基于网络时延特征的移动蜂窝网络流量识别方法技术

本发明专利技术涉及一种基于网络时延特征的移动蜂窝网络流量识别方法，利用流量分析的手段，提取客户端IP地址对应的链路时延特征、RRC时延特征、RRC重传特征，根据这些特征，对客户端IP地址归属移动蜂窝网络或者固网进行判别，进而在互联网流量中识别出客户端IP地址属于移动蜂窝网络的流量，实现移动蜂窝网络流量识别的目的。本发明专利技术可以为科研院所、大数据相关业务单位、网络运营商等机构和企业提供一种在不涉及用户隐私的条件下，从互联网流量中识别出3G/4G流量的可靠方法。

Mobile cellular network traffic identification method based on network delay characteristics

The invention relates to a mobile cellular network traffic identification method based on the characteristics of the network delay, using the flow analysis method, extraction of link delay characteristics, the client IP address corresponding to the RRC time delay characteristics, RRC retransmission characteristics, according to these characteristics, to determine the IP address of client mobile cellular network or fixed network, and then identify the client IP address belongs to mobile cellular network traffic in Internet traffic, traffic identification to mobile cellular network. The invention can provide scientific research institutes, large data related business units, network operators and other institutions and enterprises to provide a does not involve user privacy conditions, a reliable method for 3G/4G traffic identification from Internet traffic.

【技术实现步骤摘要】
基于网络时延特征的移动蜂窝网络流量识别方法
本专利技术涉及一种网络流量识别方法，特别是一种基于网络时延特征的移动蜂窝网络流量识别方法。
技术介绍
目前，用户终端接入互联网服务主要有两种方式：以3G/4G为代表的移动蜂窝网络、固网及其分享的WIFI。用户终端通过3G/4G或者固网接入互联网后，其数据都以IP分组的形式在骨干网中传输。通过Internet骨干网截获的流量中混合了两种接入方式产生的流量，目前还没有有效方法将这种流量区分开。判断网络流量来源的常用方法是在产生流量的终端设备上运行识别网络接入方式的代码，这不能适用于分析在互联网骨干节点上截获的数据。开源项目WURFL提出一种对智能手机终端流量进行识别的方法，但并不区分手机通过WIFI还是蜂窝网络接入互联网。近年来，固网和移动蜂窝网络的链路架构及其对网络流量的影响也受到关注，例如无线电资源控制模块(RRC)对移动蜂窝网络中数据往返时延(RTT)有较大的影响，但如何在互联网流量中提取链路相关特征，以区分用户接入方式，还没有确定有效的方法，因此还无法实际用于识别移动蜂窝网络流量。
技术实现思路
本专利技术的目的在于提供一种基于网络时延的移动蜂窝网络流量识别方法，提取网络流量的时延特征，依据流量产生链路的不同，将互联网流量分为固网流量和移动蜂窝网络流量。实现本专利技术目的的技术方案为：一种基于网络时延特征的移动蜂窝网络流量识别方法，所述方法包括：第一步、依据客户端IP地址在流量数据中的行为特征，筛选出流量文件涉及的客户端IP地址；第二步、依据客户端IP地址，将网络流量分割重组，把每一个客户端IP地址接收和发送的流量重新组合成独立的流量文件，与该客户端IP地址构成一一对应关系；第三步、依据TCP报文到达确认机制，定位待确认报文和确认报文，计算截获点与客户端IP地址之间传输行为的时延；第四步、根据第三步计算时延过程中所用数据报的链路负载特征，构建链路负载特征小于设定阈值时客户端IP地址对应的链路时延集合，并提取链路时延特征；第五步、根据第三步计算的时延确定客户端IP地址的RRC状态特征，构建RRC处于不同状态下客户端IP地址对应的链路时延集合，并提取RRC时延特征；第六步、依据TCP报文的超时重发机制，提取客户端IP地址对应的RRC重传特征；第七步、利用客户端IP地址对应的特征，依据接入网络类型是固网或移动蜂窝网络，对客户端IP地址进行分类识别；第八步、根据第七步得到的客户端IP地址分类，将标记为移动蜂窝网络的客户端IP地址对应的网络流量标记移动蜂窝网络流量。与现有技术相比，本专利技术的显著优点为：(1)本专利技术通过构建客户端IP地址对应的链路时延特征、RRC时延特征、RRC重传特征，对客户端IP流量依据网络接入方式进行分类；在不涉及用户内容隐私的情况下，精确地从骨干网流量中检测识别移动蜂窝网络流量；(2)本专利技术可以为科研院所、大数据相关业务单位、网络运营商等机构和企业提供一种在不涉及用户隐私的条件下，从互联网流量中识别出3G/4G流量的可靠方法。附图说明图1为本专利技术的识别移动蜂窝网络流量流程图。图2为提取客户端IP地址流程图。图3为客户端IP地址时延示意图。图4为N＝3时链路时延的最小值特征在测试集中的累积分布图。图5为t0＝15s，t1＝+∞时对应的RRC时延的标准差特征在测试集中的累积分布图。图6为RRC重传率在测试集中的累积分布图。具体实施方式结合图1，本专利技术的一种基于网络时延特征的移动蜂窝网络流量识别方法，所述方法包括：第一步、依据客户端IP地址在流量数据中的行为特征，筛选出流量文件涉及的客户端IP地址；第二步、依据客户端IP地址，将网络流量分割重组，把每一个客户端IP地址接收和发送的流量重新组合成独立的流量文件，与该客户端IP地址构成一一对应关系；第三步、依据TCP报文到达确认机制，定位待确认报文和确认报文，计算截获点与客户端IP地址之间传输行为的时延；第四步、根据第三步计算时延过程中所用数据报的链路负载特征，构建链路负载特征小于设定阈值时客户端IP地址对应的链路时延集合，并提取链路时延特征；第五步、根据第三步计算的时延确定客户端IP地址的RRC状态特征，构建RRC处于不同状态下客户端IP地址对应的链路时延集合，并提取RRC时延特征；第六步、依据TCP报文的超时重发机制，提取客户端IP地址对应的RRC重传特征；第七步、利用客户端IP地址对应的特征，依据接入网络类型是固网或移动蜂窝网络，对客户端IP地址进行分类识别；第八步、根据第七步得到的客户端IP地址分类，将标记为移动蜂窝网络的客户端IP地址对应的网络流量标记移动蜂窝网络流量。进一步的，第一步中筛选出的客户端IP地址同时满足下列行为特征：针对其他网络IP地址意图与客户端IP地址建立TCP连接而发出的SYN标识位为1的数据报，不予回应确认报文；针对其他地址对客户端IP地址发起的DNS查询报文，不予回应应答报文；任意两个客户端IP地址间，无数据传输；客户端IP地址有发出流量。进一步的，第三步待确认报文是指在客户端IP地址对应的网络流量中，TCP协议数据报的SYN标志位为1或有效载荷长度大于0的待确认报文，确认报文是指TCP协议中规定的相应的确认报文，且要满足待确认报文和确认报文在流量文件中无重传。进一步的，第四步所述的数据报的链路负载特征是指流量中客户端IP地址在待确认报文和确认报文之间传输数据包的数量。进一步的，第五步所述数据报的RRC状态特征是指流量中客户端IP地址在传输待确认报文时，距离上一次传输行为的时间差；RRC处于不同状态是指这个时间差落在不同的区间。进一步的，第四步、第五步所述的链路时延特征、RRC时延特征包括但不仅限于从相应时延集合中提取的最小值、均值、标准差、方差、中值等特征。进一步的，第六步所述的客户端IP地址对应的RRC重传特征是指，该客户端IP地址在流量中保持时间T内无传输行为后，接收或发送的第一个数据报在TCP协议中表现的重传特征。进一步的，第七步所述的客户端IP地址对应的特征是指链路时延特征、RRC时延特征、RRC重传特征及其组合特征。为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。实施例结合图1，一种基于网络时延特征的移动蜂窝网络流量识别方法，包括以下步骤：步骤1，如图2所示，提取客户端IP地址，对于给定的一个或者多个流量文件，例如pcap文件，首先，利用工具或编写代码，先提取出所有数据报涉及的源IP地址，这里包含IPv4地址或者IPv6地址，构成一个集合，然后，利用过滤规则，从中提取出所有的客户端IP地址，这里的过滤规则是指：如果流量中包含了至少一个该IP地址发出的SYN和ACK标识位同时为1的TCP协议数据报，或者流量中包含了至少一个该IP地址发出的DNS应答报文，或者流量中没有以该IP地址为源地址的TCP协议数据包，那么标记该IP地址为非客户端IP地址，最后，在流量中集合中IP地址之间是否存在通信行为，即IP数据报源地址和目的地址是否都属于该集合，如果是，则将IP数据包源地址和目的地址所对应的IP地址也标记为非客户端IP地址，至此，集合中剩下的没有标记的IP地址即为客户端IP地址。步骤2，将网络流量依客户端IP地址进行分割重组。枚本文档来自技高网...

【技术保护点】
一种基于网络时延特征的移动蜂窝网络流量识别方法，其特征在于，所述方法包括：第一步、依据客户端IP地址在流量数据中的行为特征，筛选出流量文件涉及的客户端IP地址；第二步、依据客户端IP地址，将网络流量分割重组，把每一个客户端IP地址接收和发送的流量重新组合成独立的流量文件，与该客户端IP地址构成一一对应关系；第三步、依据TCP报文到达确认机制，定位待确认报文和确认报文，计算截获点与客户端IP地址之间传输行为的时延；第四步、根据第三步计算时延过程中所用数据报的链路负载特征，构建链路负载特征小于设定阈值时客户端IP地址对应的链路时延集合，并提取链路时延特征；第五步、根据第三步计算的时延确定客户端IP地址的RRC状态特征，构建RRC处于不同状态下客户端IP地址对应的链路时延集合，并提取RRC时延特征；第六步、依据TCP报文的超时重发机制，提取客户端IP地址对应的RRC重传特征；第七步、利用客户端IP地址对应的特征，依据接入网络类型是固网或移动蜂窝网络，对客户端IP地址进行分类识别；第八步、根据第七步得到的客户端IP地址分类，将标记为移动蜂窝网络的客户端IP地址对应的网络流量标记移动蜂窝网络流量。...

【技术特征摘要】
1.一种基于网络时延特征的移动蜂窝网络流量识别方法，其特征在于，所述方法包括：第一步、依据客户端IP地址在流量数据中的行为特征，筛选出流量文件涉及的客户端IP地址；第二步、依据客户端IP地址，将网络流量分割重组，把每一个客户端IP地址接收和发送的流量重新组合成独立的流量文件，与该客户端IP地址构成一一对应关系；第三步、依据TCP报文到达确认机制，定位待确认报文和确认报文，计算截获点与客户端IP地址之间传输行为的时延；第四步、根据第三步计算时延过程中所用数据报的链路负载特征，构建链路负载特征小于设定阈值时客户端IP地址对应的链路时延集合，并提取链路时延特征；第五步、根据第三步计算的时延确定客户端IP地址的RRC状态特征，构建RRC处于不同状态下客户端IP地址对应的链路时延集合，并提取RRC时延特征；第六步、依据TCP报文的超时重发机制，提取客户端IP地址对应的RRC重传特征；第七步、利用客户端IP地址对应的特征，依据接入网络类型是固网或移动蜂窝网络，对客户端IP地址进行分类识别；第八步、根据第七步得到的客户端IP地址分类，将标记为移动蜂窝网络的客户端IP地址对应的网络流量标记移动蜂窝网络流量。2.根据权利要求1所述的基于网络时延特征的移动蜂窝网络流量识别方法，其特征在于，第一步中筛选出的客户端IP地址同时满足下列行为特征：针对其他网络IP地址意图与客户端IP地址建立TCP连接而发出的SYN标识位为1的数据报，不予回应确认报文；针对其他地址对客户端IP地址发起的DNS查询报文，不予回应应答报文；任意两个客户端IP地址间，无数据传...

【专利技术属性】
技术研发人员：魏松杰，周紫阳，罗娜，骆茜荣，程浩，
申请(专利权)人：南京理工大学，
类型：发明
国别省市：江苏,32