İnternet trafiğinin gerçek zamanlı sınıflandırması

Abstract

İnternet trafik akışlarının uygulama veya protokol bazında sınıflandırılması ağ izleme, hizmet kalitesi, nüfuz tespiti, ağ güvenliği, trend analizi vb. alanlarda etkin bir şekilde kullanılmaktadır. Son zamanlarda bazı P2P uygulamalarının dinamik port numaraları ve maskeleme teknikleri kullanmaları port bazlı tespit sistemlerinin yetersiz kalmasına neden olmuştur. Bu engellere alternatif olarak geliştirilen yük bazlı tespit sistemleri ise uygulamaların güvenlik ve takip edilmeme amacıyla şifreleme mekanizmalarına gitmesi ve uygulama katmanında imza arama işlemlerinin çok maliyetli olması nedeniyle yerini makine öğrenmesi ve istatistikî verilere dayanan yaklaşımlara bırakmıştır.Bu tez çalışmasında gerçek zamanlı internet trafik sınıflandırması için DBSCAN kümeleme algoritmasına ve ağırlıklı kosinüs benzerliği hesabına dayanan yeni bir istatistiksel metot önerilmiştir. Önerilen metot şifreli internet trafiğinin de sınıflandırılmasına olanak sağlamaktadır. Metodun öğrenme aşamasında port ve yük tabanlı sınıflandırıcımız ağ akışlarının protokollerini tespit ederek her bir protokolün öğrenme veri kümesini oluşturur. Daha sonra her bir protokolün alt uygulama vektörleri DBSCAN kümeleme algoritması ile çıkartılır. Alt uygulama vektörleri ağ akışlarının ilk birkaç paketinden elde edilen işaretli paket uzunlukları ve normalize edilmiş standart sapma vektörlerinden oluşmaktadır. Sınıflandırma aşamasında ise yeni bir ağ akışının protokolü ağırlıklı kosinüs benzerliği ile hesaplanır. Test sonuçları önerilen yöntemin yüksek bir başarım sağladığını göstermektedir. Sonuçlar alt uygulama vektörleri ve standart sapmanın kosinüs benzerliğinde ağırlık olarak kullanılması katkılarımızın doğruluk performansını efektif olarak arttırdığını da göstermektedir.Internet traffic classification has a critical role on network monitoring, quality of service, intrusion detection, network security and trend analysis. The conventional port-based method is ineffective due to dynamic port usage and masquerading techniques. Besides, payload-based method suffers from heavy load and encryption. Due to these facts, machine learning based statistical approaches have become the new trend for the network measurement community.In this thesis, we propose a new statistical approach based on DBSCAN clustering and weighted cosine similarity for real time internet traffic classification on encrypted/non-encrypted traffic. In the learning phase, our port and payload-based pre-classifier tags network flows to applications. Then, our sub-application vectors, which consist of packet size and normalized standard deviation vectors of the first few packets of flows, are extracted for each application using DBSCAN clustering algorithm. In the classification phase, weighted cosine similarity is used to classify an unknown flow. Our experimental test results show that the proposed approach achieves very high accuracy. The results also show that our contributions which are sub-application vectors and the usage of standard deviation as weight in cosine similarity measurement increase the accuracy in an efficient way.