[发明专利]一种基于二级决策树的P2P协议识别方法

权利要求书

1.一种基于二级决策树的P2P协议识别方法，其特征在于，该方法包括步骤：

S1.获得纯净的P2P协议流量和非P2P协议流量，并从网络流量中提取一级网络流统计特征集作为一级训练集；

S2.根据步骤S1所提取的一级网络流统计特征集分别训练一、二级分类决策树模型集；

S3.从网络中提取符合特定触发规则的、网络流五元组中包含待检测IP地址的网络流集合的一级网络流统计特征作为一级分类特征；

S4.利用步骤S2得到的一、二级分类决策树模型集及步骤S3所提取的一级网络流统计特征识别背景流量中的P2P协议。

2.如权利要求1所述的基于二级决策树的P2P协议识别方法，其特征在于，步骤S1进一步包括：

S11.获得纯净的P2P协议的网络流量以及非P2P协议的网络流量作为提取训练集特征的基础；

S12.以IP为基本单位，提取最多包含i个trigger的、在网络流的五元组中源IP地址或目的IP地址等同于待检测IP地址的全部网络流，所述五元组即源IP地址、目的IP地址、源端口号、目的端口号、协议号；

S13.将步骤S12提取的全部网络流依照其在P2P协议通信过程中的不同作用和目的归类为5种不同类型的网络流，最终形成5种不同类型的网络流集合；

S14.提取步骤S13中已分好类别的5种不同类型的网络流集合的各自的一级4维统计特征total_ips、total_flows、total_packets、total_bytes。

3.如权利要求2所述的基于二级决策树的P2P协议识别方法，其特征在于，在步骤S12中，trigger定义为正向的连接失败的TCP流（T1）或反向的UDP流（U1）；并且i>0；

在步骤S13中，5种不同类型的网络流分别为：

T1：正向的连接失败的TCP流；

T2：正向的数据包≤15的TCP流；

T3：正向的数据包>15的TCP流；

U1：反向的UDP流；

U2：正向的UDP流。

4.如权利要求3所述的基于二级决策树的P2P协议识别方法，其特征在于，在步骤S13中，正向网络流的定义为此网络流五元组的源IP地址等于使用P2P协议或待检测的IP地址，反向网络流的定义为此网络流五元组的目的IP地址等于使用P2P协议或待检测的IP地址。

5.如权利要求2所述的基于二级决策树的P2P协议识别方法，其特征在于，在步骤S14中，一级4维统计特征total_ips、total_flows、total_packets、total_bytes分别为：此种类型下的网络流集合所连接的不同的目的IP地址个数、此种类型下的网络流集合所产生的网络流个数、此种类型下的网络流集合所传输的数据包个数、此种类型下的网络流集合所传输的字节数。

6.如权利要求3所述的基于二级决策树的P2P协议识别方法，其特征在于，步骤S2进一步包括：

S21.利用步骤S13所获得的5种不同类型的网络流集合的5个一级训练集，采用决策树算法，分别训练对应的5种不同类型的网络流集合的5个一级分类决策树模型，形成一级分类决策树模型集；

S22.将5个一级训练集分别输入5个一级决策树模型，每个一级决策树模型负责处理各自的类别训练集中的统计特征，分别计算得到5种不同类型的网络流集合的每一个统计特征向量的分类结果（r）和错误率（e）；

S23.将同一次提取的步骤S22种所得到的5种不同类型的网络流集合的每一个统计特征向量对应的分类结果（r）和错误率（e）进行整合形成二级的10维统计特征

<r_T1,e_T1,r_T2,e_T2,r_T3,e_T3,r_U1,e_U1,r_U2,e_U2>，

并进一步形成二级分类特征训练集；

S24.利用步骤S23所得到的二级分类特征训练集，采用决策树算法训练得到二级分类决策树模型。