·142. 智能系统学报 第5卷 Ws属于测试数据集中Skpe流，但未被识别的 的VoP实时流特征存在相似性.对于漏检样本，分 Skype流数量， 析发现基淮测试库中包含Skype的视频/数据/聊天 由于Skype有效载荷的SoM消息的数据包识别 消息，这部分消息不符合实时流特征，NBC无法从 需要持续跟踪Skype有效载荷SoM消息及源节点产 E2E流中分离聊天/数据流.视频/数据/聊天数据不 生的所有流量.在真实网络环境下很难满足这些条 经过PSTN网关，E2P测试库没有该类数据，因此 件.但是基于有效载荷特征识别结果可靠，本文采用 NBC模型的E2P漏检索率较E2E漏检率要小 其作为离线交叉验证方法，选用文献[6]基于有效 3结束语 载荷特征识别的流作为基准测试集，来验证NBC分 类模型 Skype流特征和其他网络应用数据流的不同特 图1比较了NBC模型和文献[5]提出的NPA算 征，传统C/S应用流通常使用众所周知的端口作为 法的性能，表2是NBC和NPA分类性能详细数据 服务端口，传输中数据包比较大.其他P2P应用多 0.10 NBC 使用明文传输，可采用载荷检测技术进行识别.互联 0.08 NPA 网流中实时音频与Skyp流在实时流特征存在一定 0.06 程度上类似，都是同时使用TCP和UDP传输数据， 但其不具有P2P的连接特征.其他VoP流，如MSN 0.04 或QQ也存在实时特征，大多建立在标准协议上，动 0.02 态协商端口，存在可识别静态载荷特征.网络游戏通 0 常采用UDP协议传输数据，具有网络带宽消耗波动 E2E E2P E2E E2P F 和突发性特征[9.本文结合了Skype的连接特征和 图1NBC与NPA识别比较 实时流特征，采用朴素贝叶斯分类器识别Skype流 Fig.1 Results of NBC and NPA 量.首先根据网络流的连接模式，识别出具有P2P 测试数据集通过有效载荷特征识别方法获得， 连接模式网络数据流，进一步根据流的实时性特征 作为Skype数据流基准测试数据，包括63157条 识别Skype流，最后采用有效载荷交叉方法验证了 Skype语音流，其中54411条E2E流和8746条E2P 算法的性能.由于Skype属于目前私有协议，没有建 流.NBC分类结果为E2E错检率为9.0%，漏检率 立一个标准的测试集，对于Skype流的检测算法大 为5.9%；E2P的错检率为2.8%，漏检率为0.8%. 多基于互联网流检测基础上，难以客观评价体系。 NPA分类结果为E2E错检率为10.7%，漏检率为 24.2%;E2P的错检率为16.1%，漏检率为19.3%. 参考文献： NBC的模型分类性能较NPA分类模型效果要好. [1]BASET S A,SCHULZRINNE H.An analysis of the Skype 表2NBC与NPA分类算法的分类性能 peer-to-peer internet telephony protocol[C]/IEEE Info- Table 2 Comparison between NBC and NPA com'06.Barcelona,Spain,2006:1-11. 分类 承载 [2]BIONDI P,DESCLAUX F.Silver needle in the Skype Nss 算法类型 [C]//Black Hat Europe'06.Amsterdam,The Nether- 测试2E 54411 1ands,2006,1:2547. 数据库 E2P 8746 [3]YU YF,LIU DD,LI J,et al.Traffie identification and o- NBC E2E56291 50829.032025.9 E2P8921 2482.873 0.8 verlay measurement of Skype[C]//Proc of IEEE Interna- NPAE2E75712812010.71318124.2 tional Conference on Computational Intelligence and Securi- 2P12541210116.1169419.3 ty.Guangzhou,China,2006:1043-1048. 对于NBC错检样本，通过手工识别发现大部分 [4]CHEN K T,HUANG C Y,HUANG P,et al.Quantifying 情况为RTP承载的VoP流，这些数据与Skype承载 fying Skype user sattsfaction[C]//ACM SIGCOMM'06.Pi-