第5卷第2期 智能系统学报 Vol.56.2 2010年4月 CAAI Transactions on Intelligent Systems Apr.2010 doi:10.3969/j.issn.16734785.2010.02.007 流特征的Skype流量识别 万月亮，朱贺军2，刘宏志 (1.北京工商大学计算机与信息工程学院，北京100048：2.公安部第三研究所北京锐安科技有限公司，北京100044) 摘要：Skyp阳流识别的研究大多局限于在静态载荷特征和通信机制，没有考虑网络流特征在Skype流量识别中的作 用.提出了一种基于朴素贝叶斯分类的Skpe流量识别模型.选择流的连接特征和实时特征作为分类特征集，根据流 的连接特征组织网络流，再进一步根据流的包长度、平均发送间隔和突发带宽消耗等实时流特征识别Skyp流量.在 北京联通骨干网络上的实验表明该模型能有效地识别Skype流，是一种有效的Skype流识别算法. 关键词：流量识别；朴素贝叶斯分类；深度包检测；实时流特征 中图分类号：TP393文献标识码：A文章编号：16734785(2010)02-013905 Skype traffic identification based on flow characteristics WAN Yue-liang,ZHU He-jun2,LIU Hong-zhi (1.College of Computer and Information Engineering,Beijing Technology and Business University,Beijing 100048,China; 2.The Third Research Institute of Ministry of Public Security Run Technologies Co.,Ltd.,Beijing 100044,China) Abstract:Most of the Skype traffic identification models are limited to Skype communication mechanisms and static payload characteristics.No net flow characteristics are considered in identification algorithms.To overcome this limitation,a hierarchical Skype traffic identification model based on naive Bayesian classification was developed. Flows were analyzed according to network connection modes.Results were then obtained according to real-time flow characteristics,such as packet size,average inter-packet gap and burstiness of bandwidth consumption.The validi- ty of the algorithm was proven by testing conducted on the Beijing China Unicom backbone network. Keywords:traffic identification;naive Bayesian classification;deep packet inspection;real-time flow characteristic Skype流识别是网络策略计费和差异化服务的 所有通信内容都是加密传输.文献[3]分析了Skype 重要前提之一.由于Skype采用私有通信协议通信， 使用的通讯协议，指出在呼叫建立阶段采用TCP协 加密了用户之间以及用户与Skype服务器之间的通 议；语音传输阶段则多采用UDP协议，最后给出了 信内容，使得基于端口和特征的检测方法难以有效 部分Skype协议的静态载荷特征码.在此基础上，文 识别Skype流量.Skype流识别研究大多集中于静态 献[4]提出了基于UDP端口的Skype流量识别方法，这 载荷特征和通信机制的研究.文献[1]研究了Skype 种方法适用于Skype使用UDP作为传输层协议，需要 网络拓扑结构和关键节点信息，得到了Skype节点 得到Skype注册信息.文献[5]通过网络端节点入站 注册和登录通信过程及流量特征.文献[2]采用逆 和出站流的特征，结合P2P特征识别Skype流量，其 向工程技术分析了Skype协议实现细节，指出Skype 前提是端点所处网络拓扑已知，能够获取单端节点 流量.然而现实网络环境难以满足这些条件，从而限 收稿日期：2009-1227. 通信作者：万月亮.E-mail:yueliang-wan@126.com. 制了该方法的实用性.文献[6]指出Skype流承载有