Научная статья на тему 'Вивчення характеру взаємодії типу точка-точка для класифікації мережевого трафіку'

Вивчення характеру взаємодії типу точка-точка для класифікації мережевого трафіку Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
188
165
i Надоели баннеры? Вы всегда можете отключить рекламу.
i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Exploring the nature of the interaction of point-to- point to classify network traffic

We consider network traffic measurements such as P2P ( Peer to Peer) applications for the Internet. Compared three methods to classify P2Papplications: classification based port -level signatures and applications based on the analysis of the transport layer . Used by network traffic collected on the network service provider for two months. These data , which indicate the advantages of the method of analysis of the transport layer and the possibility of its application in high-speed channels network connections.

Текст научной работы на тему «Вивчення характеру взаємодії типу точка-точка для класифікації мережевого трафіку»

УДК 004.77 519.2

к. с. деев

ВИВЧЕННЯ ХАРАКТЕРУ ВЗАбМОДП ТИПУ ТОЧКА-ТОЧКА ДЛЯ КЛАСИФ1КАЦП МЕРЕЖЕВОГО ТРАФ1КУ

Розглядаються вимiри мережевого трафiка типу Р2Р (точка-точка) для застосуншв глобально! мереж1 1нтернет. Порiвнюються три методи для класифжацп P2P-додаткiв: на основi класифжацп порпв, на piBHi пiдписiв застосуншв i на основi аналiзу транспортного р!вня. Використовуеться мережевий трафщ зiбраний в мережi оператора зв'язку на протязi двох мiсяцiв. Наводяться данi, яю св!дчать про переваги методу аналiзу транспортного piвня та можливiсть його застосування на високошвидк1сних каналах мережевих з'еднань.

Вступ

Нещодавн! досл!дження в област! вивчення та вим!р!в траф!ка показали, що Р2Р застосування генерують значний 1нтернет-траф!к. Розум!ння проф!лю траф!ка 1нтернет важливо з дек!лькох причин, включаючи управл!ння його потоком, встановлення ц!ново! пол!тики доступу до мереж! та планування емност! канал!в зв'язку м!ж провайдерами послуг. Интернет-потоки можуть неправильно керуватись, якщо вони не вим!рян! точно та не класиф!ко-ван!.

Вим!рювання Р2Р траф!ка особливо важливо для 1нтернет серв!с-провайдер!в (ISP) з дек!лькох причин. По-перше, б!льш!сть застосувань вид!ляються своею агресивною повед-!нкою щодо вимог до полоси пропускання. Надм!рне перевантаження мереж! може спричи-нити невдоволен!сть користувач!в й можливий подальший !х в!дток. По-друге, зб!льшення пропускно! спроможност! канал!в передач! даних не завжди е можливим в короткостроков!й перспектива Застосування в подальшому можуть заволод!ти щойно наданою додатковою пропускною спроможн!стю, призв!вши знову до перевантаження мережа По-трете, деяк! технолог!! доступу до мереж! 1нтернет, зокрема, по бездротов!й технолог!! мають асимет-р!ю канал!в завантаження та в!дправки даних, тож необх!дно контролювати двосторонн!й обм!н, зважаючи на наявн!сть сес!й в!д користувач!в. Припущення, що користувач 1нтерне-ту завжди завантажуе б!льше !нформац!!, н!ж передае, справедливе лише для WEB. Для P2P мереж може статися так, що обсяг в!дправлених даних буде таким же, як i прийнятих. Якщо основним видом взаемод!! в сучасних мережах стане Р2Р обм!н, то припущення щодо асиметричност! каналу зв'язку може стати хибним. ISP можуть формувати правила управ-л!ння траф!ком, опираючись на розум!ння Р2Р траф!ка.

При розрахунках можуть бути використан! р!зн! методи диференц!ювання способ!в оплати. 1ншим тдходом може буди використання серв!с-провайдером кеш-сервер!в для збере-ження пропускно! здатност! основних канал!в. Для проведення оц!нок щодо вибору т!е! чи !ншо! модел! класиф!кац!! траф!ка стае необх!дним винайдення метод!в детектування Р2Р взаемодп. Однак !снуе ще одна важлива проблема, яка стосуеться розповсюдження контенту, захищеного авторськими правами, - такий тип взаемодп не тдпадае п!д можлив!сть збереження на сторон! провайдера та його в!двантаження користувачам на загальних засадах. 1дентиф!кац!я Р2Р траф!ка сучасно! меpеж! 1нтернет е проблемою, оск!льки застосування розвиваються швидкими темпами. Багато застосувань намагаються приховувати свое !снування в мереж, використовуючи динам!чн! номери порт!в, р!зну к!льк!сть транспортних з'еднань, ланцюжковий обмш файлами, маскування п!д НТТР траф!к та шифрування навантаження. Цей документ приводить огляд р!зних метод!в класиф!кац!! траф!ка та анал!з !х ефективност! на основ! розповсюджених тип!в траф!ка.

Анал!з на основ! добре в!домих номер!в порт!в, як! визначаються !нститутом IANA (Internet Assigned Numbers Authority), не тдходить для Р2Р застосувань внасл!док використання динам!чного д!апазону порт!в. Особлив!стю дано! роботи е застосування масива траф!ку за досить довгий пер!од часу для тдтвердження ефективност! використаного методу класиф!кац!!. Результати показали, що використання класиф!кац!! за номером порту е неефективним для класиф!кац!! Р2Р траф!ка: 40-70% 1нтернет-траф!ка класиф!куеться як

невщомий. Модифшований метод транспортного аналiзу був також розглянутий та пере-вiрений. Висновки показали, що його практичнють щодо видiлення Р2Р взаемодп застосу-вань знаходиться на достатньому для точно! ощнки рiвнi. В даному дослщженш описуеться пiдrрунтя взаемодп Р2Р застосувань та короткий огляд виконано! роботи.

1. Постановка проблеми

P2P додатки розвиваються дуже швидкими темпами. Протягом декшькох рокiв P2P додатки еволющонували вiд першого до третього поколшня. Однiею з причин швидкого розвитку цих додаткiв було бажання уникнути 1'х виявлення.

Дослiдження розглядаються на рiвнi пакетiв, зiбраних на транспортному каналi одного з провайдерiв послуг 1нтернет. Перший вiдбиток мютить 44 байти кожного пакета TCP, що мютить 0 або 4 байти корисного навантаження, в той час як решта мютять 16 байт корисного навантаження для кожного пакета. Аналiз пакета транспортного рiвня спираеть-ся передусiм на два основних тдхода евристики. Перший шдхщ iдентифiкуе джерело призначення IP заголовка, яке одночасно використовують протоколи TCP i UDP. Якщо такi пари IP юнують i вони не використовують конкретш добре вiдомi порти, то щ потоки вважаються P2P. Другий пiдхiд евристичного аналiзу вважае, що юнуе структурна модель транспортного шару з'еднань мiж хостами. Зокрема, для P2P додатюв число рiзних портiв, пiдключених до хост-системи, часто збтаеться з числом рiзних вузлiв IP, пiдключених до нього.

2. Огляд методiв класифнкацп

Перше поколшня [1] P2P систем складалося з централiзованоl системи, тако! як Napster. Централiзований сервер був використаний для збертання iндексних файлiв, що дозволяло досить легко його вщстежувати та давало можливють заблокувати сервер. Крiм того, P2P додатки використовували вiдомi порти для передачi даних, так що це було легко для операторiв мереж, яю користувались цим для визначення P2P трафша i, як результат, блокували вiдповiднi порти, щоб перешкодити P2P взаемодп.

Друге поколшня [2] P2P системи включае в себе протоколи, таю як Gnutella [4]. Gnutella була повнютю розподшеною системою, де були розповсюджеш запити до сусщв. Додатки використовували динамiчно встановленi порти для передачi даних, що утрудняло класифь кацiю трафiка P2P.

Трете поколшня [1] P2P систем е досить складним. Це пбридш системи, яю об'еднують ще! вiд централiзованих i розподiлених систем. 1снують супер-нод, яю мають бiльшу обчислювальну здатнiсть, шж iншi партнери взаемодп, i несуть вщповщальнють за обробку iндексних файлiв для користувачiв. Вони часто передають даш, використовуючи випадково вибранi порти. Iнодi вони маскують 1'х, використовуючи порти шших вiдомих додаткiв. Крiм того, один великий файл можна завантажити одночасно в дрiбних шматках з декшькох шших мюць. Крiм того, декiлька протоколiв, наприклад FastTrack, почали шифрування на прикладному рiвнi даних в пакетах. Цi методи роблять важчим виявлення P2P трафша. В робот [7] розроблено шдхщ для знаходження P2P-трафiка шляхом застосування методу тдпиив. Вивчено наявнi описи та на рiвнi пакетiв вщслщковано виявлення додаткiв за допомогою цих пщпишв, а потiм використано 1'х для розробки фiльтрiв, якi можуть вщстежу-вати трафiк P2P на високошвидкюних мережевих з'еднаннях. 1х дослщження аналiзуе 1Р пакети у фазi завантаження та передачi файлiв. Вони розкладають P2P тдписи в основний шаблон, що вщповщае фiксованому зсуву в межах корисного навантаження TCP [7]. В дослщженнях для експеримента використовувалися два пакети з мережi з рiзних точок спостереження. Перший вщбиток пакетiв було зiбрано при достут до мережi протягом двох дшв. Другий експеримент був виконаний на високошвидкому з'еднанш з 500 користу-вачами мережi 1нтернет. Використовуючи перший вщбиток, вдалось класифшувати та заблокувати Р2Р взаемодда. Автори ощнювали точнiсть i масштабованiсть технiки на рiвнi пiдпису додаткiв. Точнiсть була ощнена шляхом визначення числа помилкових спрацьову-вань i залишання трафша некласифiкованим. Помилковi спрацьовування визначали об'ем трафшу що класифiкатор помилково щентифшував як P2P. Обсяг некласифiкованих даних вимiряли як кiлькiсть P2P трафша, який класифiкатор не змiг визначити як P2P додаток, знаючи, що це саме вш. Результати показують, що запропонована техшка мае менше 5%

помилкових спрацьовувань, що техшка залишаеться точною бшьшу частину часу. Важли-вою особливiстю е те, що техшка е масштабованою залежно вiд кшькосл пакетiв, якi перевiряються.

В дослщженш [8] запропонована методика визначення додатюв за допомогою автома-тичних тдпишв з використанням навчальних алгоритмiв. Частота помилок показала, що вщносна похибка може складати не бшьше 1%.

Новий тдхщ до визначення P2P потоюв на транспортному рiвнi (наприклад, на основi шаблонiв з'еднання), не покладаючись на пакет корисного навантаження, описано у [5].

3. Структура набору перехоплених даних

Основний набiр даних, використовуваних в дослщженш, приходить вщ пасивного мере-жевого трафша провайдера 1нтернет послуг мережi мобтьного зв'язку. Збiр даних був органзований за допомогою вiдображення трафiка з агрегацшного порту доступу головного маршрутизатора компани CDMA Украïна. Станцш мониторингу була пiдключена до порту 1 GigabitEthernet. Апаратне забезпечення станцiï монггорингу складаеться з двох процесорiв сервера Dell (2,4 ГГц процесор Pentium IV) з 4 Гб оперативноï пам'ят i масиву 73 Гб SCSI дискш в RAIDI. Схема подключения зображена на рис. 1.

Рис. 1. Схема комплексу перехоплення даних Для збору статистики використовувалася UNIX-утилиз tcpdump [2] для даних IP па-кеив. В файл журналу записувалися заголовки всх TCP / IP пакепв з SYN, FIN, RST або прапорами. Ц заголовки записувалися в файл, який кожну годину арх^вувався, та починався запис до нового файлу, створюючи таким чином 24 файли за кожен день мониторингу. Ц файли потiм було проаналiзовано за допомогою iнструментiв аналiзу. Програму пiдрахунку статистичних даних оцiнок методiв класифiкацiï було виконано мовою С. Осктьки аналiз файлiв заголовкiв проводився тсля ïх архiвування та не вимагав високоï швидкостi, утилiта реалiзована без застосування багатопотоковостi.

Запис ттьки TCP SYN, FIN, RST пакеив е добре вiдомим способом i обгрунтовуеться так. По-перше, TCP - домшуючий протокол транспортного рiвня в мережi 1нтернет для бiльшостi часу. Спираючись на дослiдження бачимо, що бшьше 70% 1нтернет трафiку [3] тдпадае пiд це твердження. По-друге, цей метод значно зменшуе вимоги до збертання файлiв журналiв, що дозволяе проводити довгостроковi дослiдження трафша, i в той же час

Рис. 2. Обсяги мережевого трафжа

Сукупш обсяги мережевого трафша за один тиждень представленi на рис. 2. Щцрахунок обсягу трафiка визначаеться з аналiзу прапорцiв TCP на piBHi протоколу шляхом початку з'еднання (SYN) та порядковими номерами до припинення передачi (FIN). З кiлькостi даних може бути визначена середня швидюсть передача

Рис. 3. Усередненi значення трафiка На рис. 3 показано мережеву активнють для типового дня у 24-годинному перюдь Вхщний i вихiдний трафши нанесено окремо. Кожна точка являе собою середню швидкють передач! даних для 5-хвилинного штервалу. Горизонтальна вiсь показуе кiлькiсть годин, починаючи з твноч! (0 год.). 1нструментом для аналiзу на основ! номера порту була утилгга, розроблена на мов! програмування C. Програма перебирае вс пакети по черзi i створюе !х масив у таблищ. Для кожного пакета загальна кшьюсть !х збiльшуеться на 1, а загальна кшьюсть байт - на довжину IP пакета. У заголовку IP розглядаеться номер протоколу; якщо його номер дорiвнюе 6 (TCP), то розглядаеться TCP заголовок пакета. З TCP заголовка витягуеться номер порпв, i пакет вщповщно класифшуеться. Вщом! TCP порти жорстко задаш в шструмент аналiзу i заснованi на номерах порта, визначених на веб-сайт IANA.

10 «йр

7 Пяшр

б ■ "i,rr;ii

5 BrasHil-s л щ l Li." [1

Р-Р

3 «!itip(-,]

2 L ...:'.■.

1 ■ UfiïnoVH

Рис. 4. Типи траф1ка

Жирною чорною лiнiею на рис. 4 показано «невщомЬ> типи трафша: трафiк, який не може бути класифшований в будь-якому вщомому додатку на основ! аналiзу порта. Невщомий трафiк складае значну частину вщ загального об'ему трафiка, тож можна зробити висновок, що класифшащя на основ! номера порту не дозволяе визначити переважну бшьшють Р2Р застосувань. Слщ зазначити, що його рют припадае на вихщш дш, тому можна вважати, що вш не мае вщношення до робочого процесу користувач!в.

На рис. 5 показан! результати класифшацп по номерах порта для одного тижня, розра-хунки виконаш з охопленням всього штервалу дослщження. Горизонтальна вюь графша представляе час, а по вертикальнш ос! вщображено вщсоток потоюв TCP для деяких популярних додатюв, таких як веб, електронна пошта i Р2Р. Кожна точка являе щоденне середне вщ 24 файл!в журнал!в трасування.

Рис. 5. Класифшащя потошв даних мереж1

Вщомим мережевим додатком на рис. 5 е НТТР. Його захищений аналог теж не вщстае, графш показуе, що в середньому пота НТТР та HTTPS трафша коливався м1ж 35-55% вщ загального обсягу трафша. Це домшуючий тип трафша для сучасних мобшьних мереж.

4. Методи визначення характерних пщпиав застосун^в

Розглянемо метод класифшацп на основ! тдпису на р1вн1 застосунюв та вказуються його недолги в пор!внянш з методом анал1зу транспортного р1вня. Цей тдхщ може бути викори-станий для створення шструмента для класифшацп трафша шшими методами. Окрем1 б1тов1 поля та ланцюжки з повним корисним навантаженням пакета використовуються для тестування i перев1рки тдпису. На р!вш додатюв сигнатурний метод вимагае доступу до корисного навантаження даних користувача у переданих 1Р пакетах.

Кожен P2P додаток мае конкретш характеристики тдпису, особливi тшьки для нього, яю пов'язанi з протоколом з точки зору ключових ^в, команд, параметрiв та шших щентифшо-ваних обмiнiв пакетами. Щдписи можуть бути визначенi на основi спостережень вiдомих P2P додаткiв. Схема аналiзу передбачае пошук зазначеного рядка в корисному наванта-женнi пакета, якщо вiн знайдений, пакет вщповщно класифiкуеться. У данiй роботi сигнатурний метод був реалiзований для трьох додатюв P2P протоколiв спшьного використання файлiв: Gnutella, Skype i BitTorrent. Запропоноване рiшення описане в роботах по евристищ [8]. У цьому методi розглянемо доступнi описи та на рiвнi 1Р пакета визначимо належт пiдписи додаткiв, а полм використаемо цi пiдписи для класифшацп пакетiв. G два важливих питання, пов'язаних з дизайном ршення для використання його для тдпису. По-перше, P2P трафш може проходити через UDP i TCP, тому необхщно вирiшити, чи будуть TCP пакети або UDP пакети (або обидва) тддаватися аналiзу корисного навантаження. Оскшьки бiльшiсть поточних протоколiв P2P передають сво! данi через TCP, ми орiентуемося тiльки на тдписи, визнанi для трафiка TCP. По-друге, P2P тдписи на рiвнi додатюв можуть бути застосованi до окремих TCP пакета (сегмента) або до повтстю зiбраних TCP потокiв даних. Аналiз на рiвнi TCP потоку даних е бшьш надiйним, його превага в тому, що вш може виявити тдписи, розташоват вздовж потоку пакета. Крiм того, вщношення вiдповiдностi необхiдно виконати тiльки один раз в момент активацп сесп, а не кожного разу, коли передаеться пакет, зменшуючи накладнi витрати при аналiзi. Ми виконуемо форму аналiзу на основi потоку, тому TCP сегменти мають бути зiбранi в потоки даних, перш тж бути проаналiзованi. Отже, ми застосовуемо тдпис TCP даних потокiв, а не окремих сегмента TCP, на вщмшу вщ методу описаного в [8].

Метою методу тдпиив застосунюв е бажання встановити вщповщтсть для P2P класи-фiкацii трафша. Класифiкацiя результатiв, якi узгоджуються (або е дуже близькими) з результатом, визначаеться з ручного аналiзу пакета для наперед визначеного списку потоюв додатюв. Тестування i перевiрка методом тдпиив була зроблена з використанням окремого масиву даних перехоплених пакета, яю мiстили корисне навантаження. Тестування проводилося для протоколу BitTorrent, пота даних якого був створений синтетично та з вщомих IP-адрес. Щд створеним синтетично маеться на увазi завчасно вщомий зi 100%

iMOBipmciTO потш даних, який однозначно юнував мiж вiдомими IP-адресами, тобто це просто ктенти, якi в даний момент використовували ПЗ BitTorrent.

В робот Каpагiанicа[4] запропоновано новий метод визначення P2P трафша, заснований на транспортному piвнi з'еднання. Метод не вимагае корисного навантаження для аналiзу, який вiдбуваетьcя на ocнoвi потоку з opiентацiею на процес з'еднання мoделi P2P дoдаткiв. Хоча P2P з'еднання можуть використовувати випадкoвi порти або шифрування даних на piвнi дoдаткiв, лoгiка пiдключення на транспортному piвнi залишаеться такою ж. Метод аналiзу транспортного piвня грунтуеться на двох евристичних тдходах для P2P щентифь кацп тpафiка. Цi тдходи е ефективними у вимipюваннi сукупного P2P тpафiка i вони можуть навггь виявляти нoвi типи P2P додатюв [9]. Перший включае в себе евристичш припущення одночасного використання пpoтoкoлiв TCP i UDP парою взаемоддачих вузлiв. Якщо пара вузлiв використовуе протоколи TCP i UDP одночасно, то, швидше за все, трафш !х oбмiну мае характер P2P. UDP протокол е поширеним в P2P системах, осюльки вiн вимагае менше витрат у cпocoбi вщправки запитiв або статусних пoвiдoмлень багатьом отримувачам. С деяю програми, таю як онлайн^гри, DNS i NFS сервюи, якi демонструють пoдiбну поведш-ку, але це вiдoмий трафш, який можна видалити з розгляду, використовуючи контрольний пеpелiк для вщомих пopтiв. Друга евристика заснована на зв'язку шаблошв {IP, порт} пар.

Це пояснюеться тим, що кожне застосування P2P визначае свш динамiчний номер порту випадковим шляхом, дуже малoймoвipнo для декiлькoх хocтiв P2P використовувати той же номер порту. Виражаючись шшими словами, для P2P додатюв на данiй машинi число piзних пopтiв вiдпoвiдае зв'язку, piзних набopiв адрес IP cпiлкування.

Незважаючи на те, що метод аналiзу на транспортному piвнi виглядае багатообщяючим, icнуе декiлька обмежень та застережень, необхщно мати на увазi. Одним з обмежень е те, що при маскуванш портв аcoцiацiя не може бути виявлена. Метод аналiзу транспортного piвня використовуе пеpелiк стандартних портв для фшьтрацп вiдoмих титв тpафiка. Якщо тpафiк P2P займае порт, який призначений piзним додаткам (наприклад, SMTP на порт 25), щ потоки не можуть бути класифшоваш як P2P. Друге обмеження полягае в тому, що пара IP порт для евристичного аналiзу е неефективною у тpивiальнoму випадку, коли IP хоста зв'язку з шшим хостом вщбуваеться на один порт. Багато мережевих додатюв P2P i не тшьки вони притримуються ще! мoделi на piвнi з'еднань. Iншi методи евристики можуть знадобитися для видалення помилкових негативних спрацювань.

Слiд зазначити, що P2P додатки продовжують розвиватися. Запропонований метод аналiзу транспортного piвня був ефективним у недавньому минулому i може бути ефектив-ним cьoгoднi, однак не можна гарантувати його ефективнють для наступних поколшь P2P дoдаткiв. Можуть знадобитися iншi методи класифшацп трафша. Наприклад, на початку роботи Сену та Ермана[5] метод аналiзу на ocнoвi клаcтеpiв виглядае багатooбiцяючим.

Висновки

Описано класифшащю тpафiка взаемодп Peer-to-Peer (P2P) дoдаткiв. Точне визначення P2P трафша е бажаним з деюлькох причин, в тому чиcлi i для захoдiв планування пропускно! здатносп меpежi. Кiлькicть P2P дoдаткiв у меpежi 1нтернет розвиваеться дуже швидко, що робить завдання щентифшаци P2P трафша складним процесом. Пopiвнянo три методи для класифшацп P2P застосувань: на ocнoвi аналiзу пopтiв, на piвнi пiдпиciв заcтocункiв i на ocнoвi аналiзу транспортного piвня з використанням евристичних пiдхoдiв. У дослщженш застосовувався тpафiк реально! меpежi 1нтернет який збирався протягом двох мюящв. Результати показали, що клаcичнi методи аналiзу на ocнoвi нoмеpiв портв е неефективни-ми. За останш декiлька poкiв частка «невщомого» трафша збiльшилаcя з 10-30% до майже 60%. Цей результат дае мотиващю для розвитку шших метoдiв класифшацп тpафiка P2P. У той час як метод пеpевipки на piвнi пiдпиciв заcтocункiв е тoчнiшим, ця техшка вимагае розгляду корисного навантаження користувача, що е не завжди можливо. Кpiм того, шифрування може бути неефективним для методу аналiзу на ocнoвi пiдпиcу заcтocункiв.

Евристика на транспортному piвнi представляе новий метод, який класифшуе тpафiк P2P на ocнoвi piвня моделей з'еднань(метод аналiзу транспортного piвня). Результати показу-ють, що метод аналiзу транспортного piвня може надати корисну шформащю про cукупнi обсяги P2P трафша. Оcкiльки P2P додатки продовжують розвиватися, нoвi тpуднoщi будуть виникати для задач класифшацп P2P тpафiка. Так, традицшш методи на ocнoвi

аналiзу порта у даний час застарши i класифiкацiя на piBHi тдпиив застосунюв не завжди е можливою, тому метод аналiзy транспортного piBM е одним з найбiльш доступних пiдходiв до класифшацп P2P трафша. Швидше за все, навiть кращi методи будуть необхiднi в найближчому майбутньому. В рамках проведення дослщження було встановлено можливi шляхи покращення алгоритму роботи програми класифiкатора, таю як створення додатко-вих потоюв, що теоретично пiдвищить його швидкодда та дозволить проводити аналiз трафша в режимi реального часу.

Список лггератури: 1. GummadiK., DunnR., Saroiu S., Gribble S., LevyH. andZahorjan J. Measurement, Modeling, and Analysis of a Peer-to-Peer File Sharing Workload, Proceedings of the 10th ACM Symposium on Operating Systems Principles (SOSP-10) 2007. NY, USA, October 2007.Р. 314-310. 2. HaffnerP., Sen S, Spatscheck O., and Wang D. ACAS: Automated Construction of Application Signatures, aCm SIGCOMM Workshop on Network Data (MineNet 2005). Philadelphia, PA, USA, August, 2005.Р. 107-202. 3. Internet Assigned Numbers Authority, TCP/UDP Port Numbers. http://www.iana.org/assignments/port-numbers, 2005. 4. Karagiannis T., BroidoA., FaloutsosM., and KlaffyK. Transport Layer Identification ofP2P Traffic, Proceedings of the 4th ACM SIGCOMM Conference on Internet Measurement (IMC 2010). Italy, October 2010. Р. 121-134. 5. Sen S., Spatscheck O. and WangD. Accurate, Scalable In-Network Identification ofP2P Traffic using Application Signatures, Proceedings of the 13 th International World Wide Web Conference. NY, USA, May 2011. Р. 512-521. 6. Chan M. C. , Ramjee R. Improving TCP/IP Performance, IEEE INFOCOM, 2004. 7. LudwigR. and KatzR. H. The Eifel Algorithm: Making TCP Robust Against Spurious Retransmissions, ACM Computer, no. 1. January 2000. Р 30-36. 8. LudwigR. and MeyerM. The Eifel Detection Algorithm for TCP, IETF RFC3522, 2003. 9. Matthew Gast I. IP Networks: The Definitive Guide, Second Edition//O'Reilly Media; 2 edition. 2007. P. 297 - 302.

Надшшла до редколегИ 12.06.2013 Деев Костянтин Сергшович, iнженер МТС Украша, астрант радiофiзичного факультету Ктвського нащонального ушверсигету iм. Тараса Шевченка. Адреса: Украша, Кт'в, просп. Перемоги, 49/2, E-mail: [email protected].

i Надоели баннеры? Вы всегда можете отключить рекламу.