基于DPI技术的P2P流量检测系统设计.docVIP

  基于 DPI 技术的 P2P 流量检测系统设计 张瀚，辛阳** （北京邮电大学信息安全中心，北京 100876） 5 10 15 20 25 30 摘要：随着 P2P 协议的更新与普及，对其检测的迫切需求日益凸显。论文对几种传统检测 方法进行了简单阐述，配合着 DPI 技术的应用背景提出了全新的 P2P 流量检测系统。对一 个基于 DPI 技术的 P2P 流量检测系统进行了概要设计，给出了系统原型架构，对各模块进 行了设计分析。最后对该系统进行了性能分析与评价。 关键词：P2P 协议；深度报文解析；流量检测；知识库 中图分类号：TP311.1 Design of a DPI-Based P2P Traffic Detection System ZhangHan, Xin Yang (Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876) Abstract: With the updates and spread of P2P protocol, the urgent needs of detection has become increasingly prominent. The paper introduces several traditional methods briefly and propose a new P2P traffic detection system with the application of DPI technology background. Design a summary P2P detection traffic system based on DPI technology. Shows the prototype of the system architecture and Analysis of each module. Finally, analysis and evaluation the system performance. Keywords: P2P(Peer to Peer); DPI(Deep Packet Inspection); Traffic detection; Knowledge base 0 引言 针对传统的客户端/服务器体系结构（C/S），其节点的局限性以及资源的共享率低下等 缺陷，在新时代信息传输高速化的今天已经很难适应。在此背景下一种新型的流量模型应运 而生，P2P(Point to Point)技术的出现很好地解决了服务器结构自身局限性，随着应用范围不 断扩大，其优势体现在了信息传递高速化，负载均衡，非中心化，可扩展性，健壮性等等方 面。据统计：P2P 协议流量已经占据了网络总流量的 60%-80%并且有不断上升的趋势。其 应用程序包含互联网的各个方面：下载类软件的迅雷，BT，QQ 旋风；即时聊天类软件的 QQ，yahoo message；繁杂的应用以及对网络资源的吞噬能力，引起了非正常性的网络拥挤， 造成了对传统网络带宽的严重抢占，在此背景下，针对 P2P 技术的流量识别，控制，管理 成为前端研究并且成为了互联网用户，网络服务提供商的共同需求。 1 DPI 流量监测与 P2P 技术  35  1.1  DPI 流量监测主要技术 为了达到对 P2P 流量的控制目的，如何有效的识别协议流量就变得尤为重要。传统的 识别技术主要依靠于 IP 和端口分类技术[1]，但是由于某些 P2P 软件具有动态转换传输通道 的功能，所以其效果不加。目前存在几种主流的控制 P2P 传输的技术方法，在流量检测方 面各有优点与缺陷。下面上述方法做简单介绍： 40 （1）IP 与端口封杀：此方法可以应用于固定 IP 与端口传输的 P2P 软件，针对性比较 作者简介：张瀚，（1988-），男，硕士，信息安全。 通信联系人：徐国爱，（副教授），男，教授，信息安全。E-mail: yangxin@bupt.edu.cn -1-   强，封堵效果好。但是误识别率高，极易被欺骗。 （2）URL 特征过滤：适用于某些通过特殊站点进行通信传输的 P2P 软件，如扩展名为 torrent 的 BT 文件下载。该技术应用范围小，局限性比较大。 （3）特征流量检测技术：根据 P2P 协议在传输层的特征流量进行识别，可以利用同统 45 计模式对于 P2P 加密应用进行检测。缺点是精确度不高，对于 P2P 软件的进一步细分能力 较差，需要综合其他检测方案共同使用。 （4）深度报文检测技术：深度报文检测应用 L2-L4 三层报文识别