网络流量分类方法调研

网络流量分类方法调研

传统的网络流量分类方法

基于端口

最初的标准协议都分配有固定的端口，如HTTP服务的端口号为80，SMTP（简单邮件传输协议）服务的端口号为25等。在解析出数据包的端口信息后，可以据此推断网络流量所属协议类型
问题：随着动态端口、伪装端口及不标准端口号的出现，该方法的识别准确率显著下降。

基于有效负载

基于有效负载的方法，如深度包检测，通过在IP包的有效负载中搜索应用程序的签名，能够在一定程度上避免动态端口问题。
问题：
-当加密流量出现时，该方法很难实现且计算开销很高
-面对快速发展的网络，需要不断地更新和维护协议特征库

基于流量统计

依据流量的一些外部统计特征，如包间时间、总包数、流量持续时间等，多采用机器学习方法实现流量的分类
常用的机器学习算法有：
-机器学习中的经典算法：随机森林、SVM、朴素贝叶斯、C4.5等、各种聚类算法
-深度学习模型：神经网络CNN、RNN等；去噪自编码器
特点：对动态端口和加密流量等具有高适应性，是当前流量分类领域的研究热点。

流量分类框架

监督学习

利用一组已标记的数据样本训练一个流量分类器，将未识别流量划分到所能识别的已知类别中，目前准确率基本可达到98%以上。

无监督学习

通过聚类等无监督学习算法对一组无标记样本自动进行分类