以下几个不同的粒度上进行36,37：1） Bit-level 的流量分析主要关注网络流量的数量特征，如网络线路的传输速率以及吞吐率的变化等。2） Packet-level 的流量分析主要关注 IP 包 (packet)的到达过程、延迟和丢包率等。 C.Fraleigh 等于38采用被动的监控系统捕获 packet-level 的流量，研究骨干网在流量4-湖南工业大学硕士学位论文：基于机器学习算法的P2P 流量分

43、类研究负载、 TCP 流的双向传送时间、包的无序比率和包的延迟等方面的变化。3） Flow-level 的流量分析Flow 是一个相对较为宽松的定义，其划分的主要依据是地址和应用协议，这方面的研究主要关注 Flow 的到达过程、到达间隔以及其局部特性。4)Stream-level 的流量分析文献 37给出 stream 的定义是一个由源、目的 IP 地址以及应用协议组成的三

44、元组。其目的主要是在一个更粗的粒度上研究主干网的长期流量统计特性。上述四个层面的研究，流量的粒度由小到大递增，所关注时间尺度也逐渐增大。在不同时间尺度上，网络流量往往表现出不同的行为规律。通常，网络设备 (三层交换机、路由器等 )本身提供了基于 IP 包头的分析功能，负责网络流数据的分析和整理，按照一定的条件和定义

45、良好的数据格式向流采集器输出数据，然后再用相关的软件关键将采集到的网络流数据进行整理、分析和客户端展现。因此 Flow-level 的流量分析将是研究的趋势。基于机器学习的 P2P 流量分类研究是在 Flow-Level 的层次上展开，不同的 P2P 协议类型具有不同的传输数据的模式，根据这些模式可以对P2P 流量进行分类。1.15 研究内容及组织结构

46、1.3.14 论文研究内容从前面的分析可以看到基于端口和基于有效载荷的 P2P 流量分类方法已经不适用今天日益快速发展的 P2P 网络。通过提取基于 TCP/IP 网络系统的网络层和传输层原始数据报文头部的信息，形成用特征向量表示的 P2P 流，结合机器学习的方法来分类 P2P 流是我们要研究的内容。本论文的研究具体包括 P2P 流量数据采集及处理、

47、特征产生及特征选择、机器学习算法与分类器构建、 P2P 流量分类系统的设计与实现四个主要内容。(1) P2P 流量数据数据采集及处理由于目前还没有权威机构发布与我们研究相关的 P2P 协议类型原始数据，所以，研究的数据需要我们通过自己建立的环境采集，采集基于TCP/IP 协议的网络数据报文，在网络层和传输层进行数据解析，按流的定义标

48、准统计流的特征，处理成能用于机器学习的形式；如果是用于分5-第一章引言类器建立的样本流还需要根据报文的相关信息标注流的协议类型。(2) 特征产生及特征选择从网络层和传输层解析出的信息经过统计和变换，产生出表示流的特征向量，并通过特征选择方法，在保证分类准确率和减少特征统计计算机时间的前提下，从候选特征中特征选择

49、用于机器学习算法的较优的特征子集。(3) 机器学习算法与分类器构建主要研究 P2P 流的训练与测试样本的选取，不同机器学习算法对 P2P流量分类的效果，机器学习算法参数的设置，用单独的测试数据对分类器进行测试，依据准确率和分类时间两个评估标准选择较好的机器学习算法及其应用时 P2P 流量分类的较优分类参数，以及用于构建分类器的训练样本数量。(4) P2P 流量分类系统的设计与实现系统设计成分类器构建和分类两个阶段，每个阶段设计有数据采集、数据解析、流的合成以

展开阅读全文