[发明专利]基于多尺度分析和决策树的P2P流量检测方法和系统

说明书

技术领域

本发明属于P2P流量检测系统，特别是一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测系统。

背景技术

科技进步日新月异，网络上充斥着各种流量，其中P2P流量占据了绝大多数，强烈的吞噬着有限的带宽资源。如何有效合理的对P2P流量进行管控已成为新的研究热点。传统的P2P流量检测方法如基于流量特征的和基于DPI的都有自身的局限性，这在网络流量不断增加的时下，进行协议解析和特征匹配的同时，计算机的计算和存储开销会显著增大，严重增加网络设备负担，导致P2P网络安全得不到保证。

本发明的一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测系统可以通过多尺度分析网络流量提取疑似P2P流量，提高决策树分类检测模型的有效性，同时可以检测加密和未知的P2P流量。

发明内容

1、本发明的目的。

现有技术中，由于P2P流量增大时，计算机的存储开销显著增大，严重增加网络设备的负担，为了控制P2P的网络流量，本发明提出了一种基于小波的多尺度分析和决策树算法相结合的P2P流量检测系统。

2、本发明所采用的技术方案。

基于多尺度分析和决策树的P2P流量检测方法，按照如下步骤进行：

第一步，从网络层中采集数据，对特定的交换机作端口镜像，完全拷贝测试机的上行和下行流量数据到数据采集服务器，并用抓包分析工具抽取样本数据进行小波多尺度分析；

第二步，分析网络流量的自相似特征，长相似与短相似关联特征，找出其共有的或者是相似的流量模式，再根据这些特征建立P2P 网络流量特征模式库；

第三步，根据流量模式库的自相关特征，长相关和短相关流量模式库进行模式匹配；

第四步，综合判断是否疑似P2P网络流量，如果判断是疑似 P2P 网络流量，则进入传输层基于决策树的流量检测协议分类阶段，否则放行。

基于多尺度分析和决策树的P2P流量检测系统，包括以下结构：

网络采集单元，用于从网络层中采集数据，对特定的交换机作端口镜像，完全拷贝测试机的上行和下行流量数据到数据采集服务器，并用抓包分析工具抽取样本数据进行小波多尺度分析；

网络流量特征库，分析网络流量的自相似特征，长相似与短相似关联特征，找出其共有的或者是相似的流量模式，再根据这些特征建立P2P 网络流量特征模式库；

流量匹配单元，根据流量模式库的自相关特征，长相关和短相关流量模式库进行模式匹配；

流量分类单元，综合判断是否疑似P2P网络流量，如果判断是疑似 P2P 网络流量，则进入传输层基于决策树的流量检测协议分类阶段，否则放行。

3、本发明的有益效果。

本发明跳出传统检测方法范畴，提出将小波的多尺度分析与机器学习中的决策树算法相结合的P2P流量检测技术。不仅能检测加密和未知的P2P流量，同时还具有较高的准确性和检测效率，达到了很好的安全检测效果。

下面结合附图对本发明作进一步详细描述。

附图说明

图1是P2P网络流量多尺度分析模块图。

图2是决策树模型构建与识别过程图。

具体实施方式

实施例1

结合图1，基于多尺度分析和决策树的P2P流量检测方法，按照如下步骤进行：

第一步，从网络层中采集数据，对特定的交换机作端口镜像，完全拷贝测试机的上行和下行流量数据到数据采集服务器，并用抓包分析工具抽取样本数据进行小波多尺度分析；

第二步，分析网络流量的自相似特征，长相似与短相似关联特征，找出其共有的或者是相似的流量模式，再根据这些特征建立P2P 网络流量特征模式库；

第三步，根据流量模式库的自相关特征，长相关和短相关流量模式库进行模式匹配；

第四步，综合判断是否疑似P2P网络流量，如果判断是疑似 P2P 网络流量，则进入传输层基于决策树的流量检测协议分类阶段，否则放行。

实施例2

基于小波多尺度分析和决策树的P2P流量检测系统，步骤如下：

第一步，从网络层进行网络流量采集。拷贝交换机端口数据到数据采集服务器。

第二步，流量特征多尺度分析。用抓包分析工具抽取样本数据进行小波多尺度分析，包括自相似特征分析，长相关与短相关分析。

第三步，根据流量特征模式库进行模式匹配。

第四步，判断并提取疑似P2P流量。转入传输层基于决策树的流量检测协议分类阶段。