由於網際網路的快速發展，網路觸角已經遍及學校、企業、政府乃至於家庭
與個人，而且正積極的向資訊社會的每一個層面延伸。但隨著使用人口的增加，
網路上的流量愈加龐大，各式新的應用不斷出現，所使用的通訊協定組成也愈顯
複雜，因而使得網路的管理變得益加困難。傳統上，每一種網路應用應該有一固
定的網路通訊埠號碼（即所謂的well-known port-number），許多關於網路流量的
分析與管理，也是依據其通訊埠號碼來判斷其種類，並據而施以不同的管理政
策。然而近年來許多新的網路應用或無意或惡意的並沒有使用固定的通訊埠號
碼，例如各式的點對點(P2P)軟體，以及像Skype、MSN 等即時通訊軟體等等；
更有甚者，有些惡意的網路程式是故意依此逃避偵測與追查，例如網路病毒與各
式的網路攻擊等等。
這些使用非固定通訊埠的網路流量已對網路的造成極大的影響，P2P 的軟體
正快速的耗損掉相當大部分的網路頻寬，而由於其使用隨機變換通訊埠的特性，
使得一些傳統的網管軟體對其近乎束手無策。於是我們迫切的需要針對這些問題
開發相關的系統，希望能夠研究如何蒐集大型互連網路的流量資料，能夠針對龐
大的流量資料進行統計、分析的工作，進而找出一有效的方法來正確的偵測與辨
別出各式變換通訊埠的網路應用。期能提升國內網路管理的技術與層次，有助於
改善國內現有的網路安全問題，也能強化資訊安全偵測及防護能力。

Over the last few years, peer-to-peer (P2P) applications have relentlessly grown
to represent a formidable component of Internet traffic. In contract to P2P networks
witch used well-defined port number, current P2P applications have use of arbitrary
ports. As P2P applications continue to evolve, robust and effective methods are
methods are needed for P2P traffic identification. Many P2P applications are
bandwidth-intensive. Understanding the Internet traffic profile is important for several
reasons, including traffic engineering, network service pricing.
In this Thesis, we integrated port-based method into original Classifier which is
using content-based method only. Therefore, we can improve the recognition rate for
Classifier and identify more applications. We also verified our Classifier recognition
rate by using the results of Service Control Engine.

目錄
圖目錄
一、緒論
第1.1節 研究動機
第1.2節 研究目標
第1.3節 章節導讀
二、背景知識及相關研究
第2.1節 背景知識
第2.2節 相關研究
第2.2.1節 Port-based流量辨識方法
第2.2.2節 Content-based流量辨識方法
第2.2.3節 Session-based 流量辨識方法
第2.2.4節 A Hybrid Approach(Signature matching and session behavior)
第2.2.5節 Machine Learning的流量辨識方法
第2.3節 常見的content-based流量辨識軟體
第2.3.1節 IPP2P[7]
第2.3.2節 L7-filter[6]
第2.4節 Classifier[4]介紹
第2.4.1節 Classifier架構
第2.4.2節 Classifier比對結果匯出的方式
第2.5節 Service Control Engine [12]簡介
三、研究方法
第3.1節 提升辨識率
第3.1.1節 支援多種應用
第3.1.2節 增加Port-Based的方法
第3.2節 驗證方法
第3.2.1節 Service Control Engine設備結果接收方法
第3.2.2節 Classifier與Service Control Engine比對方法
第3.3節 Protocol特徵之特性分析
四、數據分析
第4.1節 實驗環境
第4.2節 系統效能
第4.3節 加入port-based實驗結果
第4.4節 Classifier與Service Control Engine結果比對
第4.4.1節 流量收集架構說明
第4.4.2節 比對結果的分析及系統的調整
第4.5節 Protocol特性分析的數據
第4.5.1節 pattern-matched position
第4.5.2節 特徵封包出現於連線中的位置
五、結論與未來展望
第5.1節 結論
第5.2節 未來展望
參考文獻

[1] S. Sen, O. Spatsheck, and D. Wang, “Accurate, Scalable In-Network Identification
of P2P Traffic Using Application Signatures”, Proceeding of the 13th International
World Wide Web Conference, pp.512-521, NY, USA, May 2004
[2] Liu Bin, Li Zhitang, and Li Zhanchun, “Traffic Measurement of Bittorrent System
Based on Netfilter”, Computational intelligence and security, 2006 international
conference on
[3] Alok Madhukar, Carey Williamson, “A Longitudinal Study of P2P Traffic
Classification”, Proceedings of the 14th IEEE international Symposium on Modeling,
Analysis, and Simulation of Computer and Telecommunication Systems
(MASCOTS’06)
[4] 楊竹星,陳建華,”基於Linux Netfilter 的通訊協定分類器之設計與實作”,國立中
山大學資訊工程學系,碩士論文,2006 年7 月
[5] Linux Netfilter, HTTP：//www.netfilter.org/
[6] L7-filter, http：//l7-filter.sourceforge.net/
[7] IPP2P, http：//www.ipp2p.org/
[8] IANA, IANA port number list, http：//www.iana.org/assignments/port-numbers
[9] Thomas Karagiannis, UC Riverside; Andre Broido, CAIDA, SDSC; Michalis
Faloutsos, UC Riverside; Kc claffy, CAIDA, SDSC. ”Transport Layer of P2P Traffic”,
IMC2004
[10] A. Moore and K. Papagiannaki, “Toward the Accurate Identification of Network
Applications”, Passive and Active Measurements Workshop, Boston, MA, USA,
March 31, April 1, 2005
[11] C.Cranor, T. Johnson, and O. Spatscheck. Gigascope： a stream database for
network applications. In SIGMOD, June 2003
[12] Service Control Engine,
http://www.cisco.com/en/US/products/ps6150/index.html
[13] Cisco, http：//www.cisco.com
[14] SCA BB：RDR 格式, http：
//www.cisco.com/univercd/cc/td/doc/product/cable/svc_ctrl/scappsbb/bbrg305.htm
[15] RFC 3549 - Linux Netlink as an IP Services Protocol, HTTP：
//www.rfc-archive.org/getrfc.php?rfc=3549
[16] C. S. Yang, P. C. Wu, "A Fast Multi-pattern Matching Algorithm for Network
Processor", National Sun Yat-sen University, Department of Computer Science and
Engineering, Master Thesis, June 2006
[17] 蔡文能,賴俊廷,”P2P軟體對網路影響之研究”,國立交通大學資訊工程學系,
碩士論文,2004年10月
[18] tcpdump/libcap http：//www.tcpdump.org/
[19] Young J.Won, Byung-Chul Part, Hong-Taek Ju, Myung-Sup Kim, James
W.Hong,” A Hybrid Approach for Accurate Application Traffic Identification”,
End-to-End Monitoring Techniques and Services, 2006 4th IEEE/IFIP Workshop on
[20] Demetres Antoniades, Michalis Polychronakis, Spiros Antonatos, Evangelos P.
Markatos, Sven Ubik, and Arne Øslebø, “Appmon： An Application for Accurate per
Application Network Traffic Characterization”, BroadBand Europe Geneva,
Switzerland 11-14 December 2006
[21] Angelo Spognardi, Alessandro Lucarelli, Roberto Di Pietro, ”A Methodology
for P2P File-Sharing Traffic Detection”, Proceedings of the 2005 Second
International Workshop on Hot Topics in Peer-to-Peer Systems
[22] T. Karagiannis, K. Papagiannaki, and M. Faloutsos, “BLINC： Multilevel Traffic
Classification in the Dark”, ACM SIGCOMM, Philadelphia, PA, August 2005
[23] S. Sen and J. Wang.,” Analyzing peer-to-peer traffic across large networks”,IEEE/ACM Trans. Netw., 12(2)：219-232, 2004
[24] Laurent Bernaille, Renata Teixeira, Kavé Salamatian, “ Early Application
Identification”, CONEXT’06 Lisboa, Portual 2006 ACM
[25] Nigel Williams, Sebastian Zander, Grenville Armitage. “Evaluating Machine
Learning Algorithms for Automated Network Application Identification”, CAIA
Technical Report, March 2006
[26] A. Moore and D. Zuev. “Internet Traffic Classification Using Bayesian Analysis
Techniques”, in SIGMETRICS’05, Banff. Canada. June 6-10,2005
[27] Jeffrey Erman, Anirban Mahanti, and Martin Arlitt, “Internet Traffic
Identification using Machine Learning”, Proc. of 49th IEEE Global
Telecommunications Conference (GLOBECOM), San Francisco, USA, November
2006.
[28] ethereal, www.ethereal.com