專利名稱:一種p2p協(xié)議類型識(shí)別方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于網(wǎng)絡(luò)TCP流量識(shí)別P2P協(xié)議類型的方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)流量業(yè)務(wù)種類識(shí)別領(lǐng)域���。
背景技術(shù):
P2P是英文peer-to-peer (對(duì)等)的簡(jiǎn)稱���,與傳統(tǒng)的服務(wù)器_客戶端計(jì)算模式的不同點(diǎn)在于P2P網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)根據(jù)各自的計(jì)算能力和帶寬,同時(shí)提供和接受服務(wù)��。目前這種計(jì)算模式廣泛應(yīng)用于文件共享�����、語(yǔ)音通訊�����、即時(shí)訊息、流媒體�、網(wǎng)絡(luò)游戲等領(lǐng)域,人們比較熟悉的P2P應(yīng)用包括BitTorrent���、eDonkey�、Skype, QQ����、PPlive等。P2P應(yīng)用常常占用大量的帶寬資源����,而且當(dāng)今的互聯(lián)網(wǎng)中相當(dāng)部分的流量都來(lái)自P2P應(yīng)用,例如���,據(jù)著名的德國(guó)互聯(lián)網(wǎng)調(diào)研機(jī)構(gòu)ipoque估計(jì)��,這個(gè)比重在50%至90%之間��。因此管理P2P流量已成為計(jì)算機(jī)網(wǎng)絡(luò)流量管理中的一項(xiàng)基本任務(wù)�;這就首先需要識(shí)別P2P流量���,進(jìn)一步�����,根據(jù)管理粒度的需要���,乃至識(shí)別具體的P2P協(xié)議,如上述的BitTorrent�、eDonkey協(xié)議等。P2P發(fā)展到今天����,其流量特征主要體現(xiàn)在網(wǎng)絡(luò)應(yīng)用層,傳統(tǒng)的P2P協(xié)議類型識(shí)別方法采用基于網(wǎng)絡(luò)包中數(shù)據(jù)部分(稱為凈荷)特征碼的匹配方法�,其主要優(yōu)點(diǎn)是對(duì)于已知的非加密P2P協(xié)議具有較高的檢測(cè)率;然而該方法需要分析網(wǎng)絡(luò)流中每個(gè)數(shù)據(jù)包的凈荷�,提取目標(biāo)協(xié)議獨(dú)有的字符串作為該協(xié)議的特征碼,在特征提取和實(shí)際檢測(cè)時(shí)占用的存儲(chǔ)空間較大��,而且檢測(cè)時(shí)很可能計(jì)算量較大����;此外,目前很多P2P協(xié)議在數(shù)據(jù)傳輸時(shí)采取了加密措施����,使得其特征碼的提取和匹配工作變得幾乎不可能����;最后���,提取網(wǎng)絡(luò)包的載荷信息也有可能觸犯了用戶的隱私����。針對(duì)上述不足����,基于網(wǎng)絡(luò)包中與凈荷無(wú)關(guān)信息的P2P協(xié)議類型識(shí)別方法便應(yīng)運(yùn)而生它們提取反映一個(gè)網(wǎng)絡(luò)流中網(wǎng)絡(luò)包的統(tǒng)計(jì)信息,如包長(zhǎng)��、包之間的間隔時(shí)間等作為特征���,通過(guò)某種監(jiān)督機(jī)器學(xué)習(xí)方法得到這些特征所必須滿足的一些約束��,以作為協(xié)議的判別條件�����,也稱為指紋��。但是目前大多數(shù)此類方法在識(shí)別流量的協(xié)議類型時(shí)都需要首先提取一個(gè)網(wǎng)絡(luò)流中所有包的相關(guān)特征��,然后才能計(jì)算指紋�����,這樣就有兩個(gè)弊端(1)實(shí)時(shí)性較弱���; (2)如果檢測(cè)對(duì)象的一些包丟失了,就很有可能得到不準(zhǔn)確的指紋信息����。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)中存在的技術(shù)問(wèn)題,本發(fā)明目的在于提供一種與網(wǎng)絡(luò)包凈荷無(wú)關(guān)的 P2P協(xié)議類型識(shí)別方法�,主要用于識(shí)別網(wǎng)絡(luò)中一臺(tái)宿主機(jī)(節(jié)點(diǎn))是否運(yùn)行相關(guān)的P2P協(xié)議,它只需要部分相鄰的網(wǎng)絡(luò)包頭特征即可做出判斷��。該方法采用網(wǎng)絡(luò)TCP流的包長(zhǎng)序列來(lái)刻畫(huà)流量的P2P協(xié)議種類�,與其它利用TCP 網(wǎng)絡(luò)包長(zhǎng)序列的識(shí)別方法相比,其獨(dú)創(chuàng)性有以下兩點(diǎn)(1)首先將TCP網(wǎng)絡(luò)流中的網(wǎng)絡(luò)包按其功能分為三種類型數(shù)據(jù)傳輸(Bulk "Transfer)���、命令交互(Command Exchange)和掃描探測(cè)(Probe)��,本發(fā)明只從其中的命令交互包長(zhǎng)序列提取作為識(shí)別P2P協(xié)議類型所依據(jù)的指紋�����;由于命令交互包序列通常都較短�,而且在一個(gè)網(wǎng)絡(luò)流中常會(huì)重復(fù)出現(xiàn),因此如果檢測(cè)對(duì)象屬于需要識(shí)別的P2P協(xié)議類型�����,即使發(fā)生丟包現(xiàn)象���,本發(fā)明也會(huì)在流的中間發(fā)現(xiàn)協(xié)議的指紋�。( 根據(jù)P2P應(yīng)用的特點(diǎn)——涉及多個(gè)節(jié)點(diǎn)���,節(jié)點(diǎn)之間的通訊可能涉及控制命令或數(shù)據(jù)傳輸�,在判定網(wǎng)絡(luò)中一臺(tái)宿主機(jī)(節(jié)點(diǎn))上運(yùn)行的P2P協(xié)議類別時(shí)匯聚了該宿主機(jī)與多臺(tái)主機(jī)之間網(wǎng)絡(luò)流的指紋匹配結(jié)果�,提高了識(shí)別的準(zhǔn)確性。本發(fā)明提供的技術(shù)方案如下采用監(jiān)督機(jī)器學(xué)習(xí)的思路�,具體分為線下(學(xué)習(xí))和線上(檢測(cè))兩個(gè)部分,其中線下學(xué)習(xí)是對(duì)事先人工標(biāo)定應(yīng)用協(xié)議種類的網(wǎng)絡(luò)包�����,通過(guò)自動(dòng)學(xué)習(xí)和人工修正相結(jié)合���,生成標(biāo)定協(xié)議的指紋��;而線上檢測(cè)是利用線下學(xué)習(xí)得到的指紋�����,實(shí)時(shí)判定當(dāng)前網(wǎng)絡(luò)環(huán)境中的主機(jī)是否運(yùn)行上述協(xié)議���。“線下學(xué)習(xí)”分為5個(gè)步驟步驟1流整理按照(源/客戶端地址��,目的/服務(wù)器端地址��,源端口�,目的端口, 協(xié)議)五元組把原始的網(wǎng)絡(luò)數(shù)據(jù)包整理成流����,只考慮TCP協(xié)議的網(wǎng)絡(luò)包。步驟2時(shí)序特征序列提取每個(gè)TCP流中的網(wǎng)絡(luò)包�,可以按照它們的功能大致分為數(shù)據(jù)傳輸、命令交互和掃描探測(cè)三種模式����。對(duì)于每個(gè)整理完畢的TCP流��,先按照功能將網(wǎng)絡(luò)包劃分為若干個(gè)子序列���,然后提取命令交互包子序列中各個(gè)包的包長(zhǎng)作為指紋學(xué)習(xí)的對(duì)象。注意這里的包長(zhǎng)帶有方向���,其中“+”表示方向是從客戶端到服務(wù)器端����,“-”表示相反方向���。具體的子流劃分算法用偽碼表示如下
while (一個(gè)網(wǎng)絡(luò)流中還有網(wǎng)絡(luò)包沒(méi)被打上標(biāo)簽) begin
/*略過(guò)空ACK包*/
if (包設(shè)置成ACK位and包的凈荷長(zhǎng)度=0) then continue/*包標(biāo)定*/ if (包設(shè)置成then
標(biāo)定該包為PROBE else if (包沒(méi)有設(shè)置成PUSH位or包的凈荷長(zhǎng)度 >=數(shù)據(jù)塊閾值or 前個(gè)包的標(biāo)定是BULK TRANSFER and前個(gè)包沒(méi)有設(shè)置成PUSH位and當(dāng)前包和前個(gè)包的時(shí)間戳相距< 時(shí)間閾值;)then
標(biāo)定該包為BULK TRANSFER
else
標(biāo)定該包為COMMAND EXCHANGE
/*子流劃分*/
if (該包和前個(gè)包標(biāo)定不同or該包和前個(gè)包的時(shí)間戳相距 >=時(shí)間閾值)then 開(kāi)始一個(gè)新的子序列 end步驟3時(shí)序特征指紋學(xué)習(xí)對(duì)上述得到的網(wǎng)絡(luò)包長(zhǎng)序列學(xué)習(xí)得到相應(yīng)協(xié)議標(biāo)簽的指紋庫(kù)����,其中每個(gè)指紋都是原有包長(zhǎng)序列的一個(gè)子序列(注意包長(zhǎng)帶有正負(fù)號(hào))�����。步驟4指紋權(quán)重學(xué)習(xí)一個(gè)協(xié)議可能得到多個(gè)指紋�,我們給每個(gè)指紋分配一個(gè)權(quán)重,它和該指紋在用于學(xué)習(xí)的標(biāo)明該協(xié)議的網(wǎng)絡(luò)包中出現(xiàn)的頻率成正比�。步驟5閾值確定在判定網(wǎng)絡(luò)中一臺(tái)宿主機(jī)當(dāng)前是否運(yùn)行一個(gè)目標(biāo)P2P應(yīng)用(協(xié)議)時(shí),需要匯聚該主機(jī)所涉及的所有網(wǎng)絡(luò)流的判斷結(jié)果。整個(gè)匯聚過(guò)程需要兩個(gè)閾值 Th(W)和Th (C)��,每個(gè)協(xié)議根據(jù)經(jīng)驗(yàn)而定���。只有當(dāng)與該宿主機(jī)連接的IP地址數(shù)大于Th (C)�����, 而且在這些連接中打上目標(biāo)P2P協(xié)議標(biāo)簽的指紋權(quán)重之和大于Th (W)時(shí)����,該宿主機(jī)才被判定為運(yùn)行目標(biāo)P2P協(xié)議����?�!熬€上檢測(cè)”分為4個(gè)步驟步驟1步驟2和線下學(xué)習(xí)相應(yīng)階段類似�,這里不再重復(fù)。步驟3指紋匹配經(jīng)過(guò)前兩個(gè)階段而得到的命令交互包長(zhǎng)序列和先前線下學(xué)習(xí)得到的指紋庫(kù)進(jìn)行匹配��,以便標(biāo)定該序列屬于何種P2P協(xié)議�。一個(gè)序列可以標(biāo)為多種協(xié)議,但一種協(xié)議只有一個(gè)權(quán)重����,即所有匹配上的同一協(xié)議指紋中最大權(quán)重指紋的權(quán)重���。步驟4網(wǎng)絡(luò)流指紋匹配結(jié)果(加權(quán))匯聚當(dāng)與目標(biāo)宿主機(jī)連接的IP地址數(shù)大于 Th (C),而且在這些連接中打上目標(biāo)P2P協(xié)議標(biāo)簽的指紋權(quán)重之和大于Th (W)時(shí)����,判定該宿主機(jī)運(yùn)行目標(biāo)P2P協(xié)議。和其它與凈荷無(wú)關(guān)的應(yīng)用流量分類方法相比����,本方法的主要優(yōu)點(diǎn)有1)即使我們?cè)谝粋€(gè)網(wǎng)絡(luò)流的中間開(kāi)始截包,也有可能判斷出該網(wǎng)絡(luò)流是否運(yùn)行目標(biāo)P2P協(xié)議����;2)在宿主機(jī)層面判斷P2P協(xié)議類型,比在網(wǎng)絡(luò)流層面判斷�,更符合P2P流量的特性。
圖1為本發(fā)明方法的方案框架圖����;圖2為具體實(shí)施方案的示意圖;圖3為集中管理監(jiān)控平臺(tái)和綜合安全網(wǎng)關(guān)之間的協(xié)作過(guò)程示意圖��。
具體實(shí)施例方式首先參照附圖2�、3對(duì)本發(fā)明線上、線下兩部分的初始步驟“流整理”給出具體實(shí)施方式
。本發(fā)明方法的具體實(shí)施方案如圖2所示�����,整個(gè)系統(tǒng)主要由以下部分構(gòu)成1.集中管理監(jiān)控平臺(tái)負(fù)責(zé)對(duì)綜合安全網(wǎng)關(guān)下發(fā)配置和指令�,接收從綜合安全網(wǎng)關(guān)發(fā)回的數(shù)據(jù),并對(duì)數(shù)據(jù)進(jìn)行處理�����。2.綜合安全網(wǎng)關(guān)負(fù)責(zé)接收并執(zhí)行從集中管理監(jiān)控平臺(tái)發(fā)出的指令����,收集通過(guò)網(wǎng)關(guān)的流量信息,并將流量信息處理后形成日志發(fā)送給集中管理監(jiān)控平臺(tái)�。3.內(nèi)網(wǎng)主機(jī)本發(fā)明方法所監(jiān)測(cè)的宿主機(jī)。集中管理監(jiān)控平臺(tái)和綜合安全網(wǎng)關(guān)之間的協(xié)作過(guò)程如圖3所示�����,具體的說(shuō)明如下1.集中管理平臺(tái)首先將需要抓取流量的目標(biāo)主機(jī)地址發(fā)送給綜合安全網(wǎng)關(guān)��。2.綜合安全網(wǎng)關(guān)在收到目標(biāo)主機(jī)地址后將它存入一個(gè)哈希表�����,保存成功后��,將執(zhí)行成功信息發(fā)送給集中管理平臺(tái)�。3.集中管理平臺(tái)接到執(zhí)行成功消息之后,發(fā)送“開(kāi)始抓包”命令給綜合安全網(wǎng)關(guān)�。4.綜合安全網(wǎng)關(guān)在接收到“抓包”命令之后,解析命令的參數(shù)��,設(shè)定定時(shí)器并開(kāi)始一個(gè)新的抓包線程�����,將“執(zhí)行成功”信息發(fā)送給集中管理平臺(tái)��。抓包線程負(fù)責(zé)抓取含有目標(biāo)主機(jī)地址的網(wǎng)絡(luò)包�,并把需要的信息(如時(shí)間戳、TCP標(biāo)志位��、TCP包長(zhǎng)度等)以日志格式存入緩沖區(qū)�����。設(shè)定定時(shí)器的目的是經(jīng)過(guò)一個(gè)時(shí)間段之后便開(kāi)始將該時(shí)間段內(nèi)的包整理成流����; 如果不設(shè)定時(shí)器���,則會(huì)等到緩沖區(qū)滿后再處理,但這樣有可能延遲太久��。5.待緩沖區(qū)滿或者定時(shí)器到時(shí)�����,綜合安全網(wǎng)關(guān)把日志發(fā)送給集中管理平臺(tái)�����。集中管理平臺(tái)接收到包日志信息后��,將之整理成流�,然后存入外存。兩者之間的通訊按照以下的TCP應(yīng)用協(xié)議規(guī)范進(jìn)行��,所有的消息(Msg)包都統(tǒng)一
采取以下的格式
const int MAX—DATALEN = 1000; typedef struct Msg
MsgHead head;//消息頭
char data[MAX_DATALEN]�;//數(shù)據(jù)部分
}; 即固定長(zhǎng)度的消息頭加上不固定長(zhǎng)度的數(shù)據(jù)部分�,其中消息頭(MsgHead)的設(shè)計(jì)如下
typedef struct MsgHead
{
inttype;//消息的類型
intlen;//數(shù)據(jù)部分長(zhǎng)度
};通訊的規(guī)則均采用一問(wèn)一答的形式����,即客戶端向服務(wù)端發(fā)送一個(gè)Msg格式的消息,服務(wù)器在解析并執(zhí)行接收到的消息之后���,向客戶端同樣發(fā)送一個(gè)Msg格式的消息匯報(bào)執(zhí)行狀態(tài)��。消息的類型(type)有以下幾種
#define MSG UNRECOGNIZED0x000//未識(shí)別#define MSG—OK0x001//命令執(zhí)行成功#define MSG—FAIL0x002//命令執(zhí)行失敗#define MSG—LAUNCH—PCAP0x010//開(kāi)始抓包#define MSG—ADD—TARGET0x020//添加目標(biāo)地址#define MSG—CLEAR—TARGET0x021//清空目標(biāo)地址#define MSG—LOG—OUT0x030//客戶端退出#define MSG REPORT PACKET0x110//發(fā)送包日志信息當(dāng)消息的類型(type)為MSG_REPORT_PACKET即發(fā)送包日志信息時(shí)���,這時(shí)消息 (Msg)中的數(shù)據(jù)部分(data)是具體的一個(gè)包的日志信息。本文實(shí)驗(yàn)采用的日志具體格式如下
typedef struct ReportPacket
u_int32_t sAddr�;
u_int32_t dAddr; u—intl6—t sPort; u—intl6—t dPort; u_int8_t tFlags; int pi Size; struct timeval ts:
//源IP地址
//目的IP地址 //源端口 //目的端口 //TCP標(biāo)志位 //TCP payload 長(zhǎng)度 //時(shí)間戳
long no;
//包計(jì)數(shù)
然后對(duì)本發(fā)明“線下學(xué)習(xí)“部分2、3步驟給出
具體實(shí)施例方式步驟2遵循“發(fā)明內(nèi)容”中闡述的子流劃分算法�,其中數(shù)據(jù)塊的閾值取TCP數(shù)據(jù)傳輸中網(wǎng)絡(luò)包的最大凈荷數(shù)(Maximum Segment Size,簡(jiǎn)稱MSS)的常見(jiàn)取值1460 (字節(jié))的約90%——1沈0(字節(jié))���,時(shí)間閾值取5秒����。步驟3按以下方式產(chǎn)生指紋(1)對(duì)由步驟2得到的命令交互網(wǎng)絡(luò)包長(zhǎng)子序列����,取其最初和最末5項(xiàng)(如果不夠5項(xiàng),就取到所能取的最多項(xiàng)為止)�,分別稱之為前綴和后綴特征子序列;( 利用機(jī)器學(xué)習(xí)中經(jīng)典的K-means算法對(duì)前綴和后綴特征序列進(jìn)行聚類�����,然后對(duì)得到的每一類中心進(jìn)行人工修正(比如把同一類中的多個(gè)中心合并一起,用區(qū)間來(lái)表示�����,這樣擴(kuò)大了能匹配上的范圍)��,將修正的結(jié)果作為相應(yīng)網(wǎng)絡(luò)包(協(xié)議)標(biāo)簽的指紋����。例如 (-15士 10,15士 10�����,-�����,-��,-)表示一個(gè)只有2項(xiàng)的前綴指紋�,其中“ 士”代表一個(gè)范圍,-15士 10 等價(jià)于區(qū)間[-25�,-5]��。“線上檢測(cè)”中步驟4��、5涉及的權(quán)重�、閾值的選擇取決于用于學(xué)習(xí)的網(wǎng)絡(luò)包數(shù)據(jù)?���!熬€上檢測(cè)”中的步驟2同“線下學(xué)習(xí)”的步驟2,步驟3�����、4則完全依賴于“線下學(xué)習(xí)”中產(chǎn)生的指紋及其權(quán)重��、以及兩個(gè)閾值Th(w)和Th(C)�。如上所述,本發(fā)明可以用來(lái)判斷局域網(wǎng)內(nèi)各宿主機(jī)是否運(yùn)行P2P應(yīng)用���,其P2P協(xié)議指紋庫(kù)可根據(jù)實(shí)際P2P應(yīng)用協(xié)議種類進(jìn)行相應(yīng)的增減�。盡管為說(shuō)明目的公開(kāi)了本發(fā)明的具體實(shí)施例和附圖�,其目的在于幫助理解本發(fā)明的內(nèi)容并據(jù)以實(shí)施,但是本領(lǐng)域的技術(shù)人員可以理解在不脫離本發(fā)明及所附的權(quán)利要求的精神和范圍內(nèi)����,各種替換��、變化和修改都是可能的����。本發(fā)明不應(yīng)局限于本說(shuō)明書(shū)最佳實(shí)施例和附圖所公開(kāi)的內(nèi)容�����,本發(fā)明要求保護(hù)的范圍以權(quán)利要求書(shū)界定的范圍為準(zhǔn)�。
權(quán)利要求
1.一種P2P協(xié)議類型識(shí)別方法,其步驟為1)將用于機(jī)器學(xué)習(xí)的TCP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包整理成TCP流���;2)提取TCP流中的命令交互網(wǎng)絡(luò)包���,得到一命令交互網(wǎng)絡(luò)包子序列;3)將所述命令交互網(wǎng)絡(luò)包子序列的包長(zhǎng)作為指紋學(xué)習(xí)對(duì)象采用機(jī)器學(xué)習(xí)算法進(jìn)行學(xué)習(xí)��,得到相應(yīng)協(xié)議標(biāo)簽的指紋庫(kù)���,其中每一指紋對(duì)應(yīng)一個(gè)包長(zhǎng)子序列���;4)為每一指紋設(shè)置一權(quán)重��,并為每一協(xié)議設(shè)置一連接數(shù)閾值Th(C)和一指紋權(quán)重閾值 Th (W)�;5)將在線抓取的目標(biāo)宿主機(jī)TCP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包整理成TCP流��,提取命令交互網(wǎng)絡(luò)包的包長(zhǎng)序列并將其與所述指紋庫(kù)進(jìn)行匹配�����,得到該包長(zhǎng)序列的目標(biāo)協(xié)議�;6)當(dāng)與該目標(biāo)宿主機(jī)連接的IP地址數(shù)大于目標(biāo)協(xié)議的Th(C)��,而且在這些連接中具有目標(biāo)協(xié)議標(biāo)簽的指紋權(quán)重之和大于Th (W)��,則將該目標(biāo)宿主機(jī)判定為運(yùn)行目標(biāo)協(xié)議�����。
2.如權(quán)利要求1所述的方法���,其特征在于將用于機(jī)器學(xué)習(xí)的TCP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包按照 (源/客戶端地址�����,目的/服務(wù)器端地址�����,源端口����,目的端口,協(xié)議)五元組整理成TCP流�。
3.如權(quán)利要求1或2所述的方法,其特征在于步驟2)中���,提取并標(biāo)記TCP流中的命令交互網(wǎng)絡(luò)包�,得到所述命令交互網(wǎng)絡(luò)包子序列���;其中���,從客戶端到服務(wù)器端的交互命令網(wǎng)絡(luò)包包長(zhǎng)方向標(biāo)記為正方向“ + ”,反之則標(biāo)記為負(fù)方向“_”���。
4.如權(quán)利要求1所述的方法�����,其特征在于所述為每一指紋設(shè)置一權(quán)重的方法為設(shè)指紋i對(duì)應(yīng)協(xié)議為Pi���,所述命令交互網(wǎng)絡(luò)包子序列中���,用于學(xué)習(xí)標(biāo)明該協(xié)議Pi的網(wǎng)絡(luò)包為N 個(gè)網(wǎng)絡(luò)包;則指紋i的權(quán)重與指紋i在N個(gè)網(wǎng)絡(luò)包中出現(xiàn)的頻率成正比�����。
5.如權(quán)利要求1所述的方法����,其特征在于步驟5)中����,提取命令交互網(wǎng)絡(luò)包的包長(zhǎng)序列與所述指紋庫(kù)中每一指紋對(duì)應(yīng)的包長(zhǎng)子序列進(jìn)行匹配,得到該包長(zhǎng)序列的目標(biāo)協(xié)議��。
6.如權(quán)利要求1或4或5所述的方法����,其特征在于所述指紋的生成方法為1)取所述命令交互網(wǎng)絡(luò)包子序列的包長(zhǎng)序列中最初N項(xiàng)和最末N項(xiàng),分別稱之為前綴和后綴特征子序列�;幻利用機(jī)器學(xué)習(xí)算法對(duì)前綴和后綴特征子序列進(jìn)行聚類,然后對(duì)得到的每一類中心進(jìn)行修正,將修正的結(jié)果作為相應(yīng)協(xié)議標(biāo)簽的指紋���;其中����,N為自然數(shù)�����。
7.如權(quán)利要求1所述的方法��,其特征在于網(wǎng)關(guān)內(nèi)設(shè)置一定時(shí)器��,網(wǎng)關(guān)對(duì)設(shè)定時(shí)間長(zhǎng)度內(nèi)在線抓取的目標(biāo)宿主機(jī)TCP協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行緩存���,然后發(fā)送給集中管理平臺(tái)將其整理成TCP流�����。
全文摘要
本發(fā)明公開(kāi)了一種P2P協(xié)議類型識(shí)別方法����,屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域���。本方法采用監(jiān)督機(jī)器學(xué)習(xí)的思路����,具體分為線下(學(xué)習(xí))和線上(檢測(cè))兩個(gè)部分,其中線下學(xué)習(xí)是對(duì)事先標(biāo)定應(yīng)用協(xié)議種類的網(wǎng)絡(luò)包�,通過(guò)自動(dòng)學(xué)習(xí)和人工修正相結(jié)合,生成標(biāo)定協(xié)議的指紋��;而線上檢測(cè)是利用線下學(xué)習(xí)得到的指紋��,實(shí)時(shí)判定當(dāng)前網(wǎng)絡(luò)環(huán)境中的主機(jī)是否運(yùn)行上述協(xié)議�,從而得到目標(biāo)宿主機(jī)運(yùn)行的協(xié)議。與現(xiàn)有技術(shù)相比�,本發(fā)明識(shí)別效率更高,而且更符合P2P流量的特性��。
文檔編號(hào)H04L29/06GK102420830SQ201110421888
公開(kāi)日2012年4月18日 申請(qǐng)日期2011年12月15日 優(yōu)先權(quán)日2010年12月16日
發(fā)明者平夏雨, 時(shí)亮, 陳昱, 韋韜, 龔曉銳 申請(qǐng)人:北京大學(xué)