Network Traffic分类方法比较分析(2)

　　BLINC分类器主要优点之一在于它的可调性。分类条件的严格性可按测量目标的不同而上下浮动。条件标准可松可紧便于在分类完整性与准确性之间的不同平衡点上得到分类识别结果。然而行为模式方法利用了网络应用的行为属性，不仅极易受到网络环境的影响，而且随着网络应用的自身完善而逐步失效。例如，它依赖于每个主机产生的流是否包含了足够的行为信息，所以使用BLINC的最佳位置应是单宿主的边缘网络，只有在边缘网才能尽可能多地观察到主机行为信息。同样原因，它不适合骨干网络，骨干网仅能收集到很小一部分行为信息，另外路由的不对称性使得双向的流并不总是经过同一链路，往往会造成失去其中一个方向的流。因此这类方法的可用性仍然受到限制。
　　4基于机器学习方法
　　这种方法的基本思想是根据TCP/IP网络中应用层传输协议（WEB、P2P、DNS、SMTP、FTP等）对流进行分类。流的定义：按照五元组[6]（源IP地址、源端口号、目标IP地址、目标端口号及IP协议）的定义，将网络流量的数据包（Packets）分成双向TCP或UDP流（Flow），抽取与协议和端口无关的流的特征（如报文长度，持续时间等），形成特征向量。用特征向量来表示流，以流的应用类型（WEB、FTP、STREAMING等）作为流的类别，通过上述处理获得基于机器学习方法训练所需的样本流。然后根据样本流的特征向量，用机器学习的方法构建分类器。最后用构建的分类器对未知的网络流量进行预测分类。
　　基于机器学习流量分类是近年的研究热点。其优点是不依赖匹配协议端口或解析协议内容来识别网络应用，因而不受动态端口、载荷特征加密甚至网络地址转换（NAT）的影响，其效率、灵活性以及可扩展性等，较之上述各种方法都有所突破，但也面临一些挑战，需要考虑以下问题：1）及时和持续地分类
　　一个分类器应尽可能使用能判断出类标识的最低限度的数据包数量，这样可减少缓存计算流特征数据包所需的内存空间。但是计算每条流最前的少量数据包是不够的，有些恶意攻击在流的整个生命周期内把流的前数据包伪装成正常的数据包，所以理想的分类器应能对每条流在其整个生命周期内持续进行分类判断。
　　2）流的单向与双向
　　一般事先假定流是双向的，并且流统计特征的计算是在流的前向和反向被分开进行计算。由于很多应用（多媒体在线游戏或流媒体）在客户机-服务器方向与服务器-客户机方向展现了不同的流统计特性，因此分类器应该知道先前未知流的方向（哪一端是服务器亦或哪一端是客户机），或者分类器识别目标应用不需要额外的流方向特征。
　　3）内存与处理器的有效利用。
　　分类器的效率还有赖于构建分类器系统所需的硬件（CPU时间与存储空间消耗），很难想像一个不考虑能在最短时间内训练建模并准确识别应用类别的分类器是有效率的。
　　4）可移植性与健壮性
　　可移植性是指分类器能适应不同的网络即它能部署到网络的各种不同位置而不失准确性，健壮性是指面对网络层的各种干扰，例如数据包丢失，流量整形，数据包碎片，抖动等，分类器应仍能提供稳定准确的的分类结果。另外健壮性也指一个分类器能否快速识别未知的新应用类别。
　　5基于流量分类方法的算法性能比较
　　将四种方法各选其现有的具有代表性的网络流量分类算法在若干重要评价指标等方面进行性能比较，结果如表1所示。该文基于端口号方法选择CoralReef，基于数据包负载检测方法选择L7-filter，基于传输层行为模式方法选择BLINC，基于机器学习算法选择C4.5[5]。表1中适应性是指该算法能否适应不同的或正在变化的流特性。探测性是指该方法能否探测到新的或异常的网络应用。
　　6结束语
　　本文介绍了四种网络流量分类方法，并以典型算法为背景对四种分类方法的优缺点进行了比较分析。目前基于机器学习的网络流量分类方法比较灵活，是当前主流的研究手段，但是早期的基于端口的分类方法在特定的场合下也具有应用优势，不宜全盘否定，如何开发出能利用上述各类优点的组合分类方法是未来的方向。
　　参考文献：
　　.