[发明专利]一种基于C4.5决策树的VoIP流量在线识别方法

摘要

本发明公开了一种基于C4.5决策树的VoIP流量在线识别方法，该方法对语音流关键特征进行筛选获得最优特征子集并使用C4.5决策树算法构建分类器，提高了在线识别精度；首次提出JPcap边抓包边检测机制，利用Jpcap库编写探嗅器实时捕获数据包，同时分流统计数据流特征值，结合阈值时间动态识别网络中的VoIP流量，并提高了实时性。识别结果表明，本发明离线识别精度达99%，在线识别精度达92%，且识别时间仅为0.57秒，克服了现有技术不足，完成了高精度、实时性的VoIP流量在线识别。

主权项

1.一种基于C4.5决策树的VoIP流量在线识别方法，其特征在于：包括以下步骤：1)解析PCAP文件；使用抓包工具Wireshark实时抓取的网络数据包,得到待解析的PCAP文件格式的数据集，解析捕获到的PCAP文件格式的数据集，得到CSV文件格式的数据集，解析过程按源IP地址、目的IP地址、源端口、目的端口、传输协议组成的五元组分流，分流规则为：单条TCP流须包含完整语义的开始时刻(SYN)和结束时刻(FIN/RST)，UDP流中两个包之间的时间间隔不超过30s，完成UDP流的组装；2)流统计特征选择；根据VoIP语音流的关键属性筛选出12个流统计特征集：前向最大数据包长、前向平均数据包长、前向数据包长方差、后向最大数据包长、后向平均数据包长、后向数据包长方差、前向最大时间间隔、前向平均时间间隔、前向时间间隔方差、后向最大时间间隔、后向平均时间间隔和后向时间间隔方差，作为C4.5决策树算法进行学习的特征集；3)构建训练集；数据集由三部分组成：第一部分是捕获到的数据集文件；第二部分是从Tstat网站下载的数据集文件；第三部分是根据文献“Moore A,Zuev D,Crogan M.Discriminators for use in flow‑based classification[M].Queen Mary and Westfield College,Department of Computer Science,2005”提供的链接下载的数据集文件；再重复步骤1)并统计步骤2)中的流统计特征值，组装为训练集，记train_set；4)构建C4.5决策树分类器；使用C4.5决策树算法对训练集进行学习，进行学习的特征子集为步骤2)中的12个特征，学习后得到决策树分类器模型，即离线分类器；5)测试C4.5决策树分类器；利用步骤4)的分类器模型对训练集进行十折交叉验证，得到分类器结果；6)构建Jpcap边抓包边检测机制；基于Jpcap库，构建Jpcap探嗅器，实现VoIP流量在线捕获；设置30s阈值时间，将阈值时间内累积的数据流量构建为系统的测试集文件；7)构建在线C4.5决策树分类器；利用C4.5决策树分类器每30s对测试集进行测试，将测试结果以IP地址形式输出，实现VoIP流量在线识别。