当前位置:
文档之家› 基于隐马尔科夫模型的P2P流识别技术
基于隐马尔科夫模型的P2P流识别技术
型 随机 变 量 能 降 低 模 型 建 立 时 间 ,提 高 识 别 未 知 流 的实 时性 和 准 确 性 ;H M—I 能 同 时 识 别 多 种 P P协 议 产 生 M FA 2 的分 组流 , 并 能 较 好 地 适 应 网络 环 境 变 化 。 关键 词 : 对 等 方 到 对 等 方 ;有 限状 态 机 ;流 识 别 ; 隐 马 尔科 夫模 型
第 3 第 6期 3卷 21 0 2年 6月
通
信
学
报
、 l3 No 6 b -3 .源自 J n 01 u e2 2J u a nC o m u iai n om l m o nc t s o
基 于 隐 马 尔科 夫 模 型 的 P P流 识 别技 术 2
许博 ,陈呜,魏祥麟
中图分类号:T 3 3 P9
文献标识码 :A
文章编号 :10 —3 X 2 1)60 5 —9 004 6 (0 20 —0 50
H i e a k v m o e a e P f w e tfc to e h i u dd n M r o d l s d P2 o i n i a i n t c n q e b l d i
基 金项 目: 国家 高 技 术研 究 发 展 计 划(“ 6 ” 计划 ) 金 资 助项 目(0 7 A0 Z 1 ) 83 基 2 0 A 1 4 8 ;江 苏 省 自然 科 学基 金 资助 项 目 ( K20 0 8 ;国家 自然科 学基 金资助项 目( 17 0 3 B 095 ) 60 20 )
C e a ptv o d feen e wor ic n a b da i et if r tn t k cr um sa c t n e.
Ke r s p e e r fn t t t c n ; o i e t c t n h d e ak v mo e y wo d : e rt p e ; i sae ma h e f w n f ai ; i d nM r o d l o i e i l d i i o
流识别技术 。该技术利用分组大小 、到达时间间隔和到达顺序等特征构建流识别模型 ,采用 离散型随机变量刻 画 HMM 状态特征 ;提 出了能同时识别 多种 P P应用流的架构 H 2 MM.I FA,设计 了 H MM 的状态个数选择算法 。在 校 园网中架设可控实验环境 ,使 用 H MM—I FA识别 多种 P P流,并与 已有识别方法进行 比较 ,结果表 明采用离散 2
分类和识别 的目的I 。但此类方法大多都无法高 ” 效 、实 时地 识 别特 定协 议产生 的分 组流 。
本 文提 出了 一 种基 于 隐 马 尔科 夫模 型 ( HMM)
识别 P P流 的新 方法 ,将 H 2 MM 中的隐状 态序 列与 分组 流观 察序 列对 应起 来 ,并采 用离 散 型随机 变量 刻 画状 态特征 ,有效 地提 高 了识别 P P流 的实时性 2 和准 确 性 。实 验结 果表 明此 方法 能准确 、快速 地 识 别 多种 P P应用 协议 产 生 的分 组流 。 2
i ai h iu sp o o e . i p r a h ma e u e o c e z , n e - ri a me a d ar a r e c n tu t fc t n tc n q e wa r p s d Th sa p o c d s f a k t i e i tra rv l i n r v lo d rt o sr c o e p s t i o l w d n i ai d l n wh c ic ee r n o v ra l s u e o d p c h h r c e i i f HM M t t.A fo ie t c t n mo e ,i i h d s r t a d m a i b e wa s d t e itt e c a a t r t s o i f o sc sae
隔 构造二 维 向量 特 征 ,提 高 了识别准 确性 ,但 他们
采 用连续 型 随机 变 量 ,降低 了识别 的实 时性 , 同时 缺 乏不 同 HMM 之 间的相似度 比较 】 埽。
3 基 本 思 想
P P流识 别实 际上是 根据 收集 的流信 息识 别 出 2 某 种 P P网络应 用协 议 的过程 。网络 协 议可使 用有 2
g rtm rs lc i g t en mb r f o h f ee t u e i o n h o HM M tt sd sg e . n ac nr l b ee p rme t i u tn e i ec p s s ewa e i n d I o to l l x e a a i n a cr msa c t a u l c nh m n t r, e wo k HM M - I wa t ie d n i 2 o d wa o a e t t e e t c t n me h d . er s l F A su l d t i e t y P P f wsa sc mp d wi o ri n f a o t o s Th e u t i z o f l n r h h d i i i s s o t a ic ee r d m a ib e C e r a e t e mo e o sr ci g t d i r v e t — o t d a c r c n h w t s r t a o v r l a d c e s h d l n t t i a h d n a n c u n men mp o et me c s c u a y i h i n a
X U o CH EN i g, EIXi n ln B , M n W a g-i
( s tt o C mma d uo t n P AUnv r t f ce c n e h oo yNaj g2 0 0 , h a I tue f o ni n A tma o , L i i s yo S i e dT c n lg , ni 1 0 7 C i ) ei n a n n
Ab ta t oie t yv ro sP P f wsa c rtl e lt , id n Mak vmo e ( sr c:T n f a u 2 o c u aeyi ra— me ahd e r o d l HMM) a e 2 o ie t d i i l n i b s dP P f w ni l d —
其 状 态通 过观 测 序 列 的随 机过 程 表现 出来 。H MM
2 相 关工 作
Me a n 等人 首先将流 统计特 征应用于流 识别 ,他 们 利用 分组 大 小和到达 时间 间隔 的统 计特 征识 别 出 实时音频 流 【。A. G e o 等 人使用 E 算法 [, 8 】 Mc rg r M 9 】 利用 运输 层统 计信 息 ,如分组 大 小、流字 节数 、连
F u d t n I ms T e t n l g e h oo yR sac dD v lp n P o rm f h a(6 o r ) 2 0 A 1 4 8 ; o n a i e : h i a HihT c n lg ee ha e eo me t r ga o i 8 3 ga (0 7 A0 Z 1 ) o t Na o r n C n r P m T eN tr ce c o n a o f i g uP o ic B 2 0 0 8 ; h a o a Na r ce c o n a o f hn ( 1 7 0 3 h aua S in eF u d t no a s r vn e( K 0 9 5 )T eN t n l t a S in e u d t n i a6 0 2 4 ) l i J n i ul F i oC
识 别流 的方 法 简单 、高效 ,在传 统应 用流 识别 中发 挥 了重要 作用 。但 P P应 用广泛 采用 动态 端 口、 , 2
端 口跳 变和 端 口伪装 等 技术 ,使 该识 别方法 不 再可
行 。 于特 征字 的 P P流识 别方法 具有 识 别准 基 2 , 确 率 高 、可在 线 处理 等优 点 ,其缺 点 是需要 深度 检
1 引言
因特 网中新 型 网络应 用不 断 涌现 ,流 量成 分 日 趋 复 杂 ,这使 得优 化 网络 结构 、维护 网络安全 、强
化 网络管 理 以及理 解 网络 行为 面 临挑 战 。基于 端 口
收稿 日期 :2 1.91 ;修 回 日期:2 1. 1 4 0 00 —5 0 10 . 0
( 放 军理 工大 学 指挥 自动 化 学院 ,江 苏 南京 2 00 ) 解 107
摘
要 : 了实 时 、 确 地 识 别 多 种 P P应 用 流 ,提 出 了基 于 隐马 尔 科 夫 模 型 ( MM, id n a o d1 P P 为 准 2 H hd e r v M k mo e) 2 的
包 含 2层 ,一个 可观 察层和 一个 隐藏 层 。可 观察 层 是 待识 别 的观 察序 列 ,在 P P流 识别 中表现 为节 点 2
间交互 的多 个连续 分组 ,隐藏层 是一 个 马尔科 夫过 程 ,即运 行在 节 点 内部 的一个 有 限状态 机 ,其 中每 个 状态 转移 都带 有转 移概率 。 在H MM 中,对于 一个 随机事件 ,有一个观察值
・
5 6・
通
信
学
报
第 3 3卷
测 分组应 用层 负载 ,无法 识别 采用信 息 加密传 输 的
协 议 ,且 提取 应用 协议特 征字 比较 困难 。基 于运输 层 统 计 信 息和 行 为 特 征 的启 发 式 识 别 方 法 是 当 前 的研 究热 点 。这类 方法 利用 流 的属性 、统计 特征 以 及 行 为特 征 ,按 照启 发式规 则对 流进 行分 析 ,达 到
限状态 机描 述 ,但协 议有 限状态 机位 于节 点 内部 , 其状态 及状 态 问的转 移特 征均被 节 点屏蔽 ,只 有在
