matlab 神经网络dpi,基于DPI和BP神经网络的P2P流量识别研究

研究与开发 现代计算机 2019.04 上 文章编号：1007-1423(2019)10-0031-05 DOI：10.3969/j.issn.1007-1423.2019.10.007 基于 DPI 和 BP 神经网络的 P2P 流量识别研究 万建伟，胡勇 (四川大学电子信息学院，成都 610021) 摘要：为了准确地识别P2P流量，提出一种结合DPI和BP神经网络的新的检测模型，该模型对单一的识别方法进行优化以提高识别率。实验表明，该模型弥补DPI技术不能识别加密流量的不足，能够根据网络流量的特征有效地识别网 络应用，提高检测的准确性。 关键词： P2P；识别；BP神经网络；DPI 0 引言 在过去的十几年里，对等网络P2P(PeertoPeer)技术在各个领域里得到了广泛的应用。P2P 技术的使用，使得网络用户在作为客户端的同时也成为了服务端，能够给网络中的其他节点提供服务，共享信息。因此，采用 P2P 技术的应用软件因受到用户的欢迎而快速发展。研究表明，60%的互联网流量都是 P2P 流量。P2P 协议传输的数据具有传输速度快、容量超大等优点，它极大地方便了用户，但与此同时，由于缺乏有效的监管， P2P 应用也给网络服务管理带来了一些问题，例如，众多的网络用户同时使用P2P流量会造成网络堵塞、占用带宽，这会加大网络开销。并且P2P流量在传播的过程中，可能会携带木马病毒、诈骗信息，容易造成网络安全问题；还有部分 P2P 应用软件为了抢占客户资源，恶意侵占网络带宽，大大降低了网络空间的整体利用效率，破环了网络运营环境。 随着 P2P 流量的急剧增多，网络管理员如何更加有效监控P2P流量成为了一个形势严峻的问题。而要处理好这个问题，必须对P2P流量进行识别研究，只有识别控制该流量，才能最大化地利用网络资源，提升整个网络的使用效率， P2P 流量的识别研究是网络安全 研究领域的热点。 1 P2P流量的检测方法 P2P 流量识别技术主要包括：基于固定端口的识别、基于深度包检测技术(Deep Packet Inspection， DPI)、基于流量统计特征和机器学习的识别方法。 基于固定端口的识别方法是最常用、最基本的识别方法，其原理是通过分析报文段的报头，获取传输层的端口号信息，识别流量类型。该识别方法在使用固定端口号的应用程序上有着很高的识别率，方法简单、识别速度快。但是这种方法对未知端口和协议不适用。 基于DPI技术的流量识别方法不仅分析数据包中 源、目的地址和源、目的端口，还要分析应用层的数据。获取数据包之后，通过 DPI 技术识别载荷里面的特征字，识别出对应类型的流量。DPI 主要是一种对 应用层载荷特征进行识别的技术，它基于特征字符串以及行为模式。但是，随着互联网技术的发展，DPI 方法在检测流量的过程中出现了一些问题，例如，当P2P 应用更新时，检测分析过程中的特征库没有及时更新，则无法检测出该应用。并且，该方法也不适用于检测使用加密的应用程序。 基于流量统计特征的识别方法在文献[1]中有提及，该方法在分析P2P协议工作原理的基础上，提出了区分 P2P 流量的几个统计特征，如节点的链接不稳定性、节点发现模式、远端 IP 分布广度。基于流量统计 􀀣􀀫 研究与开发 现代计算机 2019.04 上 特征的识别方法识别度好且效率高效，这是由于该方法选取了良好的流量特征，成功克服了基于效载荷方法成本高、无法识别加密流量的局限性，但是它不能辨别出具体的P2P流量。 而后出现了大量的基于机器学习的识别方法，主要包括支持向量机、决策树以及基于神经网