基于子图模式的流量分类方法研究-通信与信息系统专业论文.docx

万方数据 万方数据 RESEARCH ON TRAFFIC CLASSIFICATION METHOD BASED ON GRAPHLET PATTERNS A Thesis Submitted to University of Electronic Science and Technology of China Major: Communication and Information System Author: Shi Liangshan Advisor: Hu Guangmin School : School of Communication and Information Engineering 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示谢意。 作者签名： 日期： 年 月 日 论文使用授权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 作者签名： 导师签名： 日期： 年 月 日 摘要 摘 要 对网络流量按照应用进行分类是一项重要任务，可以使用分类结果来规划和 设计高效的网络，并预测应用的发展趋势。然而，基于端口号的流量分类方法由 于多种新型应用的出现，其准确度大不如从前；基于数据包负载分析的方法尽管 准确度很高，但其复杂度过大且涉及用户隐私；基于机器学习的方法种类繁多， 不易选择且复杂度较大；基于传输层特征的方法一般通过大量的参数在流级上进 行分类，并未站在主机交互的角度分析流量，从而忽略了有一些有用信息。 Thomas Karagiannis 在 ACM SIGCOMM 上提出 的 BLINC （ Blind Classification，盲分类）方法利用不同的网络应用在传输层子图连接模式的差异来 划分网络流量，得到了较好的分类效果。该方法和其他方法相比最主要的特点是 不使用数据包的负载内容，通过分析主机之间的交互来揭示应用的本质特征，具 有良好的可扩展性。通过调节一系列阈值参数，该方法能对 80%-90%的流量作出 分类，且准确度高达 95%以上。但是，BLINC 方法只是简单地罗列了其中一部分 子图模式，并没有给出每个模式的具体分析构造过程，也没有给出具体的算法流 程。此外，BLINC 方法使用的子图都是以源节点为核心的，分类的准确度很高但 完整度较低。本文针对以上问题，做出的工作主要如下： 第一，对 Attack、Web、Spam-Filter、Game、NM（Network Management，网 络管理）、Chat、Mail、Streaming、FTP、DNS、P2P 这十一种应用的主机交互行 为一个一个地进行了详细分析，给出了它们以源节点为核心的子图模式和各自的 特点，并且对一些较相似的子图模式作了启发式区别分析。以 BLINC 方法为基础， 提出了使用以源节点为核心的子图模式进行匹配的分类算法，并利用该算法对大 型网络中四种传统应用 Web、DNS、Mail、FTP 和一种新型应用 P2P 分别进行分 类性能验证，实验结果表明，分类的准确度很高但完整度较低。 第二，针对以源节点为核心的子图方法对大型网络的分类完整度较低这一问 题，本文通过理论分析，提出可以把以目的节点为核心的子图模式和端口分析二 者补充应用于原始的分类算法。同样地，通过对上述十一种应用的工作原理分析， 最终总结出了它们各自对应的以目的节点为核心的子图模式和特点。 第三，提出了把以源节点为核心的子图模式、以目的节点为核心的子图模式 和端口分析三者结合起来的分类算法，并使用该算法在同样的阈值条件下对同一 I 摘要 组 Web、DNS、Mail、FTP、P2P 流量数据进行分类并验证性能，实验结果表明， 后者相较前者而言在准确度方面变化不大，但完整度有明显提高。 第四，实现了基于子图模式的流量分类软件。该软件由数据输入输出模块、 分类算法模块和 GUI 显示交互模块三部分组成，提供了友好的界面和丰富的交互， 大大方便了用户对流量数据进行分析和分类。 关键词： 流量分类，BLIN