周朝姜

（貴州財(cái)經(jīng)職業(yè)學(xué)院 貴州省貴陽(yáng)市 551400）

IPv6 是國(guó)際通用的互聯(lián)網(wǎng)工程IETF 設(shè)計(jì)的互聯(lián)網(wǎng)協(xié)議。而隨著互聯(lián)網(wǎng)的應(yīng)用越來越廣，上一代IPv4 互聯(lián)網(wǎng)協(xié)議已經(jīng)無法適應(yīng)當(dāng)今時(shí)代的發(fā)展和人們對(duì)互聯(lián)網(wǎng)的應(yīng)用需求，因此IPv6 互聯(lián)網(wǎng)協(xié)議應(yīng)運(yùn)而生。而隨著IPv6 的完善，越來越多的應(yīng)用都在積極改造自己的核心程序和運(yùn)作技術(shù)，以圖更好的適應(yīng)IPv6 協(xié)議。在全球范圍內(nèi)來看，一些知名搜索引擎和應(yīng)用，如Google、Facebook 和云服務(wù)商以及運(yùn)營(yíng)商couldflare 等都已經(jīng)完全適應(yīng)的IPv6 協(xié)議。而使用IPv6 服務(wù)的個(gè)人用戶也呈爆炸式增長(zhǎng)。僅我國(guó)，在近年來，應(yīng)用IPv6 的活躍用戶數(shù)量就已經(jīng)高達(dá)上億人。這都全面突出了IPv6 的重要性和重要作用。因此，為了更好的分析IPv6 網(wǎng)絡(luò)流量，本文將面向校園對(duì)IPv6 網(wǎng)絡(luò)流量成分進(jìn)行深度分析。

1 nDPI的檢測(cè)

1.1 nDPI的分類

在本篇研究面向校園的IPv6 網(wǎng)絡(luò)流量成分的文章中，文章將以開源工具ndaf 為起點(diǎn)，對(duì)現(xiàn)有的流量及成分進(jìn)行識(shí)別，識(shí)別的流量?jī)?nèi)容包括P2P 流量和HTTP 的加密視頻流量。之后再同時(shí)接入三個(gè)校園網(wǎng)的不同時(shí)期進(jìn)行測(cè)試比對(duì)，進(jìn)而細(xì)化分析IPv6 網(wǎng)絡(luò)流量成分。

nDPI 是DPI 的開源庫(kù)，它的主要功能是對(duì)應(yīng)用層信息進(jìn)行檢測(cè)，對(duì)報(bào)文源IP、宿IP、源端口和宿端口及其協(xié)議進(jìn)行阻流，同時(shí)解析信息，判斷這些數(shù)據(jù)流的使用協(xié)議[1]。因此，要檢測(cè)分析IPv6 的流量成分，就要選擇三個(gè)校園網(wǎng)的原始流量，并將其作為初步分析對(duì)象，這樣才可以將持續(xù)三周采集到的數(shù)據(jù)流量保存下來，并對(duì)數(shù)據(jù)進(jìn)行優(yōu)化分類。如果將已知的nDPI 識(shí)別到的流量分成7類，它類型分別是unknow、other、P2P、P2P-predict、TLS-know、

TLS-unknow、TLS-video、HTTP-know、HTTP-unknow、HTTPvideo。簡(jiǎn)單來說，HTTP-know 這種流量成分就代表著nDPI 標(biāo)注的已知HTTP 流量，是nDPI 能夠識(shí)別的一種流量成分。相對(duì)的，TLS-know 就代表著nDPI 標(biāo)注的已知TLS 流量。同理，如果后續(xù)帶有unknow 的標(biāo)識(shí)，則證明是nDPI 標(biāo)注的未知流量成分，后續(xù)帶有video 標(biāo)識(shí)的則是指視頻分類器判斷為視頻的HTTP 或TLS 流量。

1.2 nDPI的不足

從對(duì)nDPI 的數(shù)據(jù)分類來看，它無法識(shí)別的流量有許多，且部分類型的流量字節(jié)數(shù)和報(bào)文數(shù)無法明確標(biāo)識(shí)。換句話來說就是利用nDPI 識(shí)別流量的效果并不好。因此，要以校園網(wǎng)為對(duì)象來研究IPv6 網(wǎng)絡(luò)流量成分就要改變識(shí)別工具，要進(jìn)一步優(yōu)化nDPI 的識(shí)別效果，并及時(shí)維護(hù)開源庫(kù)，強(qiáng)化應(yīng)用層協(xié)議的流量判別效果。

2 未知流量識(shí)別

2.1 P2P分類器

通過上述分析可以得知，利用nDPI 進(jìn)行流量數(shù)據(jù)識(shí)別的有效性并不高，其中高達(dá)50%～70%的流量無法有效識(shí)別，這是由于它的流量識(shí)別機(jī)子還存在著巨大的缺陷。nDPI 識(shí)別程序主要是探測(cè)一條已知的數(shù)據(jù)流，然后再創(chuàng)建一定的報(bào)文數(shù)量之后，再根據(jù)應(yīng)用層的信息去決定這一股數(shù)據(jù)流的協(xié)議歸屬，所以無法識(shí)別很大一部分不完整的數(shù)據(jù)流的所屬協(xié)議。而在無法識(shí)別的未知數(shù)據(jù)流中，它們的連接接口基本都是使用的高端端口，因此，許多人認(rèn)為，這些無法識(shí)別的未知數(shù)據(jù)流大概率是P2P 流。想要識(shí)別這一部分?jǐn)?shù)據(jù)信息，就需要根據(jù)它的結(jié)構(gòu)去構(gòu)造一個(gè)二級(jí)分類器。根據(jù)現(xiàn)有的研究情況表明，目前視頻流量在互聯(lián)網(wǎng)的下載量占比非常高，超過5成。而要下載視頻流量數(shù)據(jù)就必須要用到HTTP 協(xié)議。這就表明了HTTP 流中的未知數(shù)據(jù)流很大可能是加密視頻。因此對(duì)于這一部分加密視頻，流量進(jìn)行分析就需要在二分類器中進(jìn)行改進(jìn)，要不斷添加HTTP-video 和TLS-video 等目標(biāo)。故而可以將其整體概括為，要完成流量成分的分類工作，就必須要在網(wǎng)絡(luò)編在抓取具有一定時(shí)長(zhǎng)的原始報(bào)文流量，然后再將這些原始報(bào)文流量交給nDPI 進(jìn)行識(shí)別，同時(shí)還要保留所有的識(shí)別文件。之后，又可以將保存好的識(shí)別文件交給P2P 分類器進(jìn)行再度識(shí)別，再然后可以將二次識(shí)別的數(shù)據(jù)交給視頻分類器識(shí)別[2]。也就是說，要進(jìn)一步識(shí)別IPv6 網(wǎng)絡(luò)流量，并對(duì)這些流量進(jìn)行細(xì)致分類的話，需要不斷重復(fù)多個(gè)過程，多次進(jìn)行識(shí)別分類。

利用P2P 分類器可以將這部分未知流量，分為非P2P 流量和P2P 流量。常見的P2P 流量是nDPI 可以識(shí)別的流量；而非P2P 流量主要指聊天軟件、常用協(xié)議以及社交軟件和遠(yuǎn)程桌面等留下的數(shù)據(jù)信息，如QQ 微信、微博、ins 以及teamviewer 等。在識(shí)別整個(gè)流量級(jí)的過程中，運(yùn)用數(shù)據(jù)的傳輸時(shí)間比較長(zhǎng)，字節(jié)也比較多，可以有效排除不包含實(shí)際運(yùn)用的數(shù)據(jù)流量，即一些虛假流量。而在用這些分類器的時(shí)候，由于它的特征數(shù)量比較多，就可以使用bestfirst 算法作為特征子集搜索策略，然后對(duì)不同的等級(jí)進(jìn)行評(píng)估。它的特征類型有數(shù)據(jù)包長(zhǎng)、到達(dá)間隔以及傳輸期個(gè)數(shù)，空白期個(gè)數(shù)、每毫秒傳輸字節(jié)數(shù)和傳輸期每毫秒字節(jié)數(shù)等6 大類。他們的特征取值范圍不同，如傳輸期個(gè)數(shù)和空白期個(gè)數(shù)的特征取值分為均值、方差、最大值和最小值，而其他四大特征類型的特征取值都會(huì)多一個(gè)熵值。在使用分類器分析數(shù)據(jù)時(shí)，所使用的分類器特征集合也不同。如常用的特征集合有數(shù)據(jù)包長(zhǎng)均值、數(shù)據(jù)包長(zhǎng)最大值、數(shù)據(jù)包長(zhǎng)最小值，以及傳輸過程中平均空白期個(gè)數(shù)、傳輸期每ms 字節(jié)數(shù)最小值、傳輸期每毫秒字節(jié)數(shù)均值。要研究分析流量數(shù)據(jù)時(shí)，就可以利用這些數(shù)據(jù)指標(biāo)選擇對(duì)應(yīng)的模型。

最后再通過交叉運(yùn)算的方式來選擇最優(yōu)子集，識(shí)別關(guān)鍵特征。而在bestfirst 算法中，因?yàn)樗臏?zhǔn)確率生成相關(guān)評(píng)估函數(shù)可以生成共計(jì)236 個(gè)特征子集，能有效提高數(shù)據(jù)識(shí)別的準(zhǔn)確率。除此之外，由于在P2P 分類器的使用上采取了C4.5 決策樹算法，就能夠有效規(guī)避樣本分布變化帶來的負(fù)面影響，能夠使數(shù)據(jù)處理更具優(yōu)勢(shì)。因此在選擇分類識(shí)別模型時(shí)，就可以將這種分類器作用于dataset I 中的未知流量。

2.2 視頻分類器

視頻分類器的應(yīng)用非常廣，多是直接采用小波包變換結(jié)合的方式識(shí)別視頻流量，主要通過使用源地址、宿地址和源端口將HTTP報(bào)文進(jìn)行阻流，然后再通過提取生成它的內(nèi)在特征，并以此為支持向量機(jī)的輸入特征，那就能夠提高時(shí)域特征的穩(wěn)定性和小波包數(shù)據(jù)分析的均勻性，其數(shù)據(jù)識(shí)別準(zhǔn)確率高達(dá)9 成以上。為了檢驗(yàn)強(qiáng)化視頻分配器的作用效果，文章對(duì)采集的數(shù)據(jù)流量進(jìn)行了整合分析，進(jìn)而得出不同數(shù)據(jù)視頻識(shí)別率和字節(jié)數(shù)占比比例，因而得出要利用視頻分配器去判斷不同的數(shù)據(jù)流量，提高判斷的準(zhǔn)確率，數(shù)據(jù)流的持續(xù)時(shí)間就要在300s 以上。因?yàn)槲粗獞?yīng)用流持續(xù)的時(shí)間太短，會(huì)無法高效準(zhǔn)確的辨別出它的具體成分，無法對(duì)數(shù)據(jù)流進(jìn)行標(biāo)識(shí)。因此，后文在采取IPv6 網(wǎng)絡(luò)和IPv4 網(wǎng)絡(luò)的P2P 數(shù)據(jù)時(shí)，大多都持續(xù)在300s 以上。通過分析整體流量中的占比可以發(fā)現(xiàn)，HTTP 視頻和TLS 視頻的識(shí)別率存在較大差異，其中兩個(gè)校園網(wǎng)的HTTP 視頻識(shí)別率會(huì)明顯高于TLS 視頻的識(shí)別率，而剩下的一個(gè)校園網(wǎng)成呈現(xiàn)出相反的結(jié)果，這是由于IPv6 網(wǎng)絡(luò)中P2P 流量數(shù)據(jù)占比比較大。

3 IPv6與IPv4網(wǎng)絡(luò)流量成分對(duì)比

3.1 分類器識(shí)別效果

根據(jù)未知流量的分類和研究結(jié)果來看，三個(gè)校園網(wǎng)流量成分自己的占比不同，其差別較大。文章將詳細(xì)研究IPv6 與IPv4 的網(wǎng)絡(luò)流量成分，通過兩者的仔細(xì)比對(duì)，去分析兩種的異同點(diǎn)和優(yōu)勢(shì)與不足。比如現(xiàn)今各大高校的IPv4 網(wǎng)絡(luò)流量數(shù)據(jù)比較龐大，在一定程度上超出了平臺(tái)的處理能力，這就導(dǎo)致IPv4 的采集效率比較低。而IPv6 技術(shù)比較完善，且各種協(xié)議和功能相對(duì)成熟，它對(duì)數(shù)據(jù)的采集度就比較高。如利用該分類器進(jìn)行識(shí)別網(wǎng)絡(luò)流量數(shù)據(jù)，其面向的數(shù)據(jù)僅僅是大于300s 的HTTP/TLS 流，它能夠識(shí)別的字節(jié)比例相對(duì)較低，在一定程度上與P2P 分類器的表現(xiàn)及其相似。而IPv6由于其特殊性和技術(shù)的先進(jìn)性，又因?yàn)镮Pv6 網(wǎng)絡(luò)中的未知流量遠(yuǎn)遠(yuǎn)大于IPv4 網(wǎng)絡(luò)中的位置流量，所以識(shí)別未知流量的時(shí)候，識(shí)別率就會(huì)比較高。

3.2 面向分類結(jié)果的相關(guān)性分析

通過上述研究對(duì)IPv6 和IPv4 網(wǎng)絡(luò)流量成分進(jìn)行差異評(píng)估，可以明顯看出三個(gè)校園網(wǎng)中的其中兩個(gè)流量成分表現(xiàn)為弱相關(guān)，而剩下一個(gè)則表現(xiàn)為強(qiáng)相關(guān)。換句話來說，就是它的流量成分占比差異比較小，在測(cè)試中呈現(xiàn)出的相關(guān)系數(shù)相對(duì)穩(wěn)定。這主要是由于這一個(gè)校園網(wǎng)的數(shù)據(jù)流量是IPv6 數(shù)據(jù)流量，其中的未知數(shù)據(jù)流量，也就是P2P 成分明顯要低于前兩個(gè)校園網(wǎng)。而經(jīng)過分析研究得出的相關(guān)細(xì)數(shù)又決定著院校網(wǎng)數(shù)據(jù)的穩(wěn)定性，因此后者會(huì)呈現(xiàn)出相對(duì)穩(wěn)定的狀態(tài)。所以從這一方面可以看出，利用IPv6 技術(shù)進(jìn)行分析，所得到的結(jié)果更精確、更全面、更具有普適性和實(shí)用性。

3.3 IPv4與IPv6網(wǎng)絡(luò)P2P流量特征對(duì)比

對(duì)IPv4 和IPv6 網(wǎng)絡(luò)的P2P 流量套餐進(jìn)行對(duì)比可以明顯看出P2P 的成分在IPv6 流量中占比較大，但同時(shí)也在IPv4 流量中體現(xiàn)著不可忽視的作用。因此經(jīng)過進(jìn)一步分析比對(duì)可以發(fā)現(xiàn)，兩者在流量傳輸層的協(xié)議使用中存在著較大的差距。比如進(jìn)行了分析對(duì)比，可以得出利用IPv4 網(wǎng)絡(luò)的數(shù)據(jù)流量在運(yùn)用TCP 和UDP 協(xié)議使用中明顯比較均衡，換句話來說就是兩種使用不同的兩種協(xié)議的占比相對(duì)平衡，不會(huì)有太大的差距。而利用IPv6 網(wǎng)絡(luò)展開的數(shù)據(jù)分析中可以得出，P2P 流量絕大部分都會(huì)利用TCP 這種協(xié)議進(jìn)行數(shù)據(jù)傳輸，會(huì)擯棄UDP 協(xié)議。除此之外，IPv6 網(wǎng)絡(luò)和IPv4 網(wǎng)絡(luò)中的P2P流量字節(jié)占比也存在較大的差異。比如將三個(gè)不同校園網(wǎng)所提取出的數(shù)據(jù)進(jìn)行對(duì)比，就可以發(fā)現(xiàn)IPv6 中的字節(jié)占比比較大，IPv4 網(wǎng)絡(luò)中的字節(jié)占比比較小。更甚至，在某些高校的校園網(wǎng)絡(luò)中，IPv6網(wǎng)絡(luò)的P2P 流量字節(jié)占比可以高達(dá)整體之間占比的一半以上，這是IPv4 網(wǎng)絡(luò)的數(shù)據(jù)占比達(dá)不到的。從這一點(diǎn)也能夠明顯體現(xiàn)出IPv6互聯(lián)網(wǎng)協(xié)議比上一代互聯(lián)網(wǎng)協(xié)議更完善，體系更加成熟，應(yīng)用范圍和應(yīng)用途徑更廣。

4 結(jié)束語(yǔ)

綜上所述，要面對(duì)校園網(wǎng)進(jìn)行分析IPv6 網(wǎng)絡(luò)流量成分，就需要立足于深度包探測(cè)工具nDPI 去捕獲IPv6 網(wǎng)絡(luò)流量的數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行初步分析。在分析數(shù)據(jù)類型的過程中，可以發(fā)現(xiàn)它主要由未知流量數(shù)據(jù)、已知流量數(shù)據(jù)和剩余流量數(shù)據(jù)等多項(xiàng)類別組成，而簡(jiǎn)單利用nDPI 進(jìn)行的初步分析準(zhǔn)確率不高，有5 成至7 成的數(shù)據(jù)是無法識(shí)別的。而無法識(shí)別的這些數(shù)據(jù)大多都是不完整的數(shù)據(jù)流，可以簡(jiǎn)單歸類為P2P 數(shù)據(jù)流。而要對(duì)P2P 數(shù)據(jù)流進(jìn)行分析，就可以利用二分類器和面向HTTP 的加密視頻流量的相關(guān)分類器去分析研究數(shù)據(jù)流量的具體組成。經(jīng)過分析可以得出，不同的分類器在采集分析識(shí)別數(shù)據(jù)的過程中，都發(fā)揮出了較好的效果，而在對(duì)比同期的IPv6 網(wǎng)絡(luò)和IPv4 網(wǎng)絡(luò)流量成分時(shí)，能夠明顯看出IPv6 網(wǎng)絡(luò)流量中的P2P 流量占比比較大，且在運(yùn)用數(shù)據(jù)的時(shí)候常常會(huì)采用TCP這種協(xié)議進(jìn)行數(shù)據(jù)傳輸。而從IPv6 網(wǎng)絡(luò)和IPv4 網(wǎng)絡(luò)的端口分布情況來看，就可以明顯看出IPv6 網(wǎng)絡(luò)的流量傳輸穩(wěn)定性相對(duì)較低，它的速度波動(dòng)更大，跳躍得更高，數(shù)據(jù)更活躍?？傮w來看，這兩代不同的互聯(lián)網(wǎng)協(xié)議各有優(yōu)勢(shì)，各有長(zhǎng)處。雖然目前得出的結(jié)果是P2P 分類器的數(shù)據(jù)分析效果會(huì)高于HTTP/TLS 的視頻分類器，但這并不代表著HTTP 的視頻分類器就毫無可取之處，只能說如今面向HTTP 的流量分析還有進(jìn)一步的提升空間，需要不斷加強(qiáng)研究，進(jìn)一步細(xì)化校園網(wǎng)中的IPv6 網(wǎng)絡(luò)流量成分構(gòu)成。