Lightweight, Payload-Based Traffic Classification:
An Experimental Evaluation
Leve, Classificação de Tráfego Baseada em Carga: Uma Evolução
Exprimental
F. Risso, M. Baldi, O. Morandi and A. Baldini, P. Monclus
Dipartimento di Automatica e Informatica Politecnico di Torino Torino, Italy
ICC 2008 - IEEE International Conference on Communications
Apresentado por Joilson Alves Junior
Gerência de Redes - Mestrado em Informática - UFPR
ROTEIRO

Introdução

Processos de classificação de tráfego baseado em carga

Métodos de verificação baseado em carga

Classificação de protocolo X aplicação

Processos avaliados

Metodologia

Resultados

Conclusões
INTRODUÇÃO




Classificação eficiente de tráfego é fundamental para o gerenciamento das redes.
Sabendo a natureza do tráfego os administradores de redes podem controlar os
fluxos aplicando regras de QoS e Firewall.
Com a quantidade crescente de tráfego, a escalabilidade é um problema para as
abordagens existentes quanto a classificação.
Muitos métodos já foram propostos e aplicados. Como por exemplo:

Métodos de analise de carga;

Métodos estatísticos.
INTRODUÇÃO


Métodos de análise de carga são bons, porém exigem muitos recursos de
processamento e memória e não analisam tráfegos criptografados.
Métodos estatísticos são promissores para superar as limitações anteriores, mas
não são adequadas para grande quantidade de protocolos existentes.

Geralmente são capazes de distinguir apenas entre tráfego web e peer-to-peer.

Não classificam, ou classificam poucas aplicações peer-to-peer. Exemplo:

Se aplicação é Kazza;

Se aplicação é Skype;

Se aplicação é Gnutella.
INTRODUÇÃO





A precisão da classificação (em termos de falsos positivos e falsos negativos) é
muitas vezes abaixo dos limites normalmente aceitáveis.
Por estas razões, a maioria dos produtos disponíveis hoje são baseados em
métodos baseados em carga.
Métodos baseados em carga são capazes de proporcionar resultados mais
precisos.
Mecanismos de classificação de tráfego futuros, provavelmente utilizarão o que
tem de melhor nos dois métodos.
O presente artigo tem por objetivo comparar dois métodos de análise baseados
em carga.
Processos de classificação de trafego baseado em carga.

Quanto mais complexo o método, mais memória e processamento
são necessários.
Processos de classificação de trafego baseado em carga.



Payload-based classification methods se diferenciam pelo método
de tratamento utilizado para a classificação de tráfego, que podem
ser uma ou mais técnicas .
PBFS : Possui um mecanismo de verificação com base em dados
de camada de aplicação, inspeciona partes do pacote ou apenas
fluxos. (Signature-based method, Verification Syntactical)
MBPS : Analisa a aplicação e todo o pacote que está sendo
transmitido; Interpreta exatamente o que cada aplicativo transmite
e recebe. (Signature-based method, Verification Syntactical,
Protocol Conformance)
Metodos de verificação Baseado em Carga

O trafego pode ser classificado de quatro formas diferentes:




Signature-based method. Visa a localização de algumas assinaturas no
âmbito da carga na camada de aplicação. Ex.: Um pacote HTTP começa
com um comando seguido pela URL e a versão do protocolo, enquanto
a maioria dos pacotes P2P começam com um campo que contém o
tamanho da carga útil.
Verification Syntactical. Verifica a exatidão dos dados transmitidos a
partir do ponto de vista sintático (por exemplo, uma suposta carga
HTTP deve conter cabeçalhos HTTP).
Protocol Conformance. Refere-se a conformidade do protocolo, por
exemplo: Uma solicitação HTTP GET de um cliente é seguido por uma
resposta válida do servidor.
Semantic of the Data. Refere-se à semântica dos dados, por exemplo,
a possibilidade de verificar se uma imagem do objeto transferido pelo
Protocolo HTTP é, de fato, uma imagem, ou alguma outra forma de
conteúdo.
Classificação de Protocolo X Aplicação.

Muitas aplicações definem os seus próprios protocolos e
portas, mas às vezes usam outros já existentes para se
beneficiarem.
Classificação de Protocolo X Aplicação


Alguns dos métodos de verificações apresentados são uma
solução para a classificação de protocolos.
Mas pode não ser adequado para a classificação do aplicativo.
Que é o que o usuário espera de um sistema de
classificação.(Kazaa,HTTP,Gnutella). Por exemplo:

O protocolo de verificação de conformidade (Protocol
Conformance) irá falhar no caso de um tráfego P2P
trocadas através do protocolo HTTP.

Obs. Vai classificar com http mas é p2p.
Processos Avaliados




Tecnologias mais sofisticadas permitem a obtenção de resultados
mais precisos.
O custo em termos de memória e poder de processamento é alto.
Qual é o custo em termos de precisão ao se deslocar de uma
tecnologia mais sofisticada para uma mais simples?
A fim de responder esta questão, serão comparadas e avaliadas as
tecnologias:

PBFS - Packet-Based per Flow State (Leve)

MBPS - Message-Based per Flow State (stateful)
Tecnologia Avaliadas

Os testes visam avaliar os parâmetros mostrados na figura abaixo,
principalmente o número de protocolos que são classificados por
uma determinada tecnologia, a precisão e a integralidade da
classificação.
Metodologia




Os dados foram capturados no link que conecta a universidade à Internet.
Um conjunto de aplicativos foram usados repetindo várias vezes
conexões e
transferências de dados, mudando "aleatoriamente"
endereços IP, portas e algumas peculiaridades da aplicação.
Dados capturados foram pré-processados, a fim de descartar pacotes
pertencentes a uma sessão que começou antes do início da captura.
Além disso, foram descartados todos os pacotes que pertenceram a
sessões que estavam inativas por mais de 5 minutos.
Resultados

Cobertura (Coverage)

Tecnologia MBPS , implementada no aplicativo SCE da
cisco suporta 600 protocolos em nível de aplicação.



Ex: Kazaa,HTTP, FTP,RTP,Gnutella,Edonkey, etc.
Tecnologia PBFS, implementada no aplicativo NetPDL
suporta 100 protocolos em nível de aplicação.
Precisão ( Accuracy)

Falsos Positivos : 100% de precisão para o MBPS.

Falsos Positivos : Bem próximo de 100% para o PBFS.

Falsos negativos : Bem próximo de 100% para MPBS E
PBFS.
Resultados
NetBee é uma tecnologia PBFS

Robustez (Robustness)


MBPS não é robusto. Não suporta perdas de pacotes.
Em simulações com perdas de pacotes o PBFS foi mais
preciso. Teve menos problemas com falsos positivos e
falsos negativos.
Resultados

Integridade (Completeness)

97% do tráfego foi classificado. O tráfego não classificado
era criptografado.
Resultados

Escalabilidade (Scalability)

PBFS e MBPS apresentaram problemas de classificação em
links de alta velocidade/demanda.
Conclusões

Este trabalho traz duas contribuições:


Primeiro, ele apresenta as características dos métodos de
classificação de carga.
Segundo, ele compara duas tecnologias diferentes levando
em consideração os seguintes parâmetros:

Cobertura;

Robustez;

Precisão;

Integridade;

Escalabilidade.
Conclusões


Do trabalho podemos concluir que as duas tecnologia são bem
parecidas nos parâmetros avaliados, devendo-se levar em
consideração o consumo de CPU e memória para escolha.
No momento de escolhermos uma aplicação para análise de
tráfego, podemos escolher a NetBee. Que é uma tecnologia
baseada em PBFS.