謝生鋒

（河南機電高等?？茖W校計算機科學與技術系　新鄉(xiāng)　453000）

基于數(shù)據(jù)挖掘的P2P流量檢測技術研究

謝生鋒

（河南機電高等專科學校計算機科學與技術系新鄉(xiāng)453000）

本文介紹了目前主流的幾種P2P流量檢測技術，并分析了它們的優(yōu)缺點，最后通過對數(shù)據(jù)挖掘技術和關聯(lián)規(guī)則的介紹，提出了一種通用的P2P流量檢測技術方法，該方法通過對網(wǎng)絡數(shù)據(jù)流的處理，挖掘頻繁項集，得出關聯(lián)規(guī)則，根據(jù)得到的關聯(lián)規(guī)則來判斷P2P網(wǎng)絡流。

P2P流量檢測數(shù)據(jù)挖掘關聯(lián)規(guī)則

1　引言

近年來，隨著P2P技術的快速發(fā)展，出現(xiàn)了各種類型的P2P應用軟件，如文件共享系統(tǒng)、即使通訊系統(tǒng)、流媒體系統(tǒng)和視頻點播系統(tǒng)等類型，這些應用軟件在極大的方便用戶的同時，但也帶來了對整個互聯(lián)網(wǎng)流量的影響，占用大量的網(wǎng)絡帶寬，導致網(wǎng)絡擁塞，因此深入分析研究P2P流量的檢測技術，監(jiān)控和管理P2P服務，對保證互聯(lián)網(wǎng)的正常運行非常重要。

2　P2P流量檢測技術現(xiàn)狀及優(yōu)缺點

2.1基于端口的P2P識別

在第一代P2P應用中，大多數(shù)應用使用的都是固定端口號。通過取出TCP數(shù)據(jù)包或者UDP數(shù)據(jù)包首部的源端口或者目的端口，和常用的固定端口相比較，如果匹配，表明有一個P2P應用程序在運行。

基于端口的識別方法具有簡單，易于實施的特點，同時還可以提示未知端口的出現(xiàn)。但是隨著P2P軟件允許手工選擇端口，偽隨機端口，比如使用傳統(tǒng)Web服務的HTTP端口（80），這樣就給區(qū)分P2P流量和其它網(wǎng)絡流量帶來困難，在這樣的情況下，使用基于端口的P2P識別方法就不能準確的識別出P2P流量。

2.2基于流量特征的P2P識別［1］

P2P應用作為一種充分利用客戶資源的新型應用，它在傳輸層表現(xiàn)出來的流量特征相對于其它應用，如HTTP、FTP、DNS等，有許多不同的地方。在實際應用中，發(fā)現(xiàn)P2P流量具有持續(xù)性和不分時段性，根據(jù)這些流量特征的特點來檢測P2P軟件。其優(yōu)點有：

（1）由于P2P應用具有普遍共同的流量特征，新的P2P軟件也符合這一特征，可以來發(fā)現(xiàn)新的P2P軟件。

（2）雖然有的P2P軟件采用了加密技術，但是根據(jù)流量特征，可以被檢測到。

其缺點有：

（1）由于傳輸層流量特征一般不能明確指示應用層協(xié)議類型，所以這種方法對P2P軟件分類的能力較弱，精確性不高。

（2）很多流量特征并不是P2P流量唯一具有的，其它軟件也具有P2P軟件具有流量特征，因此需要結合其它檢測技術來排除非P2P軟件。

2.3基于深層數(shù)據(jù)包檢測的P2P識別

深層數(shù)據(jù)包檢測DPI（Deep Packet Inspection）技術，就是對數(shù)據(jù)包應用層信息中的報文的協(xié)議指紋、協(xié)議簽名進行流量識別，對于流經(jīng)的實時網(wǎng)絡流，采用模式匹配算法，判斷是否包含特征庫中的特征串，如果包含，則證明該網(wǎng)絡流是P2P數(shù)據(jù)，不過特征庫是根據(jù)具體的P2P軟件的協(xié)議以及相應的特征代碼建立起來的［5］。

由于DPI技術采用逐包分析、模式匹配技術，因此，可以對流量中的具體應用類型和協(xié)議做到比較準確的識別，并且易于理解、升級方便、維護簡單。不過該識別技術具有滯后性，也就是當有新的P2P軟件出現(xiàn)時，必須先升級特征庫，才能識別出新的P2P軟件。同時對采用加密的數(shù)據(jù)包，該技術的識別能力非常有限。

2.4基于深層流檢測的P2P識別［2］

DFI（Deep Flow Inspection,深層流監(jiān)測）技術是由美國Caspian公司提出，在NetFlow的識別功能基礎上增加了Class、Bit Rate/Packet Rate、Delay Variation、Byte Count和Flow Duration等Qos信息，以加強對流量的識別控制能力，其核心思路是在流識別的基礎上作出基于流行為的管理和控制。該識別技術能夠識別加密的P2P軟件，因為網(wǎng)絡流的狀態(tài)行為特征不會因加密而根本改變，因此不需要升級，但是DFI作為一項由Caspian公司提出的技術，由于其技術專利的限制，DFI技術平臺相對封閉。

3　數(shù)據(jù)挖掘技術應用研究

通過對上面主要的P2P識別技術的介紹，可以看出它們各有優(yōu)缺點，都不能適應各種各樣的P2P軟件，為此本文通過運用數(shù)據(jù)挖掘技術，設計出一種通用的P2P檢測技術方法。

3.1數(shù)據(jù)挖掘及其關聯(lián)規(guī)則

數(shù)據(jù)挖掘是今年來數(shù)據(jù)庫應用領域中的一種熱門技術，它是指在數(shù)據(jù)庫中，利用各種分析方法與技術，將過去所積累的大量繁雜的歷史數(shù)據(jù)，進行分析、歸納與整合工作，以萃取出有用的信息，找出有意義且用戶有興趣的模式，提供進行決策的參考依據(jù)。通過數(shù)據(jù)挖掘技術能夠找尋隱藏在數(shù)據(jù)中的信息，如變化趨勢、特征及相關性，也就是從數(shù)據(jù)中挖掘信息和知識［3］。

關聯(lián)規(guī)則是數(shù)據(jù)挖掘中的重要技術，其目的就是發(fā)現(xiàn)大量數(shù)據(jù)中項集之間有意義的關聯(lián)或相關聯(lián)系。它包括項集、支持度以及可信度等重要概念，其中項集是一組項，每個項都是一個屬性值，支持度是用于度量一個項集出現(xiàn)的頻率，可信度是用概率來衡量的，其數(shù)值等于項集A的支持度除項集｛A,B｝的支持度。關聯(lián)規(guī)則挖掘的執(zhí)行步驟包括如下：首先是給定最小支持度及最小可信度，其次根據(jù)關聯(lián)規(guī)則算法—Apriori算法，挖掘頻繁項集，最后根據(jù)頻繁項集生成關聯(lián)規(guī)則［4］。

3.2關聯(lián)規(guī)則挖掘和檢測P2P網(wǎng)絡流的方法

根據(jù)關聯(lián)規(guī)則挖掘的執(zhí)行步驟，檢測P2P網(wǎng)絡流須執(zhí)行以下以下幾個部分：

（1）數(shù)據(jù)源的獲取

通過截獲網(wǎng)絡數(shù)據(jù)包來作為數(shù)據(jù)源，在Windows平臺下, WinPcap是用于網(wǎng)絡封包抓取的一套工具，它可以作為高級程序語言訪問網(wǎng)絡底層的API接口，只需把編譯好的庫文件引用過來，在程序中調用庫中的函數(shù)，其功能可以實現(xiàn)捕獲原始數(shù)據(jù)包，根據(jù)定義的規(guī)則過濾要發(fā)送的數(shù)據(jù)包，網(wǎng)絡流量統(tǒng)計等。在Linux平臺下，有基于命令行的抓包工具-Tcpdump

（2）數(shù)據(jù)處理，建立項集

要建立項集，需要對截獲的網(wǎng)絡數(shù)據(jù)包進行處理，首先要過濾掉DNS、SNMP、FTP等數(shù)據(jù)包，對TCP/UDP數(shù)據(jù)包進行拆包操作，找出源IP地址、源端口號、目的IP地址、目的端口號、協(xié)議類型、連接的ID和截獲時間等主要網(wǎng)絡數(shù)據(jù)，需要注意的是TCP的連接建立包含3次握手過程，對于一些失敗的連接應去掉，UDP不存在此問題，只需將每個UDP包視為一次連接即可，同時還要統(tǒng)計IP地址在單位時間內的接受和發(fā)送包的數(shù)目，最后將這些主要數(shù)據(jù)導入數(shù)據(jù)庫，做為建立項集的主要的屬性。

（3）挖掘頻繁項集，生成關聯(lián)規(guī)則，判斷P2P網(wǎng)絡流

通過Apriori算法，掃描數(shù)據(jù)庫，來找出頻繁項集，不過Apriori算法的效率比較低，因為Apriori算法是不斷的迭代來找出頻繁項集，現(xiàn)在已有改進的Apriori算法，能減少數(shù)據(jù)庫的掃描次數(shù)，根據(jù)頻繁項集，設定支持度和可信度，來生成關聯(lián)規(guī)則，這時生成的關聯(lián)規(guī)則并不是最終的規(guī)則，因為網(wǎng)絡流是不斷變化的，需要重復上述過程，將多次生成的關聯(lián)規(guī)則合并，挖掘頻繁項集，直到不產(chǎn)生新的關聯(lián)規(guī)則。當檢測到有網(wǎng)絡流違反關聯(lián)規(guī)則的最小概率事件發(fā)生時，該網(wǎng)絡流的可疑度就增加,當違反多個關聯(lián)規(guī)則的最小概率事件時，多個可疑度之和超過預設的閥值，則可以判斷是P2P網(wǎng)絡流。

4　結束語

本文通過介紹國內外現(xiàn)有的P2P流量檢測技術，并比較他們的優(yōu)缺點，最后通過運用數(shù)據(jù)挖掘中的關聯(lián)規(guī)則技術，提出了一種通用的P2P流量檢測方法，但是該方法還有一些不足，如由挖掘頻繁項集生成的關聯(lián)規(guī)則，沒做深入具體的分析，還有沒有對方法進行具體的測試，這些都待進一步研究。

［1］徐雅斌.一個基于云計算的P2P流量識別系統(tǒng)模型的研究［J］.電信科學，2012（12）：58-62.

［2］譚靜.基于混合特征的P2P流量識別方法［J］.計算機仿真，2014，31（3）：316-318.

［3］袁雪美.P2P流量識別技術綜述［J］.計算機應用，2009,29（12）：11-14.

［4］徐周李,姜志宏,莫松海,樊鵬翼.基于應用層簽名的P2P流媒體流量識別［J］.計算機應用研究，2009,26（6）：2214-2216.

［5］李致遠,王汝傳.一種基于機器學習的P2P網(wǎng)絡流量識別方法［J］.計算機研究與發(fā)展，2011,48（12）：2253-2259.

若新代價值優(yōu)于舊代價，則替換，否則，保留舊有路線；利用兩分法進行局部優(yōu)化；根據(jù)已知最佳回路，少量更新信息素。經(jīng)過以上改進之后，DTN主動路由方案的具體實現(xiàn)步驟如下：

①采集DTN網(wǎng)絡基本信息，包括節(jié)點、節(jié)點的度、節(jié)點間的邊，以及邊的長度等參數(shù)；

②采用聚類算法，依據(jù)地理位置和傳輸時延將全部用戶節(jié)點劃分為若干個互不相交的小區(qū)，并在小區(qū)中選擇一個匯聚節(jié)點；

③在小區(qū)內和全網(wǎng)范圍內，分別設置無人機進行節(jié)點巡航，并計算最佳節(jié)點巡航路線；

④通過無人機巡航完成全網(wǎng)的信息傳輸。

5　結束語

文中針對平流層的特點，研究了DTN主動路由的設計方法，采用先聚類，后分層，再由無人機巡航的方式進行主動路由。主動路由技術與背景技術相比，具有如下優(yōu)點：①無人機航跡規(guī)劃算法中，采用了改進型的蟻群算法；②以機動性能良好的無人機作為擺渡節(jié)點，為用戶節(jié)點轉發(fā)數(shù)據(jù)；③將無人機分為2個層次：全網(wǎng)無人機和小區(qū)無人機，二者有著明確的功能劃分；④根據(jù)DTN網(wǎng)絡的特點，采用聚類算法進行節(jié)點的聚類以及區(qū)域的劃分。在后續(xù)研究中，會考慮將DTN的主動路由技術的應用場景從平流層擴展到太空以及深空段，針對太空及深空環(huán)境的特點設計相應的DTN主動路由技術。

參考文獻

［1］肖明軍,黃劉生.容遲網(wǎng)絡路由算法［J］.計算機研究與發(fā)展, 2009,46（7）：1065-1073.

［2］Fall K.A Delay-Tolerant Network Architecture for Challenged Internets［C］.Proc.of the ACM SIGCOMM 2003. NewYork：ACM,2003：27-34.

［3］衛(wèi)平青.延遲容忍網(wǎng)絡中的路由算法研究［D］.合肥：中國科學技術大學,2008.

［4］龍飛.衛(wèi)星網(wǎng)絡魯棒QoS路由技術研究［M］.北京：國防工業(yè)出版社,2010.

［5］Daly E,Haahr M.Social Network Analysis for Routing in Disconnected Delay-tolerant MANETs［C］.Proc.of the ACM MOBIHOC.New York：ACM,2007：32-40.

［6］Pan H,Chaintreau A,Scott J,et al.Pocket Switched Networks and Human Mobility in Conference Environments［C］.Proc.of the 2005 ACM SIGCOMM Workshop on Delay-Tolerant Networking.Philadelphia：ACM,2005：244-251.

［7］Anil K J.Data Clustering：50 Years beyond K-Means［J］.Pattern Recognition Letters,2010,31（8）：651-666.

［8］胡中華.基于智能優(yōu)化算法的無人機航跡規(guī)劃若干關鍵技術研究［D］.南京：南京航空航天大學,2011.

Research on P2P Traffic Detection Technology Based on Data Mining

XIE Sheng-feng
（DepartmentofComputerScience&Technology,He’nanMechanicalandElectricalEngineeringCollege,XinxiangHe’nan453000,China）

This paper introduces several P2P traffic detection technologies,and analyzes their strengths and weaknesses.Based on data mining and association rules,a general P2P traffic detection method is put forward.This method is used to derive the association rules by processing of network data stream and mining of frequent itemsets,and determine the P2P network flow according to the association rules.

P2P；traffic detection；data mining；association rules

TP206.3

A

1008-1739（2015）13-71-3

定稿日期：2015-06-12