摘  要： 分析了幾類主要的P2P業(yè)務(wù)識(shí)別方法，重點(diǎn)分析了基于流的內(nèi)在特征的各種識(shí)別方法，并對(duì)其優(yōu)缺點(diǎn)作出評(píng)價(jià)，指出了P2P識(shí)別技術(shù)進(jìn)一步的發(fā)展方向。
關(guān)鍵詞： P2P；識(shí)別技術(shù)；網(wǎng)絡(luò)流的內(nèi)在特征

　　當(dāng)前P2P業(yè)務(wù)已占到網(wǎng)絡(luò)業(yè)務(wù)的60%~70%，成為網(wǎng)絡(luò)帶寬主要的使用者，而且P2P應(yīng)用呈現(xiàn)快速增長的趨勢(shì)。P2P的飛速發(fā)展，一方面給用戶帶來方便，提供了多種類的業(yè)務(wù)，但另一方面也帶來了許多負(fù)面的問題。如：P2P文件共享過程中的版權(quán)問題；應(yīng)用中大量占用網(wǎng)絡(luò)帶寬的問題；流量模式對(duì)傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)帶來的挑戰(zhàn)等。因此，如何有效地識(shí)別P2P業(yè)務(wù)并進(jìn)一步對(duì)其進(jìn)行管理，對(duì)互聯(lián)網(wǎng)業(yè)務(wù)提供者或運(yùn)營商(ISP)及企業(yè)用戶等已成為迫切需要解決的問題。
　　P2P(Peer-to-Peer)即點(diǎn)對(duì)點(diǎn)技術(shù)。該技術(shù)與傳統(tǒng)網(wǎng)絡(luò)技術(shù)顯著的不同點(diǎn)在于其結(jié)構(gòu)模式的不同。傳統(tǒng)技術(shù)采用客戶機(jī)/服務(wù)器(C/S)結(jié)構(gòu)，而P2P從總體上來說是一種分布式網(wǎng)絡(luò)模型。C/S模式中，1臺(tái)計(jì)算機(jī)想獲取服務(wù)，需向存儲(chǔ)大量數(shù)據(jù)的服務(wù)器提出請(qǐng)求才能獲得服務(wù)，這種模式存在著明顯的主從關(guān)系，當(dāng)服務(wù)器過載時(shí)，服務(wù)器就變成了網(wǎng)絡(luò)中的瓶頸。而在P2P中，成千上萬臺(tái)彼此連接的計(jì)算機(jī)都處于對(duì)等地位，整個(gè)網(wǎng)絡(luò)一般不依賴于專用中央服務(wù)器， 每個(gè)結(jié)點(diǎn)既是資源提供者(Server)，又是資源獲取者(Client)[1]。正是這種結(jié)構(gòu)促使P2P業(yè)務(wù)能充分利用各臺(tái)主機(jī)的資源，包括帶寬、存儲(chǔ)空間和計(jì)算能力而得到了快速發(fā)展。
　　目前P2P的應(yīng)用主要有如下幾個(gè)方面[2]：文件共享類、視頻點(diǎn)播類和即時(shí)通信類等。文件共享類包括迅雷，BT、電驢等，視頻點(diǎn)播類包括PPlive等，即時(shí)通信類包括QQ、MSN、SKYPE等。此外，P2P還應(yīng)用于分布式計(jì)算、協(xié)同工作等領(lǐng)域。
　　P2P業(yè)務(wù)在給網(wǎng)絡(luò)用戶帶來便利的同時(shí)也產(chǎn)生了一些問題。據(jù)估計(jì)，在現(xiàn)今互聯(lián)網(wǎng)帶寬中，P2P業(yè)務(wù)已占據(jù)大部分，且P2P用戶經(jīng)常是長時(shí)間占用帶寬。因?yàn)榇罅空加脦?，從而影響了用戶正常的網(wǎng)絡(luò)使用業(yè)務(wù)，如瀏覽網(wǎng)頁、收發(fā)郵件等。同時(shí)還帶來了一些其他的問題，如安全、版權(quán)問題等，同時(shí)P2P的結(jié)構(gòu)模式對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃也帶來影響。因此，就需要對(duì)P2P業(yè)務(wù)進(jìn)行有效的管理，而識(shí)別P2P業(yè)務(wù)是進(jìn)行管理的前提。
1 早期P2P業(yè)務(wù)識(shí)別技術(shù)
1.1 端口法
　　最早出現(xiàn)的P2P業(yè)務(wù)具有固定的默認(rèn)端口，因此用端口識(shí)別法能很容易地將P2P業(yè)務(wù)識(shí)別出來，但不能適應(yīng)業(yè)務(wù)發(fā)展的要求，準(zhǔn)確率也低。
1.2 簽名匹配法[3]
　　這種方法的出發(fā)點(diǎn)是在P2P的各種協(xié)議中具有特定的報(bào)文信息，可根據(jù)這些特定的報(bào)文信息來識(shí)別每種具體的P2P應(yīng)用。其識(shí)別準(zhǔn)確率高，尤其是能識(shí)別具體的應(yīng)用。但只能對(duì)已有的業(yè)務(wù)進(jìn)行識(shí)別，對(duì)加密的業(yè)務(wù)不能識(shí)別，會(huì)涉及到隱私問題，效率不高。
　　以上2種識(shí)別方法對(duì)新業(yè)務(wù)的適應(yīng)性都不是很好，若能提取P2P業(yè)務(wù)內(nèi)在的固有的特征，則有可能從根本上解決問題，這也是目前研究的方向。
2 基于各種內(nèi)在特征的P2P業(yè)務(wù)識(shí)別方法
2.1 利用傳輸層信息
　　傳輸層連接模式特征識(shí)別法[4]是基于P2P網(wǎng)絡(luò)的連接模式，而不是基于分組內(nèi)容。因此，不依賴于P2P協(xié)議具體的數(shù)據(jù)內(nèi)容就能進(jìn)行識(shí)別，而且也能識(shí)別出以前未知的P2P協(xié)議。此法只統(tǒng)計(jì)用戶分組的首部信息，即源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口，這是因?yàn)镻2P業(yè)務(wù)所用的傳輸協(xié)議及其連接的{IP，Port}對(duì)其獨(dú)有的、有別于其他業(yè)務(wù)的特征可以來識(shí)別P2P業(yè)務(wù)。以此為基礎(chǔ)，Thomas Karagiannis等人給出了如下兩種啟發(fā)式方法：
　　(1)TCP/UDP混用
　　識(shí)別出那些同時(shí)使用TCP和UDP進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用。P2P節(jié)點(diǎn)一般在初始連接階段采用UDP來發(fā)送控制信息，而采用TCP來傳輸數(shù)據(jù)。通常的應(yīng)用極少同時(shí)使用UDP和TCP。因此，可以利用這個(gè)特征來識(shí)別P2P流。研究表明，大約2/3的P2P協(xié)議同時(shí)使用TCP和UDP協(xié)議，而其他應(yīng)用中，同時(shí)使用2種協(xié)議的只有NetBIOS、游戲、視頻等少量應(yīng)用，而這些應(yīng)用通常有固定的使用端口，因此能很容易將其區(qū)分出來。如果某個(gè)應(yīng)用同時(shí)使用TCP和UDP作為傳輸協(xié)議，那么可以認(rèn)為這個(gè)應(yīng)用很有可能就是P2P應(yīng)用。
    　(2){IP，Port}對(duì)的連接模式
    　P2P網(wǎng)絡(luò)是分布式或混合式的，根據(jù)不同的網(wǎng)絡(luò)，P2P節(jié)點(diǎn)可能會(huì)存儲(chǔ)網(wǎng)絡(luò)中其他節(jié)點(diǎn)、服務(wù)器或超級(jí)節(jié)點(diǎn)的IP地址。這一方法的基本依據(jù)是：在混合式P2P 結(jié)構(gòu)中，存在著超級(jí)節(jié)點(diǎn)，這種節(jié)點(diǎn)存儲(chǔ)了其所在組內(nèi)的其他節(jié)點(diǎn)的信息，既防止了組內(nèi)某網(wǎng)絡(luò)節(jié)點(diǎn)突然斷開時(shí)造成的信息丟失，也方便了新的節(jié)點(diǎn)的加入。當(dāng)1個(gè)新的主機(jī)A加入P2P系統(tǒng)后，它將通知超級(jí)節(jié)點(diǎn)其IP地址以及接受連接的端口號(hào)Port。超級(jí)節(jié)點(diǎn)查詢緩存中滿足A請(qǐng)求的節(jié)點(diǎn)，并將滿足條件的節(jié)點(diǎn)信息返回給A節(jié)點(diǎn)，A節(jié)點(diǎn)收到返回的信息后將直接與滿足條件的節(jié)點(diǎn)建立連接、傳送數(shù)據(jù)。這樣，對(duì)端口Port而言，與其建立連接的IP地址數(shù)目就等于與其建立連接的不同端口數(shù)目(因?yàn)椴煌鳈C(jī)選擇同一端口與主機(jī)A建立連接的可能性是很低的，完全可以忽略不計(jì))。而其他一些應(yīng)用如Web，1個(gè)主機(jī)通常使用多個(gè)端口并行接收對(duì)象，這樣建立連接的IP地址數(shù)目將遠(yuǎn)小于端口數(shù)目。但是另外一些應(yīng)用，如MAIL、DNS等，也具有類似的屬性，因此，使用這種方法在實(shí)際識(shí)別過程中需要將它們區(qū)分出來。
2.2 根據(jù)P2P流統(tǒng)計(jì)特征
2.2.1基于連接流量特征的識(shí)別方法[5]
   　 此方法的出發(fā)點(diǎn)是在P2P網(wǎng)絡(luò)中節(jié)點(diǎn)既可作為客戶機(jī)也可作為服務(wù)器，即既能接受其他節(jié)點(diǎn)的服務(wù)也能向其他節(jié)點(diǎn)提供服務(wù)，以此過程中表現(xiàn)出的特征作為識(shí)別的依據(jù)。本文給出了2個(gè)啟發(fā)式算法：
   　 (1)連出連接數(shù)與連入連接數(shù)之比。參與P2P的節(jié)點(diǎn)既有大量的連入連接也有大量的連出連接，而非P2P節(jié)點(diǎn)要么有大量的連出連接，要么有大量連入連接，它們的出入連接必定是不平衡的。因此，統(tǒng)計(jì)在某段時(shí)間內(nèi)某節(jié)點(diǎn)連入連接與連出連接之比，并與使用傳統(tǒng)網(wǎng)絡(luò)應(yīng)用的主機(jī)的經(jīng)驗(yàn)觀測(cè)值作比較，就可以判斷此節(jié)點(diǎn)是否參與P2P。
    　(2)上行流量與下行流量之比。P2P節(jié)點(diǎn)不僅從其他節(jié)點(diǎn)處獲得數(shù)據(jù)，同時(shí)也為其他節(jié)點(diǎn)提供數(shù)據(jù)，因此，它的節(jié)點(diǎn)流量更多體現(xiàn)為上行下行基本對(duì)稱的特點(diǎn)，而且對(duì)于2個(gè)節(jié)點(diǎn)A、B之間建立的同一個(gè)連接，可能A既在下載B的數(shù)據(jù)，也在給B上傳數(shù)據(jù)。在整個(gè)過程中，每個(gè)節(jié)點(diǎn)的上行流量與下行流量都是大體對(duì)稱的。而對(duì)于傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用，如HTTP等，一般都是客戶發(fā)送1個(gè)請(qǐng)求(幾千字節(jié)到幾百萬字節(jié))，然后服務(wù)器返回客戶機(jī)所需要的數(shù)據(jù)(幾千字節(jié)Kb、幾兆字節(jié)或更多)。在這種網(wǎng)絡(luò)結(jié)構(gòu)中，上行流量與下行流量是不平衡的。但是一些服務(wù)器主機(jī)，如FTP服務(wù)器，同時(shí)提供用戶的上傳與下載，其流量特征與P2P主機(jī)類似，因而要依據(jù)端口將這些特殊的服務(wù)器排除。該方法實(shí)現(xiàn)簡單，只是不同的閾值選取識(shí)別結(jié)果不同，需根據(jù)具體情況選取。
2.2.2 根據(jù)P2P流的內(nèi)在統(tǒng)計(jì)特征進(jìn)行識(shí)別的方法
　　流量模式識(shí)別法，這是在Caspian路由器中實(shí)現(xiàn)的一種功能。該路由器記錄經(jīng)過它的每條流的信息，因此可以實(shí)現(xiàn)基于流的流量識(shí)別和控制功能，以一種新的方式對(duì)P2P流量進(jìn)行識(shí)別和控制。幾種常見IP服務(wù)的流量特征如表1所示。

    　由表1可以看出，P2P應(yīng)用的特點(diǎn)是持續(xù)時(shí)間長、平均速率較高以及總的傳輸字節(jié)數(shù)高。這與文件傳輸如FTP 等應(yīng)用有些類似。但是該類應(yīng)用可以很方便地通過端口號(hào)識(shí)別出來，而且由于這些應(yīng)用與用戶的交互性不如Web、視頻等應(yīng)用高，因此，出現(xiàn)一定的誤判對(duì)它們的流量限制不會(huì)造成大的問題。另外，根據(jù)流所包含的字節(jié)數(shù)，可以很容易將普通Web流量同P2P文件共享流量區(qū)分開。
　　通過分析不同應(yīng)用的流量模式，可以實(shí)現(xiàn)識(shí)別P2P流量的目的。而且這一方法不需要對(duì)分組內(nèi)部用戶數(shù)據(jù)進(jìn)行檢查，因此不受數(shù)據(jù)是否加密的限制，擴(kuò)大了其適用范圍。
　　除了流量模式特征外，P2P業(yè)務(wù)一些其他的內(nèi)在特征，如持續(xù)時(shí)間、分組數(shù)量、平均到達(dá)間隔時(shí)間[6-7]等，也可以作為識(shí)別的依據(jù)，同時(shí)也可對(duì)這些特征進(jìn)行分析，進(jìn)一步提取新的特征[8]。參考文獻(xiàn)[8]提出了1個(gè)新的參數(shù)：分組大小變換頻率。在這些特征的基礎(chǔ)上可應(yīng)用各種機(jī)器學(xué)習(xí)(ML)算法等對(duì)P2P業(yè)務(wù)進(jìn)行識(shí)別[9-12]，算法識(shí)別的精確性很高，其中C4.5識(shí)別的精確性可達(dá)99 %以上，但算法的選擇、特征的選取、訓(xùn)練數(shù)據(jù)的數(shù)量，對(duì)識(shí)別結(jié)果的精確性、識(shí)別時(shí)間等有影響，不易實(shí)現(xiàn)實(shí)時(shí)識(shí)別，且不能實(shí)現(xiàn)具體識(shí)別。
2.3 根據(jù)P2P協(xié)議特征
2.3.1 從數(shù)據(jù)信號(hào)和信令信號(hào)的特征的不同對(duì)P2P業(yè)務(wù)進(jìn)行區(qū)分
    　參考文獻(xiàn)[13]更多的是從網(wǎng)絡(luò)的角度對(duì)P2P業(yè)務(wù)進(jìn)行特征提取，如對(duì)P2P業(yè)務(wù)的數(shù)據(jù)下載和信令會(huì)話階段的行為，包括傳送內(nèi)容大小、會(huì)話到達(dá)間隔時(shí)間以及時(shí)長等進(jìn)行進(jìn)一步深入的分析，提取出不同的特征。一般可以用3個(gè)不同的流特征來描述流的長度：分組數(shù)量、有效載荷字節(jié)數(shù)量、頭部和有效負(fù)載字節(jié)數(shù)，但參考文獻(xiàn)[13]只采用有效負(fù)載字節(jié)數(shù)作為流的長度。
    　該方法識(shí)別的依據(jù)是：在文件下載期間，1個(gè)節(jié)點(diǎn)一般接收到的分組數(shù)據(jù)是很大的，會(huì)達(dá)到MTU值，對(duì)接收到的數(shù)據(jù)進(jìn)行確認(rèn)，這時(shí)向發(fā)送節(jié)點(diǎn)發(fā)送的確認(rèn)分組數(shù)量就會(huì)很少，即使節(jié)點(diǎn)向其他節(jié)點(diǎn)交換1個(gè)文件的片段，在這個(gè)過程中其會(huì)話是平衡的，平均有效負(fù)載一般也會(huì)達(dá)到MSS(最大段大小)。相反，在信令會(huì)話過程中具有平穩(wěn)的特征，在這個(gè)過程中交換的字節(jié)和分組數(shù)量都更加地均衡?？梢杂?個(gè)閾值來區(qū)分這2種不同的業(yè)務(wù)，如果1個(gè)會(huì)話CTI(內(nèi)容轉(zhuǎn)變索引)值超過這個(gè)閾值即為數(shù)據(jù)下載業(yè)務(wù)；反之則為信令業(yè)務(wù)。可根據(jù)這一特征對(duì)不同的網(wǎng)絡(luò)行為進(jìn)行識(shí)別。
2.3.2 根據(jù)P2P協(xié)議內(nèi)容重新分配特征
    　每個(gè)節(jié)點(diǎn)既是服務(wù)器也是客戶機(jī)[14]，因此，節(jié)點(diǎn)會(huì)重新分配從其他節(jié)點(diǎn)收到的內(nèi)容，依據(jù)這個(gè)過程中表現(xiàn)出來的行為特征作為識(shí)別的依據(jù)。此方法在識(shí)別PPlive方面能達(dá)到99 %的精確率。
2.3.3 利用P2P協(xié)議的基本特征
    　P2P協(xié)議的基本特征是：較大的網(wǎng)絡(luò)直徑、絕大多數(shù)節(jié)點(diǎn)既作為服務(wù)器又作為客戶機(jī)，利用這一特征對(duì)P2P業(yè)務(wù)進(jìn)行識(shí)別[15]。
2.4 基于網(wǎng)絡(luò)中最大流的識(shí)別[16]
    　基于此方法的識(shí)別思想是網(wǎng)絡(luò)中一小部分流量產(chǎn)生了網(wǎng)絡(luò)中大部分的分組和字節(jié)，將網(wǎng)絡(luò)中這一部分流量識(shí)別出來以后再對(duì)其業(yè)務(wù)類型進(jìn)行分析。參考文獻(xiàn)[16]主要識(shí)別5種業(yè)務(wù)：P2P文件共享類業(yè)務(wù)、P2P流類業(yè)務(wù)、掃描行為、蠕蟲病毒行為、DOS攻擊行為。所提出的各種識(shí)別的特征依據(jù)是：如短時(shí)間內(nèi)連接數(shù)或業(yè)務(wù)數(shù)據(jù)的大小、時(shí)長、節(jié)點(diǎn)分布等，根據(jù)不同業(yè)務(wù)具有的不同的特征可將其識(shí)別出來，如P2P文件共享類業(yè)務(wù)具有連接數(shù)量大、快速傳送大量業(yè)務(wù)數(shù)據(jù)、時(shí)間周期短、端口分布規(guī)律、大量節(jié)點(diǎn)參與業(yè)務(wù)等特征。
　　這種方法可解決重量級(jí)P2P 協(xié)議流量識(shí)別問題， 還可以識(shí)別出殺手級(jí)用戶和熱點(diǎn)文件的特征， 在解決實(shí)際問題方面有重要的意義。
2.5 BLINC方法
    　參考文獻(xiàn)[17]提出的BLINC方法，按照主機(jī)的行為模式作為識(shí)別依據(jù)，對(duì)節(jié)點(diǎn)在社會(huì)、功能、應(yīng)用等3個(gè)層面進(jìn)行分析，得出P2P節(jié)點(diǎn)行為特征，利用這些特征，識(shí)別出P2P節(jié)點(diǎn)。(1)社會(huì)層面：1臺(tái)主機(jī)與其他主機(jī)的互動(dòng)。首先是檢查這臺(tái)主機(jī)的活躍性，其次識(shí)別與這臺(tái)主機(jī)通信的節(jié)點(diǎn)。(2)功能層面：捕獲主機(jī)的行為特征，分析看其在網(wǎng)絡(luò)中扮演的角色是業(yè)務(wù)提供者還是業(yè)務(wù)接收者或者兩者兼有。例如，若1臺(tái)主機(jī)用1個(gè)端口與其他多臺(tái)主機(jī)通信，那么這臺(tái)主機(jī)在這個(gè)端口上應(yīng)是一個(gè)業(yè)務(wù)提供者的角色。(3)應(yīng)用層面：捕獲特定主機(jī)的特定端口傳輸層之間的互動(dòng)識(shí)別業(yè)務(wù)的發(fā)起方。
    　實(shí)驗(yàn)結(jié)果表明，BLINC方法能夠?qū)W(wǎng)絡(luò)中的80%~90%的流量進(jìn)行識(shí)別，識(shí)別的準(zhǔn)確率達(dá)95%。但這種方法難以做到實(shí)時(shí)檢測(cè)，且復(fù)雜度高，易將P2P文件共享業(yè)務(wù)流與DOS攻擊流混淆。
    　以上各種基于P2P業(yè)務(wù)內(nèi)在特征的方法可直接應(yīng)用，也可作為啟發(fā)式算法與其他業(yè)務(wù)結(jié)合應(yīng)用或作為ML算法的訓(xùn)練數(shù)據(jù)應(yīng)用，能解決數(shù)據(jù)加密等問題，可以識(shí)別出未知的P2P業(yè)務(wù)，但不能具體識(shí)別出P2P業(yè)務(wù)。
　　根據(jù)對(duì)各種技術(shù)優(yōu)缺點(diǎn)的分析，預(yù)測(cè)P2P識(shí)別技術(shù)未來的發(fā)展方向是：(1)將基于P2P內(nèi)在特征的技術(shù)與以前的技術(shù)相結(jié)合，根據(jù)不同的環(huán)境、不同的要求，綜合運(yùn)用各種識(shí)別方法，以實(shí)現(xiàn)更加有效、具體的識(shí)別；(2)深入挖掘P2P業(yè)務(wù)獨(dú)有的業(yè)務(wù)特征，并從已有的特征中分析出其有決定作用的核心特征，進(jìn)行具體分析，發(fā)現(xiàn)各種主流P2P業(yè)務(wù)其各自獨(dú)有的特征，以實(shí)現(xiàn)具體的識(shí)別。
參考文獻(xiàn)
[1] 暴勵(lì).P2P技術(shù)的應(yīng)用與研究[J].電腦開發(fā)與應(yīng)用，2009(2)：67-69.
[2] 董振江.P2P發(fā)展現(xiàn)狀與運(yùn)營方案[J].中興通訊技術(shù)，2008(2)：49-53.
[3] SUBHABRATA S， OLIVER S， DONGMEI W. Accurate， scalable in-network identification of P2P traffic using application signatures. WWW2004， NewYork， New York，ACM 1-58113-844-X/04/0005，2004：512-521.
[4] THOMAS K， ANDRE B.Transport layer identification of P2P traffic[C]. IMC’04， October 25-27， 2004， Taormina， Sicily， Italy. Copyright 2004 ACM 1-58113-821-0/04/0010 2004：121-134.
[5] 柳斌，李之棠，李佳.一種基于流特征的P2P流量實(shí)時(shí)識(shí)別方法[J].廈門大學(xué)學(xué)報(bào)(自然科學(xué)版)，2007，46(2)：132-135.
[6] CLAFFY K C， BRAUN H W. Internet traffic profiling.1-25.Caida， San diego supercomputer Center，http：//www.caida.org/outreach/papers/1994/itf/，1994.
[7] LAN K C，HEIDEMANN J. A measurement study of correlations of Internet flow characteristics[J]. Computer Network，2006，50：46-62.
[8] 周豐谷.P2P flow identidication[D].臺(tái)灣科技大學(xué)，2006.
[9] ARLITT J E M， MAHANTI A.Traffic classification using clustering algorithms. in Proceedings of the 2006 SIGCOMM Workshop on Mining Network Data(MineNet06)，2006.
[10] MOORE A W， ZUEV D. Internet traffic classification using Bayesian analysis techniques. in ACM Sigmetrics， 2005：50-60.
[11] AULD A W M T， GULL S F. Bayesian neural networks for internet traffic classification. IEEE Transactions on Neural Networks，2007，18：223-239.
[12] SCHMIDT S E G， SOYSAL M. An intrusion detection based approach for the scalable detection of P2P traffic in the national academic network backbone[R]. in 7th International Symposium On Computer Networks(ISCN06)， 2006.
[13] RAFFAELE B， MARCO C， RICCARDO R.Characterizing the network behavior of P2P traffic[EB]. IT-NEWS 2008， 978-1-4244-1845-9/08，IEEE，2008：14-19.
[14] LU Xing， DUAN Hai xin，LI Xing. Identification of P2P traffic based on the content redistribution Characteristic[M]. ISCIT 2007， IEEE， 1-4244-0977-2/07/：596-601.
[15] FIVOS C， PANAYIOTIS M. Identifying known and unknown Peer-to-Peer traffic[R]. Fifth IEEE International Symposium on Network Computing and Applications(NCA′06)，0-7695-2640-3/06，2006.
[16] WANG Jiao， ZHOU Ya Jian， YANG Yi Xian.Classify the majority of the total bytes on the Internet[R]. 2008 International Symposiums on Information Processing， 978-0-7695-3151-9/08 IEEE，2008：68-72.
[17] KARAGIANNIS T， PAPAGIANNAKI K， FALOUTSO S M. Blinc： multilevel traffic classification in the dark. Proceeding of the 2005 Conference on Applications， Technologies， Architectures， and Protocols for Computer Communications[C]. Los Angeles： ACM Press，2005：229-240.