網(wǎng)絡(luò)流量分類及其現(xiàn)狀研究

【摘 要】高效的網(wǎng)絡(luò)流量分類是實(shí)現(xiàn)網(wǎng)絡(luò)管理、流量控制以及安全檢測(cè)的重要環(huán)節(jié)。詳細(xì)介紹了現(xiàn)有的網(wǎng)絡(luò)流量特征選擇方法和分類方法的國(guó)內(nèi)外研究現(xiàn)狀，在對(duì)比各種方法優(yōu)缺點(diǎn)的基礎(chǔ)上，指出半監(jiān)督學(xué)習(xí)方法在網(wǎng)絡(luò)流量特征選擇和分類方面的優(yōu)勢(shì)，同時(shí)，總結(jié)了半監(jiān)督學(xué)習(xí)方法在網(wǎng)絡(luò)流量分類領(lǐng)域亟待解決的問(wèn)題。

【關(guān)鍵詞】網(wǎng)絡(luò)流量 特征選擇 分類 半監(jiān)督學(xué)習(xí)

【中圖分類號(hào)】G【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】0450-9889（2013）10C-0190-03

網(wǎng)絡(luò)的持續(xù)發(fā)展與變化，導(dǎo)致Internet數(shù)據(jù)流量持續(xù)增長(zhǎng)，應(yīng)用屬性動(dòng)態(tài)變化，應(yīng)用類型多樣化。政府、企業(yè)和個(gè)人用戶每天都會(huì)產(chǎn)生成千上萬(wàn)條不同的網(wǎng)絡(luò)應(yīng)用流量，這給網(wǎng)絡(luò)運(yùn)營(yíng)和管理帶來(lái)巨大的機(jī)遇，也帶來(lái)前所未有的挑戰(zhàn)。視頻、P2P、游戲、聊天、商務(wù)交易等各種應(yīng)用不斷涌現(xiàn)，造成新興應(yīng)用層出不窮、帶寬消耗急劇增加、安全問(wèn)題日益增多，如何為用戶提供一個(gè)安全、可靠和高效的網(wǎng)絡(luò)環(huán)境，是當(dāng)前亟待解決的關(guān)鍵問(wèn)題。網(wǎng)絡(luò)流量分類是實(shí)現(xiàn)網(wǎng)絡(luò)可控性的基礎(chǔ)技術(shù)，在網(wǎng)絡(luò)管理、服務(wù)質(zhì)量保障和網(wǎng)絡(luò)安全等領(lǐng)域都有應(yīng)用。但隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)速度不斷提高，新型的網(wǎng)絡(luò)應(yīng)用和技術(shù)不斷出現(xiàn)，對(duì)網(wǎng)絡(luò)流量分類技術(shù)提出了更高的要求。

一、網(wǎng)絡(luò)流量的定義

網(wǎng)絡(luò)中存在的“流”是指在一個(gè)特定時(shí)間段內(nèi)，一個(gè)節(jié)點(diǎn)（可以是計(jì)算機(jī)、路由器或者服務(wù)器等網(wǎng)絡(luò)設(shè)備）收到或發(fā)送的具有相同五元組（源IP地址，目的IP地址，源端口號(hào)，目的端口號(hào)，協(xié)議類型）的單向數(shù)據(jù)包集合。只要數(shù)據(jù)包的上述五個(gè)要素中有一個(gè)不相同，它們就不屬于同一條流。在流的定義的基礎(chǔ)上，網(wǎng)絡(luò)流量分類是指：對(duì)流按照其應(yīng)用層的應(yīng)用類型（如FTP，MAIL，WWW，P2P等），將網(wǎng)絡(luò)中存在的TCP流或UDP流進(jìn)行分類。對(duì)網(wǎng)絡(luò)流量分類的研究主要是網(wǎng)絡(luò)流量特征選擇和分類方法兩方面。

二、網(wǎng)絡(luò)流量特征選擇方法研究現(xiàn)狀

特征選擇是從原始特征集中選取有助于分類決策特征子集以使特定的評(píng)價(jià)標(biāo)準(zhǔn)最優(yōu)的過(guò)程。網(wǎng)絡(luò)流量數(shù)據(jù)維數(shù)過(guò)高和訓(xùn)練樣本不足的矛盾會(huì)導(dǎo)致一些學(xué)習(xí)算法出現(xiàn)“過(guò)擬合”現(xiàn)象，甚至面臨“維數(shù)災(zāi)難”。一個(gè)高效的特征選擇算法對(duì)數(shù)據(jù)的分析十分重要，它通過(guò)剔除大量網(wǎng)絡(luò)流量特征中冗余的、有噪聲的特征，降低特征維數(shù)，從而達(dá)到減少分類器的建模時(shí)間，提高分類器識(shí)別率的目的。面對(duì)不同的網(wǎng)絡(luò)流量實(shí)際問(wèn)題，一方面，高維的原始數(shù)據(jù)直接影響分類器訓(xùn)練時(shí)間，可通過(guò)特征選擇來(lái)降維，平衡訓(xùn)練時(shí)間和分類精度的矛盾；另一方面，大量無(wú)關(guān)或冗余的特征直接影響分類器的設(shè)計(jì)，可通過(guò)特征選擇來(lái)去掉無(wú)效的特征，提高分類器泛化性。特征選擇技術(shù)有助于增強(qiáng)分類系統(tǒng)的速度、準(zhǔn)確率和可理解性，因此，信息充分、低冗余、低噪聲的特征子集是設(shè)計(jì)并優(yōu)化分類器性能的前提條件。

2005年，Zander S等人提出基于統(tǒng)計(jì)特征的機(jī)器學(xué)習(xí)流量分類框架，采用了序列前向的特征選擇方法（SFS）獲取最佳的流特征集，分類精度達(dá)到87%，但用于實(shí)驗(yàn)的流的數(shù)量和應(yīng)用類型有限。2006年，Williams N等人采用五種經(jīng)典的機(jī)器學(xué)習(xí)算法，比較特征選擇分別采用最佳搜索、貪婪搜索策略、前向和后向搜索方向下對(duì)分類性能的影響。2007年，Yang Yue-xiang根據(jù)經(jīng)驗(yàn)選取了12個(gè)對(duì)分類最有效的流統(tǒng)計(jì)特征用于SVM流量分類，而未用算法進(jìn)行特征選擇，導(dǎo)致某些類型的流量精度偏低。2008年，Hyunchul Kim在基于filter型特征選擇模型下，采用最佳優(yōu)先搜索策略來(lái)選取流統(tǒng)計(jì)學(xué)特征。HUANG等人將粒子群算法用于特征搜索，但粒子被過(guò)多束縛，容易導(dǎo)致局部最優(yōu)。2009年，Li等人利用遺傳算法進(jìn)行特征屬性選擇，搜索能力強(qiáng)，對(duì)求解大規(guī)模復(fù)雜問(wèn)題具有較好的適應(yīng)性，但算法容易收斂過(guò)早。2010年，Xu等人就特征產(chǎn)生及特征選擇對(duì)分類的速度及精度的影響進(jìn)行了詳細(xì)分析。2011年，Pereira提出了一種新的基于屬性相關(guān)性的數(shù)據(jù)流特征選擇算法，通過(guò)曲線擬合趨勢(shì)相關(guān)性屬性進(jìn)行特征選擇，一定程度上克服了傳統(tǒng)方法的局限性，但仍然存在著計(jì)算量大，消耗時(shí)間較長(zhǎng)的不足。2012年，Wang以流的統(tǒng)計(jì)學(xué)特征為依據(jù)，提出了一種基于filter和wrapper的組合式特征選擇，獲得識(shí)別P2P的最優(yōu)流特征子集，但該方法的通用性有待提高。

目前，各種新的搜索機(jī)制和評(píng)價(jià)標(biāo)準(zhǔn)如支持向量機(jī)、馬爾可夫、粗糙集、神經(jīng)網(wǎng)絡(luò)等方法被廣泛應(yīng)用于改進(jìn)現(xiàn)有的特征選擇算法，使該領(lǐng)域的研究呈現(xiàn)多樣化趨勢(shì)。流量樣本中是否含有監(jiān)督信息是特征選擇算法分類的標(biāo)準(zhǔn)，它可歸類為有監(jiān)督、無(wú)監(jiān)督和半監(jiān)督特征選擇流量分類方法三大類。有監(jiān)督的流量特征選擇方法使用如類標(biāo)記、成對(duì)約束等有監(jiān)督信息進(jìn)行特征約簡(jiǎn)；無(wú)監(jiān)督的流量特征選擇方法根據(jù)大量無(wú)標(biāo)記樣本特征間的相似性來(lái)進(jìn)行特征選擇；而半監(jiān)督的流量特征選擇方法是同時(shí)充分利用少量有標(biāo)記和大量無(wú)標(biāo)記樣本信息，選擇候選特征中有價(jià)值的特征。

三、網(wǎng)絡(luò)流量分類方法研究現(xiàn)狀

國(guó)內(nèi)外學(xué)者從不同角度對(duì)網(wǎng)絡(luò)流量分類方法進(jìn)行了研究，大致可以分為四大類：

（一）基于端口號(hào)匹配的分類方法

基于端口號(hào)匹配的分類方法是根據(jù)數(shù)據(jù)包包頭中的端口號(hào)來(lái)區(qū)分不同的網(wǎng)絡(luò)應(yīng)用類型。在國(guó)際互聯(lián)網(wǎng)代理成員管理局（IANA）中進(jìn)行了注冊(cè)的應(yīng)用層協(xié)議都有著對(duì)應(yīng)的端口號(hào)，其中端口號(hào)0-1023被稱為公認(rèn)端口號(hào)，每一個(gè)公認(rèn)端口都對(duì)應(yīng)著一個(gè)常用的應(yīng)用層協(xié)議。基于端口號(hào)匹配的分類方法，就是通過(guò)分析數(shù)據(jù)包中傳輸層的端口號(hào)，再將其與公認(rèn)端口號(hào)進(jìn)行匹配確定其應(yīng)用層協(xié)議類別。新型網(wǎng)絡(luò)應(yīng)用（如P2P、被動(dòng)FTP等）都普遍采用隨機(jī)端口（端口范圍在1024-65535）技術(shù)進(jìn)行數(shù)據(jù)傳輸，使得這種方法不夠準(zhǔn)確。Moore等人通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，該方法容易受到干擾，在最佳情況下也僅有31%的準(zhǔn)確率。但是基于端口號(hào)匹配的分類方法由于只需要獲取數(shù)據(jù)包的端口號(hào)，而不需要進(jìn)行復(fù)雜的計(jì)算分析，實(shí)現(xiàn)簡(jiǎn)單且分類速度快。該方法應(yīng)用在高速網(wǎng)絡(luò)環(huán)境時(shí)，能夠快速并很好地識(shí)別公認(rèn)端口號(hào)對(duì)應(yīng)的應(yīng)用層協(xié)議類別，因此仍然具有一定的實(shí)際使用價(jià)值。而且數(shù)據(jù)包的端口號(hào)是流的重要組成部分，在其它網(wǎng)絡(luò)流量分類方法中經(jīng)常得到使用，仍然起著重要的作用。

（二）基于特征字段分析的分類方法

基于特征字段分析的分類方法是基于應(yīng)用所產(chǎn)生的數(shù)據(jù)包表現(xiàn)出的特征來(lái)進(jìn)行識(shí)別的。在識(shí)別其應(yīng)用層協(xié)議類型的過(guò)程中，其采用特征字段分析的方法，而該方法的主要手段是檢查數(shù)據(jù)包的內(nèi)容。該方法需要對(duì)待識(shí)別的應(yīng)用層協(xié)議進(jìn)行深入的分析，找出其在網(wǎng)絡(luò)傳輸和交互過(guò)程中表現(xiàn)出來(lái)的與其它應(yīng)用層協(xié)議不同的特征字符串和特征字段。在對(duì)網(wǎng)絡(luò)流量進(jìn)行分類時(shí)，通過(guò)在一條流的數(shù)據(jù)包中去識(shí)別這些特征，就能夠確定其所屬的應(yīng)用協(xié)議類型，從而對(duì)一條未知應(yīng)用類型的流進(jìn)行應(yīng)用層協(xié)議標(biāo)識(shí)。它需要通過(guò)解析數(shù)據(jù)包并獲得特征字段，其分類準(zhǔn)確性較高。Moore等人設(shè)計(jì)了一個(gè)由多個(gè)子方法分析數(shù)據(jù)包內(nèi)容來(lái)進(jìn)行分類的方法，實(shí)驗(yàn)表明其分類準(zhǔn)確率極高（大于99.99%）。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，不少應(yīng)用采用了負(fù)載加密技術(shù)，無(wú)法有效地解析數(shù)據(jù)包內(nèi)容，因而無(wú)法提取出特征字段，使該方法的有效性受到限制。另一方面，隨著新型應(yīng)用的不斷涌現(xiàn)，該方法需要分析新的未知應(yīng)用類型的應(yīng)用層協(xié)議，并提取出相應(yīng)的特征字段來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行匹配，這一過(guò)程需要大量的計(jì)算和存儲(chǔ)能力，因此在實(shí)時(shí)性方面也不能適應(yīng)高速網(wǎng)絡(luò)流量分類的要求。

（三）基于傳輸層行為模式的分類方法

不同的網(wǎng)絡(luò)應(yīng)用在網(wǎng)絡(luò)傳輸和交互的過(guò)程中，會(huì)在傳輸層表現(xiàn)出互不相同的行為特征。因此利用已知的網(wǎng)絡(luò)應(yīng)用的行為特征與未知流量所表現(xiàn)出的行為特征進(jìn)行匹配，就可以分類其網(wǎng)絡(luò)流量應(yīng)用類型，這就是基于傳輸層行為模式的分類方法的原理。由于該方法具有無(wú)需解析數(shù)據(jù)包負(fù)載內(nèi)容，不需要采集端口號(hào)和特征字段等信息，額外開(kāi)銷小等優(yōu)點(diǎn)，因此基于傳輸層行為模式的分類方法有不少的研究。其中最著名的方法是Karagiannis提出的BLINC（Blind Classification）方法，BLINC方法對(duì)網(wǎng)絡(luò)流量所表現(xiàn)出的傳輸層行為從不同的方面（社會(huì)層、功能層和應(yīng)用層）進(jìn)行分析，構(gòu)建出傳輸層行為模式與應(yīng)用協(xié)議的匹配表，再通過(guò)匹配表來(lái)對(duì)未知流量進(jìn)行分類，文獻(xiàn)中的實(shí)驗(yàn)表明，使用BLINC方法可以識(shí)別出實(shí)驗(yàn)流量數(shù)據(jù)中的80%～90%，且準(zhǔn)確率高于95%。但基于傳輸層行為模式的分類方法存在以下缺陷：在數(shù)據(jù)包首部被加密的情況下，該方法無(wú)法使用；分類準(zhǔn)確率受網(wǎng)絡(luò)地址轉(zhuǎn)換的影響；對(duì)流量的分類不夠精細(xì)。

（四）基于流統(tǒng)計(jì)特征的機(jī)器學(xué)習(xí)分類方法

2005年，Moore等人研究流量在網(wǎng)絡(luò)中的傳輸過(guò)程，通過(guò)一系列的測(cè)量和處理，得出了249個(gè)統(tǒng)計(jì)學(xué)特征用于對(duì)不同的流進(jìn)行區(qū)分，這就是流統(tǒng)計(jì)特征，而他們提出的流量的上述統(tǒng)計(jì)學(xué)特征也成為經(jīng)典的流屬性統(tǒng)計(jì)特征集合。基于流統(tǒng)計(jì)特征的機(jī)器學(xué)習(xí)分類方法根據(jù)網(wǎng)絡(luò)流量在網(wǎng)絡(luò)傳輸時(shí)表現(xiàn)出的流屬性的統(tǒng)計(jì)信息，利用已知應(yīng)用層協(xié)議類型的網(wǎng)絡(luò)流量樣本集及其流統(tǒng)計(jì)特征，通過(guò)機(jī)器學(xué)習(xí)方法訓(xùn)練得到分類模型，再用分類模型對(duì)未知應(yīng)用層協(xié)議類型的網(wǎng)絡(luò)流量進(jìn)行分類。

由于該方法使用流統(tǒng)計(jì)特征進(jìn)行網(wǎng)絡(luò)流量分類，所以不會(huì)被隨機(jī)端口、數(shù)據(jù)包加密和網(wǎng)絡(luò)地址轉(zhuǎn)換等技術(shù)影響，其分類精度高、適用范圍廣，比前三種網(wǎng)絡(luò)流量分類方法更優(yōu)。

（五）各種流量分類方法比較

表1對(duì)上述四種網(wǎng)絡(luò)流量分類方法從分類準(zhǔn)確率、優(yōu)缺點(diǎn)等方面進(jìn)行比較。

從表1的對(duì)比可看出，基于端口號(hào)匹配的分類方法雖然識(shí)別范圍有限，但其開(kāi)銷小，適合應(yīng)用于高速網(wǎng)絡(luò)環(huán)境，可以將端口號(hào)匹配與其它分類方法組合使用，首先通過(guò)端口號(hào)匹配識(shí)別出使用公認(rèn)端口號(hào)的應(yīng)用流量，再采用別的分類方法對(duì)無(wú)法識(shí)別的流量進(jìn)行進(jìn)一步的識(shí)別分類。基于特征字段分析的分類方法分類準(zhǔn)確率極高，但由于無(wú)法識(shí)別加密流量，且計(jì)算和存儲(chǔ)開(kāi)銷大，所以完全不適合用于高速網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)流量分類。基于傳輸層行為模式的分類方法應(yīng)用于高速網(wǎng)絡(luò)環(huán)境下，雖然有其開(kāi)銷小的優(yōu)點(diǎn)，但是其分類性能受到目前互聯(lián)網(wǎng)上普遍使用的數(shù)據(jù)包加密和網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的影響，因此并不是非常合適。基于流統(tǒng)計(jì)特征的機(jī)器學(xué)習(xí)分類方法整體分類性能較好，分類算法選擇面大，應(yīng)用范圍廣，但還需要對(duì)其在樣本處理和計(jì)算開(kāi)銷方面進(jìn)一步改進(jìn)，以更好地適應(yīng)高速網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)流量分類，這也是未來(lái)網(wǎng)絡(luò)流量分類研究的發(fā)展方向。

四、網(wǎng)絡(luò)流量分類的發(fā)展趨勢(shì)及挑戰(zhàn)

目前，基于流統(tǒng)計(jì)特征的機(jī)器學(xué)習(xí)方法主要分為有監(jiān)督的機(jī)器學(xué)習(xí)分類方法，無(wú)監(jiān)督的機(jī)器學(xué)習(xí)分類方法和將上述兩者相結(jié)合的半監(jiān)督方法。在信息化技術(shù)的帶動(dòng)下，機(jī)器學(xué)習(xí)的理論與方法在實(shí)際生活的應(yīng)用越來(lái)越廣泛，相關(guān)問(wèn)題也日益凸顯：基于監(jiān)督學(xué)習(xí)的方法如貝葉斯、決策樹(shù)等，只對(duì)有標(biāo)記樣本進(jìn)行建模，準(zhǔn)確率較高，但不能發(fā)現(xiàn)未知類別；基于無(wú)監(jiān)督的學(xué)習(xí)方法如K-means聚類，只對(duì)無(wú)標(biāo)記樣本進(jìn)行建模，分類效率較好，但在可擴(kuò)展性方面有明顯的局限。半監(jiān)督學(xué)習(xí)因其能同時(shí)利用有標(biāo)記和無(wú)標(biāo)記樣本進(jìn)行特征選擇和流量分類，避免了有監(jiān)督學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)的不足，因而實(shí)現(xiàn)了長(zhǎng)足的發(fā)展。

半監(jiān)督學(xué)習(xí)研究涉及的范圍十分廣泛，它主要關(guān)注如何在訓(xùn)練樣本包含有價(jià)值信息缺乏的情況下，提高網(wǎng)絡(luò)流量分類算法的魯棒性、健壯性和可擴(kuò)展性。一方面，改進(jìn)現(xiàn)有的有監(jiān)督和無(wú)監(jiān)督網(wǎng)絡(luò)流量分類算法，增強(qiáng)其對(duì)已標(biāo)記和無(wú)標(biāo)記樣本信息的利用能力；另一方面，引入數(shù)學(xué)方法，從多角度減少半監(jiān)督學(xué)習(xí)方法的時(shí)間復(fù)雜度和空間復(fù)雜度。由于半監(jiān)督學(xué)習(xí)對(duì)復(fù)雜環(huán)境具有較好的適應(yīng)性，其研究對(duì)象從單純的半監(jiān)督數(shù)據(jù)訓(xùn)練，拓展到半監(jiān)督高維特征降維、海量文本分類和大規(guī)模流形分析等，在發(fā)現(xiàn)新的應(yīng)用類型，提高分類器的泛化能力方面進(jìn)行了有效的探索，這為基于半監(jiān)督學(xué)習(xí)的網(wǎng)絡(luò)流量特征選擇和分類方法的研究奠定了堅(jiān)實(shí)的基礎(chǔ)。

盡管半監(jiān)督學(xué)習(xí)在網(wǎng)絡(luò)流量特征選擇和分類方法方面有其他方法無(wú)法比擬的優(yōu)勢(shì)，但基于半監(jiān)督學(xué)習(xí)的流量分類方法研究還處在研究階段，在實(shí)際高速大規(guī)模的網(wǎng)絡(luò)流量分類中，仍有幾類問(wèn)題需進(jìn)一步研究：

一是選擇有利于高效訓(xùn)練分類器的無(wú)噪聲、信息含量高的訓(xùn)練樣本，充分挖掘流量中隱藏的特征；二是改進(jìn)和拓展有監(jiān)督和無(wú)監(jiān)督學(xué)習(xí)算法，當(dāng)遇到新應(yīng)用協(xié)議，能自動(dòng)獲取其應(yīng)用的流量特征，提高其對(duì)半監(jiān)督學(xué)習(xí)的可擴(kuò)展性；三是構(gòu)建真實(shí)網(wǎng)絡(luò)環(huán)境下的協(xié)同多分類器系統(tǒng)，多角度統(tǒng)計(jì)和歸類網(wǎng)絡(luò)流行為模式，提升其對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境的適應(yīng)性；四是在半監(jiān)督學(xué)習(xí)中融合數(shù)據(jù)挖掘與模式識(shí)別方法中的各種數(shù)據(jù)處理技巧和分類技術(shù)，重點(diǎn)考慮其與機(jī)器學(xué)習(xí)算法的結(jié)合點(diǎn)，提高流量分類器的分類有效性。

【參考文獻(xiàn)】

[1]Zhang Hongli， Lu Gang，Qassrawi Mahmoud Tetal. Feature selection for optimizing traffic classification [J].Computer communications.2012，35（12）

[2]Zander S，Nguyen T，Armitage G.Self-learning IP traffic classification based on statistical flow characteristics[C].Proceedings of the 6th International Workshop on Passive and Active Network Measurement. Boston，Spinger.2005

[3]Yang Yuexiang，Wang Ruiwang，Liu Yang，et al. Solving P2P traffic identification problems via optimized support vector machines[C].Proceedings of IEEE /ACS International Conference on Computer Systems and Applications （aiccsa），Amman，IEEE.2007

[4]Hyunchul Kim，KC Claffy，Marina Fomenkov，et al. Internet traffic classification demystified： myths， caveats，and the best practices [C].Proceedings of the 2008 ACM CoNEXT Conference，Madrid， ACM.2008

[5]HUANG Chenglung， DUN Jianfan.A distributed PSO-SVM hybrid system with feature selection and parameter optimization [J].Applied Soft Computing Journal，2008，8（4）

[6]LI Yongming，ZHANG Sujuan，ZENG Xiaoping. Research of multi-population agent genetic algorithm for feature selection [J].Expert Systems with Applications，2009，36（7）

[7]Xu He，Wang Suoping，Wang Ruchuan.Research of P2P traffic identification based on naive bayes and decision tables combination algorithm[C]. Proceeding of 2010 7th International Conference on Fuzzy Systems and Knowledge Discovery. Yantai， IEEE.2010

[8]Pereira Rafael B，Plastino Alexandre， Zadrozny Bianca. Lazy attribute selection： Choosing attributes at classification time[J]. Intelligent Data Analysis.2011，15（5）

[9]Wang， Zhenling.A novel peer to peer traffic identification approach based on hybrid feature selection algorithm[J].International Journal of Digital Content Technology and its Applications， 2012，6（8）

[10]Li Wei， CANINI M， MOORE A W. Efficient application identification and the temporal and spatial stability of classification schema [J].Computer Networks， 2009，53（6）

[11]Moore A W， Papagiannaki K. Toward the accurate identification of network applications [J].Computer Science， 2005

[12]Karagiannis T.， Papagiannaki K.， Faloutsos M.. BLINC： Multilevel traffic classification in the dark[C]. In： ACM SIGCOMM.Philadelphia： ACM， 2005

[13]Zuev D.， Moore A.W.. Traffic classification using a statistical approach[C]. Proceedings of the 6th International Workshop on Passive and Active Network Measurement. Heidelberg：Springer，2005

（責(zé)編 丁 夢(mèng)）