Network Traffic分类方法比较分析

　　摘要：准确的流量分类是网络管理的前提，比较分析了基于端口、基于数据包、基于主机行为、基于机器学习的四种流量分类方法的优缺点，展望了流量分类技术未来发展方向。
　　关键词：网络流量；分类方法；机器学习
　　中图分类号：TP393文献标识码：A文章编号：1009-3044（2013）33-7420-03
　　如何对各种纷繁复杂的网络应用进行识别对于网络管理和监控来说非常重要，从网络安全监控到网络计费，从QoS（QualityofService）到提供给用户长期有价值的预测信息等，从近期引起广泛争议的美国政府合法监听网络的"棱镜"项目，也说明流量分类可帮助ISP及时识别疑犯在网络任意给定位置使用了何种类型应用。
　　1基于端口号匹配方法
　　早期的网络流量分类方法基于传输层端口号，基于端口号的分类器检查每个数据包的端口号，然后根据国际互联网代理成员管理局（IANA）公布的标准端口号和注册端口号列表来查找确定不同的应用类型。例如分类器要想知道服务器端一个新的客户机/服务器的TCP连接类型仅需查找TCP_SYN数据包（这是TCP协议在建立会话过程中三次握手的第一步），通过查找IANA注册端口号表中的TCP_SYN数据包的目的端口号从而推断出应用类型。UDP协议是无连接建立也没有连接状态保持的协议，它也使用类似的端口号匹配方法。
　　尽管端口号匹配法是最快和最简单的方法，但其存在缺陷。首先，有些应用并不在IANA注册其端口号。第二，有些应用并不使用它的默认端口号以规避操作系统对它的存取控制限制（例如在类似Unix系统中未被授权的用户运行HTTP服务时将被强制禁用端口号80）。第三，在一些情况下服务器端口号将根据需要进行动态分配。例如RealVideo流允许采用动态协商服务器端口号的方式来进行数据传送，在一开始使用默认的标准RealVideo控制端口号建立起来的连接中，服务器的端口号可以通过动态协商而得到。另外，在一些环境下对IP层的信息加密也可能造成TCP_Header和UDP_Header模糊，因此分类器不可能知道其实际的端口号。
　　Moore等人[1]指出，若使用官方的IANA表，使用基于端口号的分类器准确率将低于70%。Karagiannis等人[2]指出大量的P2P应用使用随机端口传输数据，使得基于默认端口的流量识别方法难以准确标识P2P等新型网络应用。
　　2基于数据包检测方法
　　数据包检测方法[3]是通过解析应用层协议数据包载荷特征字符来区分不同的应用。这种方法曾被誉为最为准确的流量识别方法，目前仍为大多数商用系统所采用。但是这需要较高的计算复杂度和访问较多的数据包才能完成。例如，根据Moore等人研究，仅有少量特殊的应用可通过第一个数据包（有载荷数据）而被正确分类，而其他的应用则需更详细的检测，只能当检测到的载荷数据量达到1Kbyte时才能确定其应用类别。匹配特征值可通过公开出版的协议规范获得。
　　除了需要访问载荷数据，这种方法也不能处理载荷数据加密的应用。首先，面对应用协议的频繁更新、载荷加密技术的普及、新应用频出等状况，该方法的有效性已逐步降低。第二，维护特征库需耗费计算资源和计算时间，其适用范围有限。第三，采集和解析载荷记录受到侵犯用户隐私权等法律问题的约束。
　　3基于传输层行为模式方法
　　Karagiannis等人提出一种基于传输层行为的流量分类方法即BLINC[4]（盲分类器），该方法利用不同网络应用在传输层连接模式的差异来划分网络流量，无需解析数据包载荷或知晓端口号，具有良好的可扩展性。其原理是通过描述网络主机在社会层、功能层和应用层三个层次的内在行为特性来识别主机的角色，进而对该主机的相关流量进行分类。（1）社会层面：获取一个主机与其他与之通讯的主机的数量。凭直觉，在这个层面将首先关注这台主机与其他主机交互的活跃性，其次识别与这台主机通信的节点。（2）功能层面：捕获主机的行为特征，分析其在网络中扮演角色是业务提供者还是业务接受者或两者兼有。例如若一台主机用一个端口与其他多台主机通信，那么这台主机在这个端口上应该是一个业务提供者角色。（3）应用层面：捕获特定主机的特定端口传输层之间的互动识别业务的发起方。