面向校園網的IPv6網流量成分分析

周朝姜

（貴州財經職業學院 貴州省貴陽市 551400）

IPv6 是國際通用的互聯網工程IETF 設計的互聯網協議。而隨著互聯網的應用越來越廣，上一代IPv4 互聯網協議已經無法適應當今時代的發展和人們對互聯網的應用需求，因此IPv6 互聯網協議應運而生。而隨著IPv6 的完善，越來越多的應用都在積極改造自己的核心程序和運作技術，以圖更好的適應IPv6 協議。在全球范圍內來看，一些知名搜索引擎和應用，如Google、Facebook 和云服務商以及運營商couldflare 等都已經完全適應的IPv6 協議。而使用IPv6 服務的個人用戶也呈爆炸式增長。僅我國，在近年來，應用IPv6 的活躍用戶數量就已經高達上億人。這都全面突出了IPv6 的重要性和重要作用。因此，為了更好的分析IPv6 網絡流量，本文將面向校園對IPv6 網絡流量成分進行深度分析。

1 nDPI的檢測

1.1 nDPI的分類

在本篇研究面向校園的IPv6 網絡流量成分的文章中，文章將以開源工具ndaf 為起點，對現有的流量及成分進行識別，識別的流量內容包括P2P 流量和HTTP 的加密視頻流量。之后再同時接入三個校園網的不同時期進行測試比對，進而細化分析IPv6 網絡流量成分。

nDPI 是DPI 的開源庫，它的主要功能是對應用層信息進行檢測，對報文源IP、宿IP、源端口和宿端口及其協議進行阻流，同時解析信息，判斷這些數據流的使用協議[1]。因此，要檢測分析IPv6 的流量成分，就要選擇三個校園網的原始流量，并將其作為初步分析對象，這樣才可以將持續三周采集到的數據流量保存下來，并對數據進行優化分類。如果將已知的nDPI 識別到的流量分成7類，它類型分別是unknow、other、P2P、P2P-predict、TLS-know、

TLS-unknow、TLS-video、HTTP-know、HTTP-unknow、HTTPvideo。簡單來說，HTTP-know 這種流量成分就代表著nDPI 標注的已知HTTP 流量，是nDPI 能夠識別的一種流量成分。相對的，TLS-know 就代表著nDPI 標注的已知TLS 流量。同理，如果后續帶有unknow 的標識，則證明是nDPI 標注的未知流量成分，后續帶有video 標識的則是指視頻分類器判斷為視頻的HTTP 或TLS 流量。

1.2 nDPI的不足

從對nDPI 的數據分類來看，它無法識別的流量有許多，且部分類型的流量字節數和報文數無法明確標識。換句話來說就是利用nDPI 識別流量的效果并不好。因此，要以校園網為對象來研究IPv6 網絡流量成分就要改變識別工具，要進一步優化nDPI 的識別效果，并及時維護開源庫，強化應用層協議的流量判別效果。

2 未知流量識別

2.1 P2P分類器

通過上述分析可以得知，利用nDPI 進行流量數據識別的有效性并不高，其中高達50%～70%的流量無法有效識別，這是由于它的流量識別機子還存在著巨大的缺陷。nDPI 識別程序主要是探測一條已知的數據流，然后再創建一定的報文數量之后，再根據應用層的信息去決定這一股數據流的協議歸屬，所以無法識別很大一部分不完整的數據流的所屬協議。而在無法識別的未知數據流中，它們的連接接口基本都是使用的高端端口，因此，許多人認為，這些無法識別的未知數據流大概率是P2P 流。想要識別這一部分數據信息，就需要根據它的結構去構造一個二級分類器。根據現有的研究情況表明，目前視頻流量在互聯網的下載量占比非常高，超過5成。而要下載視頻流量數據就必須要用到HTTP 協議。這就表明了HTTP 流中的未知數據流很大可能是加密視頻。因此對于這一部分加密視頻，流量進行分析就需要在二分類器中進行改進，要不斷添加HTTP-video 和TLS-video 等目標。故而可以將其整體概括為，要完成流量成分的分類工作，就必須要在網絡編在抓取具有一定時長的原始報文流量，然后再將這些原始報文流量交給nDPI 進行識別，同時還要保留所有的識別文件。之后，又可以將保存好的識別文件交給P2P 分類器進行再度識別，再然后可以將二次識別的數據交給視頻分類器識別[2]。也就是說，要進一步識別IPv6 網絡流量，并對這些流量進行細致分類的話，需要不斷重復多個過程，多次進行識別分類。

利用P2P 分類器可以將這部分未知流量，分為非P2P 流量和P2P 流量。常見的P2P 流量是nDPI 可以識別的流量；而非P2P 流量主要指聊天軟件、常用協議以及社交軟件和遠程桌面等留下的數據信息，如QQ 微信、微博、ins 以及teamviewer 等。在識別整個流量級的過程中，運用數據的傳輸時間比較長，字節也比較多，可以有效排除不包含實際運用的數據流量，即一些虛假流量。而在用這些分類器的時候，由于它的特征數量比較多，就可以使用bestfirst 算法作為特征子集搜索策略，然后對不同的等級進行評估。它的特征類型有數據包長、到達間隔以及傳輸期個數，空白期個數、每毫秒傳輸字節數和傳輸期每毫秒字節數等6 大類。他們的特征取值范圍不同，如傳輸期個數和空白期個數的特征取值分為均值、方差、最大值和最小值，而其他四大特征類型的特征取值都會多一個熵值。在使用分類器分析數據時，所使用的分類器特征集合也不同。如常用的特征集合有數據包長均值、數據包長最大值、數據包長最小值，以及傳輸過程中平均空白期個數、傳輸期每ms 字節數最小值、傳輸期每毫秒字節數均值。要研究分析流量數據時，就可以利用這些數據指標選擇對應的模型。

最后再通過交叉運算的方式來選擇最優子集，識別關鍵特征。而在bestfirst 算法中，因為它的準確率生成相關評估函數可以生成共計236 個特征子集，能有效提高數據識別的準確率。除此之外，由于在P2P 分類器的使用上采取了C4.5 決策樹算法，就能夠有效規避樣本分布變化帶來的負面影響，能夠使數據處理更具優勢。因此在選擇分類識別模型時，就可以將這種分類器作用于dataset I 中的未知流量。

2.2 視頻分類器

視頻分類器的應用非常廣，多是直接采用小波包變換結合的方式識別視頻流量，主要通過使用源地址、宿地址和源端口將HTTP報文進行阻流，然后再通過提取生成它的內在特征，并以此為支持向量機的輸入特征，那就能夠提高時域特征的穩定性和小波包數據分析的均勻性，其數據識別準確率高達9 成以上。為了檢驗強化視頻分配器的作用效果，文章對采集的數據流量進行了整合分析，進而得出不同數據視頻識別率和字節數占比比例，因而得出要利用視頻分配器去判斷不同的數據流量，提高判斷的準確率，數據流的持續時間就要在300s 以上。因為未知應用流持續的時間太短，會無法高效準確的辨別出它的具體成分，無法對數據流進行標識。因此，后文在采取IPv6 網絡和IPv4 網絡的P2P 數據時，大多都持續在300s 以上。通過分析整體流量中的占比可以發現，HTTP 視頻和TLS 視頻的識別率存在較大差異，其中兩個校園網的HTTP 視頻識別率會明顯高于TLS 視頻的識別率，而剩下的一個校園網成呈現出相反的結果，這是由于IPv6 網絡中P2P 流量數據占比比較大。

3 IPv6與IPv4網絡流量成分對比

3.1 分類器識別效果

根據未知流量的分類和研究結果來看，三個校園網流量成分自己的占比不同，其差別較大。文章將詳細研究IPv6 與IPv4 的網絡流量成分，通過兩者的仔細比對，去分析兩種的異同點和優勢與不足。比如現今各大高校的IPv4 網絡流量數據比較龐大，在一定程度上超出了平臺的處理能力，這就導致IPv4 的采集效率比較低。而IPv6 技術比較完善，且各種協議和功能相對成熟，它對數據的采集度就比較高。如利用該分類器進行識別網絡流量數據，其面向的數據僅僅是大于300s 的HTTP/TLS 流，它能夠識別的字節比例相對較低，在一定程度上與P2P 分類器的表現及其相似。而IPv6由于其特殊性和技術的先進性，又因為IPv6 網絡中的未知流量遠遠大于IPv4 網絡中的位置流量，所以識別未知流量的時候，識別率就會比較高。

3.2 面向分類結果的相關性分析

通過上述研究對IPv6 和IPv4 網絡流量成分進行差異評估，可以明顯看出三個校園網中的其中兩個流量成分表現為弱相關，而剩下一個則表現為強相關。換句話來說，就是它的流量成分占比差異比較小，在測試中呈現出的相關系數相對穩定。這主要是由于這一個校園網的數據流量是IPv6 數據流量，其中的未知數據流量，也就是P2P 成分明顯要低于前兩個校園網。而經過分析研究得出的相關細數又決定著院校網數據的穩定性，因此后者會呈現出相對穩定的狀態。所以從這一方面可以看出，利用IPv6 技術進行分析，所得到的結果更精確、更全面、更具有普適性和實用性。

3.3 IPv4與IPv6網絡P2P流量特征對比

對IPv4 和IPv6 網絡的P2P 流量套餐進行對比可以明顯看出P2P 的成分在IPv6 流量中占比較大，但同時也在IPv4 流量中體現著不可忽視的作用。因此經過進一步分析比對可以發現，兩者在流量傳輸層的協議使用中存在著較大的差距。比如進行了分析對比，可以得出利用IPv4 網絡的數據流量在運用TCP 和UDP 協議使用中明顯比較均衡，換句話來說就是兩種使用不同的兩種協議的占比相對平衡，不會有太大的差距。而利用IPv6 網絡展開的數據分析中可以得出，P2P 流量絕大部分都會利用TCP 這種協議進行數據傳輸，會擯棄UDP 協議。除此之外，IPv6 網絡和IPv4 網絡中的P2P流量字節占比也存在較大的差異。比如將三個不同校園網所提取出的數據進行對比，就可以發現IPv6 中的字節占比比較大，IPv4 網絡中的字節占比比較小。更甚至，在某些高校的校園網絡中，IPv6網絡的P2P 流量字節占比可以高達整體之間占比的一半以上，這是IPv4 網絡的數據占比達不到的。從這一點也能夠明顯體現出IPv6互聯網協議比上一代互聯網協議更完善，體系更加成熟，應用范圍和應用途徑更廣。

4 結束語

綜上所述，要面對校園網進行分析IPv6 網絡流量成分，就需要立足于深度包探測工具nDPI 去捕獲IPv6 網絡流量的數據，并對數據進行初步分析。在分析數據類型的過程中，可以發現它主要由未知流量數據、已知流量數據和剩余流量數據等多項類別組成，而簡單利用nDPI 進行的初步分析準確率不高，有5 成至7 成的數據是無法識別的。而無法識別的這些數據大多都是不完整的數據流，可以簡單歸類為P2P 數據流。而要對P2P 數據流進行分析，就可以利用二分類器和面向HTTP 的加密視頻流量的相關分類器去分析研究數據流量的具體組成。經過分析可以得出，不同的分類器在采集分析識別數據的過程中，都發揮出了較好的效果，而在對比同期的IPv6 網絡和IPv4 網絡流量成分時，能夠明顯看出IPv6 網絡流量中的P2P 流量占比比較大，且在運用數據的時候常常會采用TCP這種協議進行數據傳輸。而從IPv6 網絡和IPv4 網絡的端口分布情況來看，就可以明顯看出IPv6 網絡的流量傳輸穩定性相對較低，它的速度波動更大，跳躍得更高，數據更活躍。總體來看，這兩代不同的互聯網協議各有優勢，各有長處。雖然目前得出的結果是P2P 分類器的數據分析效果會高于HTTP/TLS 的視頻分類器，但這并不代表著HTTP 的視頻分類器就毫無可取之處，只能說如今面向HTTP 的流量分析還有進一步的提升空間，需要不斷加強研究，進一步細化校園網中的IPv6 網絡流量成分構成。