[发明专利]基于支持向量机的对等网络流量检测方法

说明书

技术领域

本发明提出了基于支持向量机的P2P流量检测方法，利用支持向量机技术来实现P2P流量检测问题，属于分布式计算安全领域。

背景技术

随着P2P网络技术在90年代后期的兴起，P2P流量逐渐成为了互联网流量的重要组成部分。精确地识别P2P流量对于有效地管理网络和合理地利用网络资源都具有重要意义。

目前P2P流量检测技术大致有以下三类：基于端口的检测技术，深层数据包检侧技术和基于流量特征的检测技术。

基于端口的分析方法是在网络流量中探测P2P用户最基本，最直接的方法。但由于现在大多数P2P应用允许用户手动选择随意的端口号来设置默认的端口号或使用随机的端口号，从而使得端口号不可预测，还有一些P2P应用使用默认端口号(例如80端口)来伪装自己的功能端口，因此基于端口号的分析方法的效率变得很差。

深层数据包检测技术，通过深入检测其数据包中的有效载荷来进行检测，即通过应用层数据包的正则表达式的匹配来完成探测工作，以确定特定的P2P应用。该方法识别准确度高，实现简单，维护方便。但该方法是高资源消耗的，由于必须读取处理所有网络流量，会严重地增加网络设备负担甚至会导致网络的崩溃，因而不适合大型网络。另外该方法对加密P2P流量捕获能力弱，对新的P2P应用必须升级后才能检测且该方法容易和隐私保护法律条款产生冲突。

基于流量特征的检测技术是利用P2P在传输层表现出来的流量特征来发现P2P应用。这类方法借用了统计学领域通用的一些概念，分析传输层的信息，不需要任何关于应用层协议的信息，几乎不需要任何额外的软件或者硬件并具有较强的加密和未知P2P流量的捕获能力，因而近年来关于流统计方式测量P2P流量得到了国内外广泛的关注，被认为是最有前途的一种方法。目前主要包括以下几种识别方式：{IP，port}识别、TCP/UDP端口识别、BlockSize识别、基于会话(session)分类的识别、双向识别、流统计状态的识别等等，该方法虽然具有性能高、可扩展性好的有点，但由于准确性差，因此在实际应用部署在中也面临诸多困难。

支持向量机技术(Support Vector Machine，SVM)由vapnik及其合作者发明，在1992年计算机学习理论的会议上介绍进入机器学习领域，在20世纪90年代中后期得到了全面深入的发展，现已成为机器学习和数据挖掘领域的标准工具，在许多领域如手写识别、文本分类、入侵检测等已经取得相当出色的应用效果。支持向量机是统计学习理论中最年轻的内容，也是最实用的部分，已经被公认为是精度最高的模式分类器之一，它也是机器学习领域若干标准技术的集大成者，

支持向量机基本思想可用图1的二维情况说明。图中，实心点和空心点分别代表两类样本，H为分类线，H₁、H₂分别为过各类中离分类线最近的样本且平行于分类线的直线，它们之间的距离叫做分类间隔(margin)。所谓最优分类线就是要求分类线不但能将两类正确分开(训练错误率为0)，而且使分类间隔最大。分类线方程为

w·X+b＝0，(1)

其中w为最优分类线的法向量，b为偏置，样本集为(X_i，y_i)，i＝1，2，…，n，X∈R^d，y_i∈{-1，1}是类别标号，满足y_i[(w·X_i)+b]-1≥0，i＝1，2...n

此时，分类间隔为2/||w||，使间隔最大等价于使|w||²最小。满足条件式(1)且使||w||²最小的分类面称为最优分类面，H₁，H₂上的训练样本点称为支持向量。使分类间隔最大实际上就是对推广能力的控制，这是支持向量机的核心思想之一。根据统计学习理论求最优分类面的问题可转化为一个二次规划的优化问题，即在式(1)的约束下，求函数(2)的最小值。