Классификация трафика

Ведущий раздел этой статьи может быть слишком коротким, чтобы адекватно резюмировать ключевые моменты . Пожалуйста, рассмотрите возможность расширения лид, чтобы предоставить доступный обзор всех важных аспектов статьи. ( Май 2020 г. )

Классификация трафика - это автоматизированный процесс, который классифицирует трафик компьютерной сети по различным параметрам (например, на основе номера порта или протокола ) на несколько классов трафика . ^[1] Каждый результирующий класс трафика может обрабатываться по-разному, чтобы дифференцировать услугу, предполагаемую для генератора или потребителя данных.

Типичное использование

Пакеты классифицируются по - разному будут обрабатываться сети планировщика . После классификации потока трафика с использованием определенного протокола к нему и другим потокам может применяться заранее определенная политика, чтобы либо гарантировать определенное качество (как в случае с VoIP или услугой потоковой передачи мультимедиа ^[2] ), либо обеспечить доставку с максимальной эффективностью. Это может быть применено в точке входа (точка, в которой трафик входит в сеть, обычно на граничное устройство ) с детализацией, которая позволяет механизмам управления трафиком разделять трафик на отдельные потоки и очереди, контролировать и формировать их по-разному. ^[3]

Методы классификации

Классификация достигается различными способами.

Номера портов

Быстро
Низкое потребление ресурсов
Поддерживается многими сетевыми устройствами
Не реализует полезную нагрузку на уровне приложения, поэтому не ставит под угрозу конфиденциальность пользователей.
Полезно только для приложений и служб, использующих фиксированные номера портов.
Легко обмануть, изменив номер порта в системе

Глубокая проверка пакетов

Проверяет фактическую полезную нагрузку пакета
Обнаруживает приложения и сервисы независимо от номера порта, на котором они работают
Медленный
Требуется много вычислительной мощности
Подписи необходимо поддерживать в актуальном состоянии, так как заявки меняются очень часто.
Шифрование делает этот метод невозможным во многих случаях.

Сопоставление битовых комбинаций данных с битовыми комбинациями известных протоколов - это простой широко используемый метод. Примером соответствия фазе установления связи протокола BitTorrent может быть проверка, начинается ли пакет с символа 19, за которым следует 19-байтовая строка «Протокол BitTorrent». ^[4]

Подробное сравнение различных классификаторов сетевого трафика, зависящих от Deep Packet Inspection (PACE, OpenDPI, 4 различных конфигурации L7-filter, NDPI, Libprotoident и Cisco NBAR), показано в Независимом сравнении популярных инструментов DPI для классификации трафика. . ^[5]

Статистическая классификация

Основывается на статистическом анализе таких атрибутов, как частота байтов, размеры пакетов и время между прибытиями пакетов. ^[6]
Очень часто используются алгоритмы машинного обучения, такие как K-средние, наивный байесовский фильтр, C4.5, C5.0, J48 или случайный лес.
Быстрый метод (по сравнению с классификацией глубокой проверки пакетов )
Может определять класс еще неизвестных приложений.

Классификация зашифрованного трафика

В настоящее время трафик более сложный и безопасный, для этого нам нужен метод, позволяющий классифицировать зашифрованный трафик иначе, чем в классическом режиме (на основе анализа IP-трафика с помощью зондов в базовой сети). Форма для достижения этого заключается в использовании дескрипторов трафика из трасс соединений в радиоинтерфейсе для выполнения классификации. ^[7]

Та же проблема с классификацией трафика присутствует и в мультимедийном трафике. В этом случае было доказано, что использование методов, основанных на нейронных сетях, машинах поддержки векторов, статистике и ближайших соседях, - отличный способ выполнить эту классификацию трафика, но в некоторых конкретных случаях одни методы лучше других, например: нейронные сети работают лучше, когда учитывается вся совокупность наблюдений. ^[8]

Реализация

И сетевой планировщик Linux, и Netfilter содержат логику для идентификации, маркировки или классификации сетевых пакетов.

Типичные классы трафика

Операторы часто выделяют три основных типа сетевого трафика: чувствительный, оптимизированный и нежелательный. ^{[ необходима цитата ]}

Чувствительный трафик

Чувствительный трафик - это трафик, который оператор ожидает доставить вовремя. Это включает VoIP , онлайн- игры , видеоконференции и просмотр веб-страниц . Схемы управления трафиком обычно настраиваются таким образом, что качество обслуживания для этих выбранных целей гарантировано или, по крайней мере, имеет приоритет над другими классами трафика. Это может быть достигнуто за счет отсутствия формирования для этого класса трафика или путем установления приоритета для конфиденциального трафика над другими классами.

Лучшее движение

Трафик с максимальным усилием - это все другие виды трафика без ущерба. Это трафик, который, по мнению интернет-провайдера, не зависит от показателей качества обслуживания (джиттер, потеря пакетов, задержка). Типичным примером могут быть одноранговые приложения и приложения электронной почты . ^[9] Схемы управления трафиком обычно настраиваются таким образом, чтобы трафик «максимальных усилий» получил то, что осталось после конфиденциального трафика.

Нежелательный трафик

Эта категория обычно ограничивается доставкой спама и трафика, создаваемого червями , ботнетами и другими вредоносными атаками. В некоторых сетях это определение может включать такой трафик, как нелокальный VoIP (например, Skype ) или услуги потокового видео, чтобы защитить рынок «внутренних» услуг того же типа. В этих случаях механизмы классификации трафика идентифицируют этот трафик, позволяя оператору сети либо полностью заблокировать этот трафик, либо серьезно затруднить его работу.

Обмен файлами

Приложения для однорангового обмена файлами часто предназначены для использования любой доступной полосы пропускания, что влияет на чувствительные к QoS приложения (например, онлайн-игры ), использующие сравнительно небольшую полосу пропускания. Программы P2P также могут страдать от неэффективности стратегии загрузки, а именно загрузки файлов с любого доступного узла, независимо от стоимости ссылки. Приложения используют ICMP и обычный HTTP- трафик для обнаружения серверов и загрузки каталогов с доступными файлами.

В 2002 году Sandvine Incorporated посредством анализа трафика определила, что трафик P2P составляет до 60% трафика в большинстве сетей. ^[10] Это показывает, в отличие от предыдущих исследований и прогнозов, что P2P стал мейнстримом.

Протоколы P2P могут и часто спроектированы так, чтобы результирующие пакеты было труднее идентифицировать (чтобы избежать обнаружения классификаторами трафика), и с достаточной надежностью, чтобы они не зависели от конкретных свойств QoS в сети (упорядоченная доставка пакетов, джиттер, и т. д. - обычно это достигается за счет увеличения буферизации и надежной передачи, в результате чего пользователь испытывает увеличение времени загрузки). Зашифрованы БитТоррента протокол делает, например , полагаются на запутывания и рандомизированное пакетов размеров в целях идентификации следует избегать. ^[11]Трафик обмена файлами можно классифицировать как трафик Best-Effort. В часы пик, когда чувствительный трафик находится на пике, скорость загрузки снижается. Однако, поскольку загрузки P2P часто являются фоновыми действиями, они мало влияют на качество обслуживания абонентов, поскольку скорость загрузки увеличивается до максимального уровня, когда все остальные абоненты вешают свои телефоны VoIP. Исключение составляют сервисы P2P VoIP и P2P потокового видео в реальном времени, которым требуется постоянное QoS и которые используют избыточные ^{[ требуемые цитаты ]} накладные расходы и трафик четности, чтобы обеспечить это, насколько это возможно.

Некоторые P2P-приложения ^[12] могут быть настроены для работы в качестве самоограничивающихся источников , выступающих в качестве формирователя трафика, настроенного на спецификацию трафика пользователя (в отличие от сетевого оператора).

Некоторые поставщики рекомендуют управлять клиентами, а не конкретными протоколами, особенно для интернет-провайдеров. Управляя для каждого клиента (то есть для каждого клиента), если клиент решает использовать свою справедливую долю пропускной способности, выполняемой приложениями P2P, он может это сделать, но если их приложение является оскорбительным, они только забивают свою собственную пропускную способность и не могут повлиять на пропускная способность, используемая другими клиентами.

использованная литература

^ IETF RFC 2475 «Архитектура дифференцированных услуг», раздел 2.3.1 -определение классификатора IETF .
^ SIN 450, выпуск 1.2, май 2007 г. Информационная записка поставщиков для сети BT BT Wholesale - Расширенные услуги BT IPstream - Контроль скорости конечного пользователя и качество обслуживания в нисходящем направлении - Описание услуги
^ Фергюсон П., Хьюстон Г., Качество обслуживания: обеспечение QoS в Интернете и корпоративных сетях, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2 .
^ Протокол BitTorrent
^ Томаш Буйлов; Валентин Карела-Эспаньол; Pere Barlet-Ros. «Независимое сравнение популярных инструментов DPI для классификации трафика» . В печати (Компьютерные сети) . Проверено 10 ноября 2014 .
^ E. Hjelmvik и W. John, «Статистическая идентификация протокола с помощью SPID: предварительные результаты» , в Proceedings of SNCNW, 2009
↑ Хихон, Каролина. «Классификация зашифрованного трафика на основе неконтролируемого обучения в сотовых сетях радиодоступа» . IEEE .
^ Кановас, Алехандро. «Классификация трафика мультимедийных данных с использованием интеллектуальных моделей на основе шаблонов трафика» . IEEE .
^ Проблема спама фактически побудила некоторых сетевых операторов внедрить формирование трафика для трафика SMTP . См. Tarpit (сеть)
^ Лейдон, Джон. «P2P наводняет широкополосные сети» . Статья «Реестр», которая относится к отчету Sandvine - для доступа к актуальному отчету требуется регистрация в Sandvine.
^ Определение протокола шифрования потока сообщений (MSE)
^ "Оптимизация скорости uTorrent Jatex Weblog" . Пример ограничения P2P-трафика на стороне клиента

[1] IETF RFC 2475 «Архитектура дифференцированных услуг», раздел 2.3.1 -определение классификатора IETF .

[2] SIN 450, выпуск 1.2, май 2007 г. Информационная записка поставщиков для сети BT BT Wholesale - Расширенные услуги BT IPstream - Контроль скорости конечного пользователя и качество обслуживания в нисходящем направлении - Описание услуги

[fn_1-3] Фергюсон П., Хьюстон Г., Качество обслуживания: обеспечение QoS в Интернете и корпоративных сетях, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2 .

[4] Протокол BitTorrent

[independentcomparisonofpopulardpitools-5] Томаш Буйлов; Валентин Карела-Эспаньол; Pere Barlet-Ros. «Независимое сравнение популярных инструментов DPI для классификации трафика» . В печати (Компьютерные сети) . Проверено 10 ноября 2014 .

[6] E. Hjelmvik и W. John, «Статистическая идентификация протокола с помощью SPID: предварительные результаты» , в Proceedings of SNCNW, 2009

[7] Хихон, Каролина. «Классификация зашифрованного трафика на основе неконтролируемого обучения в сотовых сетях радиодоступа» . IEEE .

[8] Кановас, Алехандро. «Классификация трафика мультимедийных данных с использованием интеллектуальных моделей на основе шаблонов трафика» . IEEE .

[9] Проблема спама фактически побудила некоторых сетевых операторов внедрить формирование трафика для трафика SMTP . См. Tarpit (сеть)

[john_leydon-10] Лейдон, Джон. «P2P наводняет широкополосные сети» . Статья «Реестр», которая относится к отчету Sandvine - для доступа к актуальному отчету требуется регистрация в Sandvine.

[11] Определение протокола шифрования потока сообщений (MSE)

[Example_for_client_side_P2P_traffic_limiting.-12] "Оптимизация скорости uTorrent Jatex Weblog" . Пример ограничения P2P-трафика на стороне клиента

[1]