Классификация трафика

Классификация трафика — это автоматизированный процесс, который распределяет трафик компьютерной сети по различным параметрам (например, на основе номера порта или протокола ) на ряд классов трафика . ^[1] Каждый результирующий класс трафика может обрабатываться по-разному, чтобы дифференцировать услугу, подразумеваемую для генератора данных или потребителя.

Типичное использование [ править ]

Пакеты классифицируются для различной обработки сетевым планировщиком . После классификации потока трафика с использованием определенного протокола к нему и другим потокам может быть применена заранее определенная политика, чтобы гарантировать определенное качество (как в случае с VoIP или службой потокового мультимедиа). ^[2]) или обеспечить доставку с максимальной эффективностью. Это может применяться в точке входа (точке, в которой трафик поступает в сеть, обычно на периферийном устройстве ) с такой степенью детализации, которая позволяет механизмам управления трафиком разделять трафик на отдельные потоки и очереди, контролировать и формировать их по-разному. ^[3]

Методы классификации [ править ]

Классификация достигается различными способами.

Номера портов [ править ]

Быстрый
Низкое потребление ресурсов
Поддерживается многими сетевыми устройствами
Не реализует полезную нагрузку уровня приложения, поэтому не ставит под угрозу конфиденциальность пользователей.
Полезно только для приложений и сервисов, которые используют фиксированные номера портов.
Легко обмануть, изменив номер порта в системе

пакетов Глубокая проверка

Проверяет фактическую полезную нагрузку пакета.
Обнаруживает приложения и сервисы независимо от номера порта, на котором они работают.
Медленный
Требует много вычислительной мощности
Подписи необходимо поддерживать в актуальном состоянии, поскольку приложения меняются очень часто.
Шифрование делает этот метод невозможным во многих случаях.

Сопоставление битовых комбинаций данных с битовыми комбинациями известных протоколов является простым и широко используемым методом. Примером соответствия протокола BitTorrent фазе установления связи может быть проверка того, начинается ли пакет с символа 19, за которым затем следует 19-байтовая строка «Протокол BitTorrent». ^[4]

Всестороннее сравнение различных классификаторов сетевого трафика, которые зависят от глубокой проверки пакетов (PACE, OpenDPI, 4 различных конфигурации L7-фильтра, NDPI, Libprotoident и Cisco NBAR), показано в независимом сравнении популярных инструментов DPI для классификации трафика. . ^[5]

классификация Статистическая

Опирается на статистический анализ таких атрибутов, как частота байтов, размеры пакетов и время между поступлениями пакетов. ^[6]
Очень часто использует алгоритмы машинного обучения, такие как K-средние, наивный фильтр Байеса, C4.5, C5.0, J48 или случайный лес.
Быстрая методика (по сравнению с классификацией глубокой проверки пакетов )
Он может определить класс еще неизвестных приложений.

Классификация зашифрованного трафика [ править ]

В настоящее время трафик стал более сложным и более безопасным, поэтому нам нужен метод классификации зашифрованного трафика, отличный от классического режима (на основе анализа IP-трафика зондами в базовой сети). Одним из способов достижения этой цели является использование дескрипторов трафика из трассировок соединений в радиоинтерфейсе для выполнения классификации. ^[7]

Та же проблема с классификацией трафика присутствует и в мультимедийном трафике. В целом доказано, что использование методов, основанных на нейронных сетях, машинах поддержки векторов, статистике и ближайших соседях, является отличным способом классификации трафика, но в некоторых конкретных случаях некоторые методы лучше других, например: нейронные сети. работают лучше, когда учитывается весь набор наблюдений. ^[8]

Реализация [ править ]

И сетевой планировщик Linux , и Netfilter содержат логику для идентификации, маркировки или классификации сетевых пакетов.

Типичные классы трафика [ править ]

Операторы часто различают два основных типа сетевого трафика: срочный и максимальные. ^[9]

Временной трафик [ править ]

Трафик, чувствительный ко времени, — это трафик, который оператор ожидает доставить вовремя. Сюда входят VoIP , онлайн -игры , видеоконференции и просмотр веб-страниц . Схемы управления трафиком обычно разрабатываются таким образом, чтобы качество обслуживания этих выбранных видов использования было гарантировано или, по крайней мере, имело приоритет по сравнению с другими классами трафика. Этого можно достичь за счет отсутствия формирования для этого класса трафика или за счет определения приоритета конфиденциального трафика над другими классами.

Трафик с максимальной эффективностью [ править ]

Трафик «наилучшего усилия» — это все остальные виды трафика. Это трафик, который, по мнению интернет-провайдера, не чувствителен к показателям качества обслуживания (дрожанию, потере пакетов, задержке). Типичным примером могут быть одноранговые приложения и приложения электронной почты . Схемы управления трафиком обычно разрабатываются таким образом, чтобы трафик с максимальными усилиями получал то, что осталось после трафика, чувствительного ко времени.

Обмен файлами [ править ]

Приложения для однорангового обмена файлами часто разрабатываются так, чтобы использовать всю доступную полосу пропускания, что влияет на чувствительные к качеству обслуживания приложения (например, онлайн-игры ), которые используют сравнительно небольшой объем полосы пропускания. P2P-программы также могут страдать от неэффективной стратегии загрузки, а именно от загрузки файлов с любого доступного узла, независимо от стоимости канала. Приложения используют ICMP и обычный HTTP- трафик для обнаружения серверов и загрузки каталогов доступных файлов.

В 2002 году компания Sandvine Incorporated посредством анализа трафика определила, что P2P-трафик составляет до 60% трафика в большинстве сетей. ^[10] Это показывает, в отличие от предыдущих исследований и прогнозов, что P2P стал мейнстримом.

Протоколы P2P могут и часто разрабатываются таким образом, чтобы результирующие пакеты было труднее идентифицировать (чтобы избежать обнаружения классификаторами трафика), и имели достаточную надежность, чтобы они не зависели от конкретных свойств QoS в сети (доставка пакетов по порядку, дрожание, и т. д. — обычно это достигается за счет увеличения буферизации и надежной транспортировки, в результате чего у пользователя увеличивается время загрузки). Зашифрованный протокол BitTorrent , например, опирается на запутывание и рандомизированный размер пакетов, чтобы избежать идентификации. ^[11] Трафик обмена файлами можно соответственно классифицировать как трафик Best-Effort. В часы пик, когда конфиденциальный трафик достигает максимума, скорость загрузки снижается. Однако, поскольку загрузка P2P часто выполняется в фоновом режиме, она мало влияет на работу абонента, пока скорость загрузки увеличивается до своего полного потенциала, когда все остальные абоненты вешают трубку своих VoIP-телефонов. Исключением являются P2P VoIP-сервисы в реальном времени и P2P-сервисы потокового видео, которым требуется постоянное качество обслуживания и которые используют чрезмерное ^{[ нужна ссылка ]} служебный трафик и трафик четности, чтобы обеспечить это, насколько это возможно.

Некоторые P2P-приложения ^[12] могут быть настроены для работы в качестве самоограничивающихся источников , выступая в качестве формирователя трафика, настроенного в соответствии со спецификациями трафика пользователя (а не оператора сети).

Некоторые поставщики выступают за управление клиентами, а не за конкретные протоколы, особенно для интернет-провайдеров. Управляя по каждому клиенту (то есть по каждому клиенту), если клиент решит использовать свою справедливую долю полосы пропускания для запуска P2P-приложений, он может это сделать, но если его приложение является злоупотребляющим, он только засоряет свою собственную полосу пропускания и не может повлиять на пропускная способность, используемая другими клиентами.

Ссылки [ править ]

^ IETF RFC 2475 «Архитектура для дифференцированных услуг», раздел 2.3.1 — IETF . определение классификатора
^ SIN 450, выпуск 1.2, май 2007 г. Информационная записка для поставщиков для сети BT BT Wholesale — Расширенные услуги BT IPstream — Управление скоростью конечного пользователя и качество обслуживания в нисходящем направлении — Описание услуги
^ Фергюсон П., Хьюстон Г., Качество обслуживания: обеспечение QoS в Интернете и в корпоративных сетях, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2 .
^ Протокол BitTorrent
^ Томаш Буйлов; Валентин Карела-Эспаньол; Пере Барле-Рос. «Независимое сравнение популярных инструментов DPI для классификации трафика» . В печати (Компьютерные сети) . Проверено 10 ноября 2014 г.
^ Э. Хьельмвик и В. Джон, «Статистическая идентификация протокола с помощью SPID: предварительные результаты» , в материалах SNCNW, 2009 г.
^ Хихон, Каролина (2020). «Классификация зашифрованного трафика на основе неконтролируемого обучения в сетях сотового радиодоступа» . ИИЭЭ . 8 : 167252–167263. дои : 10.1109/ACCESS.2020.3022980 . S2CID 221913926 .
^ Кановас, Алехандро (2018). «Классификация трафика потока мультимедийных данных с использованием интеллектуальных моделей на основе моделей трафика» . ИИЭЭ . 32 (6): 100–107. дои : 10.1109/MNET.2018.1800121 . hdl : 10251/116174 . S2CID 54437310 .
^ «Карта классов» . Циско . Проверено 22 февраля 2024 г.
^ Лейдон, Джон. «P2P заполоняет широкополосные сети» . Регистр . Статья в реестре, в которой упоминается отчет Sandvine. Для доступа к актуальному отчету требуется регистрация в Sandvine.
^ Определение протокола шифрования потока сообщений (MSE)
^ «Оптимизация скорости uTorrent, блог Jatex» . Пример ограничения P2P-трафика на стороне клиента

[1] IETF RFC 2475 «Архитектура для дифференцированных услуг», раздел 2.3.1 — IETF . определение классификатора

[2] SIN 450, выпуск 1.2, май 2007 г. Информационная записка для поставщиков для сети BT BT Wholesale — Расширенные услуги BT IPstream — Управление скоростью конечного пользователя и качество обслуживания в нисходящем направлении — Описание услуги

[fn_1-3] Фергюсон П., Хьюстон Г., Качество обслуживания: обеспечение QoS в Интернете и в корпоративных сетях, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2 .

[4] Протокол BitTorrent

[independentcomparisonofpopulardpitools-5] Томаш Буйлов; Валентин Карела-Эспаньол; Пере Барле-Рос. «Независимое сравнение популярных инструментов DPI для классификации трафика» . В печати (Компьютерные сети) . Проверено 10 ноября 2014 г.

[6] Э. Хьельмвик и В. Джон, «Статистическая идентификация протокола с помощью SPID: предварительные результаты» , в материалах SNCNW, 2009 г.

[7] Хихон, Каролина (2020). «Классификация зашифрованного трафика на основе неконтролируемого обучения в сетях сотового радиодоступа» . ИИЭЭ . 8 : 167252–167263. дои : 10.1109/ACCESS.2020.3022980 . S2CID 221913926 .

[8] Кановас, Алехандро (2018). «Классификация трафика потока мультимедийных данных с использованием интеллектуальных моделей на основе моделей трафика» . ИИЭЭ . 32 (6): 100–107. дои : 10.1109/MNET.2018.1800121 . hdl : 10251/116174 . S2CID 54437310 .

[9] «Карта классов» . Циско . Проверено 22 февраля 2024 г.

[john_leydon-10] Лейдон, Джон. «P2P заполоняет широкополосные сети» . Регистр . Статья в реестре, в которой упоминается отчет Sandvine. Для доступа к актуальному отчету требуется регистрация в Sandvine.

[11] Определение протокола шифрования потока сообщений (MSE)

[Example_for_client_side_P2P_traffic_limiting.-12] «Оптимизация скорости uTorrent, блог Jatex» . Пример ограничения P2P-трафика на стороне клиента

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]