CN104348741A - 基于多尺度分析和决策树的p2p流量检测方法和*** - Google Patents
基于多尺度分析和决策树的p2p流量检测方法和*** Download PDFInfo
- Publication number
- CN104348741A CN104348741A CN201310337914.2A CN201310337914A CN104348741A CN 104348741 A CN104348741 A CN 104348741A CN 201310337914 A CN201310337914 A CN 201310337914A CN 104348741 A CN104348741 A CN 104348741A
- Authority
- CN
- China
- Prior art keywords
- flow
- decision tree
- network
- classification
- doubtful
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于多尺度分析和决策树的P2P流量检测方法和***。本发明通过小波的多尺度分析与机器学习中的决策树算法相结合检测P2P流量。先运用小波分析技术对流量进行多尺度分析提取出可疑的P2P流量,之后再运用决策树算法进行流量分类。本发明不仅能检测加密和未知的P2P流量,同时还具有较高的准确性和检测效率,提升了分类检测的有效性,达到了很好的安全检测效果。
Description
技术领域
本发明属于P2P流量检测***,特别是一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测***。
背景技术
科技进步日新月异,网络上充斥着各种流量,其中P2P流量占据了绝大多数,强烈的吞噬着有限的带宽资源。如何有效合理的对P2P流量进行管控已成为新的研究热点。传统的P2P流量检测方法如基于流量特征的和基于DPI的都有自身的局限性,这在网络流量不断增加的时下,进行协议解析和特征匹配的同时,计算机的计算和存储开销会显著增大,严重增加网络设备负担,导致P2P网络安全得不到保证。
本发明的一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测***可以通过多尺度分析网络流量提取疑似P2P流量,提高决策树分类检测模型的有效性,同时可以检测加密和未知的P2P流量。
发明内容
1、本发明的目的。
现有技术中,由于P2P流量增大时,计算机的存储开销显著增大,严重增加网络设备的负担,为了控制P2P的网络流量,本发明提出了一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测***。
2、本发明所采用的技术方案。
基于多尺度分析和决策树的P2P流量检测方法,按照如下步骤进行:
第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
第四步,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
基于多尺度分析和决策树的P2P流量检测***,包括以下结构:
网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
流量分类单元,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
3、本发明的有益效果。
本发明跳出传统检测方法范畴,提出将小波的多尺度分析与机器学习中的决策树算法相结合的P2P流量检测技术。不仅能检测加密和未知的P2P流量,同时还具有较高的准确性和检测效率,达到了很好的安全检测效果。
下面结合附图对本发明作进一步详细描述。
附图说明
图1是P2P网络流量多尺度分析模块图。
图2是决策树模型构建与识别过程图。
具体实施方式
实施例1
结合图1,基于多尺度分析和决策树的P2P流量检测方法,按照如下步骤进行:
第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
第四步,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
实施例2
基于小波多尺度分析和决策树的P2P流量检测***,步骤如下:
第一步,从网络层进行网络流量采集。拷贝交换机端口数据到数据采集服务器。
第二步,流量特征多尺度分析。用抓包分析工具抽取样本数据进行小波多尺度分析,包括自相似特征分析,长相关与短相关分析。
第三步,根据流量特征模式库进行模式匹配。
第四步,判断并提取疑似P2P流量。转入传输层基于决策树的流量检测协议分类阶段。
第五步,训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
实施例3
在实施例1或2的基础上,结合图2,P2P流量的分类阶段步骤如下:
第一步,按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口 IP 地址和上层协议无关的网络数据流的特征规则。
第二步,根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P 流量分类模型,完成网络流量分类。
第三步,根据已经建立的决策树模型对新的疑似P2P流量分类。
实施例4
基于多尺度分析和决策树的P2P流量检测***,包括以下结构:
网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
流量分类单元,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
实施例5
在实施例4的基础上流量分类单元的分类阶段步骤如下:
a.按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口 IP 地址和上层协议无关的网络数据流的特征规则;
b.根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P 流量分类模型,完成网络流量分类;
c.根据已经建立的决策树模型对新的疑似P2P流量分类。
实施例6
在实施例4或5的基础上,还包括P2P流量流量检测单元,完成P2P流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
上述实施例不以任何方式限制本发明,凡是采用等同替换或等效变换的方式获得的技术方案均落在本发明的保护范围内。
Claims (6)
1.一种基于多尺度分析和决策树的P2P流量检测方法,其特征在于按照如下步骤进行:
第一步,从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
第二步,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
第三步,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
第四步,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
2.根据权利要求1所述的基于多尺度分析和决策树的P2P流量检测方法,其特征在于:所述的第四步P2P流量的分类阶段步骤如下:
a.按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口 IP 地址和上层协议无关的网络数据流的特征规则;
b.根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P 流量分类模型,完成网络流量分类;
c.根据已经建立的决策树模型对新的疑似P2P流量分类。
3.根据权利要求1或2所述的基于多尺度分析和决策树的P2P流量检测方法,其特征在于:完成P2P流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
4.一种基于多尺度分析和决策树的P2P流量检测***,其特征在于包括以下结构:
网络采集单元,用于从网络层中采集数据,对特定的交换机作端口镜像,完全拷贝测试机的上行和下行流量数据到数据采集服务器,并用抓包分析工具抽取样本数据进行小波多尺度分析;
网络流量特征库,分析网络流量的自相似特征,长相似与短相似关联特征,找出其共有的或者是相似的流量模式,再根据这些特征建立P2P 网络流量特征模式库;
流量匹配单元,根据流量模式库的自相关特征,长相关和短相关流量模式库进行模式匹配;
流量分类单元,综合判断是否疑似P2P网络流量,如果判断是疑似 P2P 网络流量,则进入传输层基于决策树的流量检测协议分类阶段,否则放行。
5.根据权利要求4所述的基于多尺度分析和决策树的P2P流量检测***,其特征在于:所述的流量分类单元的分类阶段步骤如下:
a.按照流的五元组概念,提取传输层TCP/UDP双向数据流,提取与端口 IP 地址和上层协议无关的网络数据流的特征规则;
b.根据样本流的特征规则用决策树模型中的C4.5算法比较不同的规则增益率的大小,建立决策树P2P 流量分类模型,完成网络流量分类;
c.根据已经建立的决策树模型对新的疑似P2P流量分类。
6.根据权利要求4或5所述的基于多尺度分析和决策树的P2P流量检测***,其特征在于:还包括疑似P2P流量检测单元,完成P2P流量的分类后对训练样本数据并建立决策树分类检测模型,对疑似P2P流量作进一步的分类检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310337914.2A CN104348741A (zh) | 2013-08-06 | 2013-08-06 | 基于多尺度分析和决策树的p2p流量检测方法和*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310337914.2A CN104348741A (zh) | 2013-08-06 | 2013-08-06 | 基于多尺度分析和决策树的p2p流量检测方法和*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104348741A true CN104348741A (zh) | 2015-02-11 |
Family
ID=52503576
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310337914.2A Pending CN104348741A (zh) | 2013-08-06 | 2013-08-06 | 基于多尺度分析和决策树的p2p流量检测方法和*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104348741A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106372670A (zh) * | 2016-09-06 | 2017-02-01 | 南京理工大学 | 基于改进最近邻算法的忠诚度预测方法 |
CN106603497A (zh) * | 2016-11-15 | 2017-04-26 | 国家数字交换***工程技术研究中心 | 网络空间攻击流量的多粒度检测方法 |
CN108896996A (zh) * | 2018-05-11 | 2018-11-27 | 中南大学 | 一种基于随机森林的铅锌矿吸水井泥水界面超声波回波信号分类方法 |
CN109768985A (zh) * | 2019-01-30 | 2019-05-17 | 电子科技大学 | 一种基于流量可视化与机器学习算法的入侵检测方法 |
CN110012009A (zh) * | 2019-04-03 | 2019-07-12 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、***及设备 |
US11425047B2 (en) | 2017-12-15 | 2022-08-23 | Huawei Technologies Co., Ltd. | Traffic analysis method, common service traffic attribution method, and corresponding computer system |
US11586971B2 (en) | 2018-07-19 | 2023-02-21 | Hewlett Packard Enterprise Development Lp | Device identifier classification |
CN117061249A (zh) * | 2023-10-12 | 2023-11-14 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及*** |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058712B1 (en) * | 2002-06-04 | 2006-06-06 | Rockwell Automation Technologies, Inc. | System and methodology providing flexible and distributed processing in an industrial controller environment |
CN102868632A (zh) * | 2011-07-05 | 2013-01-09 | 句容博通科技咨询服务有限公司 | 基于多维向量机的p2p流量识别与监控*** |
CN103078772A (zh) * | 2013-02-26 | 2013-05-01 | 南京理工大学常熟研究院有限公司 | 一种基于信任的dpi抽样p2p流量检测*** |
-
2013
- 2013-08-06 CN CN201310337914.2A patent/CN104348741A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058712B1 (en) * | 2002-06-04 | 2006-06-06 | Rockwell Automation Technologies, Inc. | System and methodology providing flexible and distributed processing in an industrial controller environment |
CN102868632A (zh) * | 2011-07-05 | 2013-01-09 | 句容博通科技咨询服务有限公司 | 基于多维向量机的p2p流量识别与监控*** |
CN103078772A (zh) * | 2013-02-26 | 2013-05-01 | 南京理工大学常熟研究院有限公司 | 一种基于信任的dpi抽样p2p流量检测*** |
Non-Patent Citations (1)
Title |
---|
郑淋等: "基于多尺度分析和决策树的P2P流量检测模型", 《电视技术》 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106372670A (zh) * | 2016-09-06 | 2017-02-01 | 南京理工大学 | 基于改进最近邻算法的忠诚度预测方法 |
CN106603497A (zh) * | 2016-11-15 | 2017-04-26 | 国家数字交换***工程技术研究中心 | 网络空间攻击流量的多粒度检测方法 |
US11425047B2 (en) | 2017-12-15 | 2022-08-23 | Huawei Technologies Co., Ltd. | Traffic analysis method, common service traffic attribution method, and corresponding computer system |
CN108896996B (zh) * | 2018-05-11 | 2019-09-20 | 中南大学 | 一种基于随机森林的铅锌矿吸水井泥水界面超声波回波信号分类方法 |
CN108896996A (zh) * | 2018-05-11 | 2018-11-27 | 中南大学 | 一种基于随机森林的铅锌矿吸水井泥水界面超声波回波信号分类方法 |
US11586971B2 (en) | 2018-07-19 | 2023-02-21 | Hewlett Packard Enterprise Development Lp | Device identifier classification |
US12026597B2 (en) | 2018-07-19 | 2024-07-02 | Hewlett Packard Enterprise Development Lp | Device identifier classification |
CN109768985A (zh) * | 2019-01-30 | 2019-05-17 | 电子科技大学 | 一种基于流量可视化与机器学习算法的入侵检测方法 |
CN110012009B (zh) * | 2019-04-03 | 2021-05-28 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
CN110012009A (zh) * | 2019-04-03 | 2019-07-12 | 华南师范大学 | 基于决策树和自相似模型结合的物联网入侵检测方法 |
CN110048962A (zh) * | 2019-04-24 | 2019-07-23 | 广东工业大学 | 一种网络流量分类的方法、***及设备 |
CN117061249A (zh) * | 2023-10-12 | 2023-11-14 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及*** |
CN117061249B (zh) * | 2023-10-12 | 2024-04-26 | 明阳时创(北京)科技有限公司 | 基于网络流量的入侵监控方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104348741A (zh) | 基于多尺度分析和决策树的p2p流量检测方法和*** | |
US8797901B2 (en) | Method and its devices of network TCP traffic online identification using features in the head of the data flow | |
CN102315974B (zh) | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 | |
CN105577679B (zh) | 一种基于特征选择与密度峰值聚类的异常流量检测方法 | |
CN102035698B (zh) | 基于决策树分类算法的http隧道检测方法 | |
CN104283897B (zh) | 基于多数据流聚类分析的木马通信特征快速提取方法 | |
CN102571486B (zh) | 一种基于BoW模型和统计特征的流量识别方法 | |
CN102739457B (zh) | 一种基于dpi和svm技术的网络流量识别方法 | |
CN104244035B (zh) | 基于多层聚类的网络视频流分类方法 | |
CN107370752B (zh) | 一种高效的远控木马检测方法 | |
CN105024993A (zh) | 一种基于向量运算的协议比对方法 | |
CN105281973A (zh) | 一种针对特定网站类别的网页指纹识别方法 | |
CN107566192B (zh) | 一种异常流量处理方法及网管设备 | |
CN109151880A (zh) | 基于多层分类器的移动应用流量识别方法 | |
CN104468567B (zh) | 一种网络多媒体业务流识别和映射的***及方法 | |
CN101841440A (zh) | 基于支持向量机与深层包检测的对等网络流量识别方法 | |
CN104468507A (zh) | 基于无控制端流量分析的木马检测方法 | |
CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
CN110493235A (zh) | 一种基于网络流量特征的移动终端恶意软件同步检测方法 | |
CN105141455A (zh) | 一种基于统计特征的有噪网络流量分类建模方法 | |
CN111294342A (zh) | 一种软件定义网络中DDos攻击的检测方法及*** | |
CN110011983A (zh) | 一种基于流表特征的拒绝服务攻击检测方法 | |
CN109413079A (zh) | 一种高速网络下Fast-Flux僵尸网络检测方法和*** | |
CN108055227B (zh) | 基于站点自学习的waf未知攻击防御方法 | |
CN104657747A (zh) | 一种基于统计特征的网络游戏流分类方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150211 |