P2P流量监控初探.docVIP

P2P流量监控初探 　　摘 要：P2P（对等网络）产生的影响在对互联网起到积极意义的同时，也带来了种种负面情况，比如网络堵塞、安全漏洞和知识产权等问题，由于P2P非常自由开放，所以很多盗版和非法内容都盯上了这个平台。目前有很多P2P软件使得少数用户占用了大量的公共网络带宽资源，这对网络无疑是非常大的消耗，很容易引起数据交互的拥塞，拉低网络性能，让用户无法体会到互联网的高品质服务。如何有效合理的识别并且管理P2P流量，是目前业界非常重要的研究对象。 　　关键词：P2P；网络；流量监控；协议端口 　　P2P应用对于现代社会来说已经开始成为不可或缺的一部分了，尤其在年轻人的生活中更是如此。人们可以长期不关机利用软件下载一些免费的网络资源，这不仅仅是由于软件便捷可靠，更是因为几分钟我们就可以在网络上下载下来我们所需要和感兴趣的资源，下载速度远远高于传统的HTTP下载以及FTP下载，因而P2P更为人们青睐。 　　另外P2P使得网络空闲时间被尽可能压缩，用户通常会将大文件置于下载队列，然后便离开做其他的工作，有时甚至不会守在计算机前。在后台模式下，P2P尽可能的获取更大的带宽，提高下载效率，不会受到过多限制。除此之外在计算机到计算机之间传输文件的过程中，P2P应用对带宽的占用量也相对较大，主要针对对等体计算机，这些计算机可以出在网络中的任何位置，其相互之间的连接主要依赖于频繁的信息交换予以保持，这种信息交换类似于查询-定位消息的互换，因此这种连接可以保持相对较长的时间。但是从另一角度分析，这种长时间的连接可能会使得用户计算机保持连接的流量超出下载所需的流量。 　　P2P产生的网络数据流量成为了主要的数据流量，占到总比重的6成甚至8成，大部分为下载请求和视频数据包，这严重影响了正常网络服务的开展，成为了互联网带宽的主要杀手，这对网络资源无疑是种浪费。有很多P2P软件使得少数用户占用了大量的公共网络带宽资源，这对网络无疑是非常大的消耗，很容易引起数据交互的拥塞，拉低网络性能，让用户无法体会到互联网的高品质服务。同时由于P2P非常自由开放，所以很多盗版和非法内容都盯上了这个平台，已经引起了网络管理者的高度重视。这些年来，有关P2P的侵权法律纠纷已经在全世界各国层出不穷，也有不少封杀P2P的声音出现。 　　1 P2P流量识别 　　随着网络技术的不断发展，P2P技术也日新月异，从简单发展到复杂，从低级发展到高级。P2P网络结构也发生了重要变化，由中心控制到全局分布，再端口方面也由早期的固定端口发展到随机动态端口，目前已经发展到伪装端口。互联网上基于P2P开发的软件非常之多，目前国内外的很多专家学者也进行了大量的研究，针对P2P流量的控制有了一定的研究成果。目前业界关于P2P流量的识别技术主要从几个方面入手： 　　1.1 基于端口的P2P识别 　　为了达到操作简便的目的，初期的P2P软件基本使用默认的传输层端口，比如O.44版本的eMule就使用TCP端口4662、UDP端口4672或者4673。这种端口识别技术操作起来很容易。当然也有一些P2P协议不采用固定的端口，随机端口动态的使用，也包括使用了大家比较熟悉的知名服务的端口。HTTP隧道、端口跳跃等技术的涌现则是加大了识别的难度。 　　1.2 基于深层数据包扫描的识别 　　深层数据包检测技术（DPI）是通过对数据包进行应用层协议的还原解析来发现P2P软件使用。采用这种技术的原理就是使用一个载荷特征库存储载荷特征串，符合载荷特征串的数据包就被判定为P2P数据包，从而达到识别的目的。 　　1.3 基于流?y计特性的识别 　　基于流统计特性的识别法是建立在P2P网络的测量工作的基础上，P2P测量是进行P2P流量监控和网络行为学分析的基础，它主要分为P2P流量特征测量、P2P拓扑特征测量和P2P可用性测量等。 　　1.4 基于传输层的行为特征识别 　　Thomas Karagiannis等专家学者在认真研究了P2P流量的传输层特征后，在2004年提出了一种方法是基于传输层连接特征的P2P流量检测方法。该方法以P2P流量在传输层所表现出来的两种一般特性为依据并结合传统的端口检测技术。 　　1.5 统计分类识别 　　对网络流量依照应用进行分类，利用统计分类的方式，可以将网络流量按照是否湿P2P应用分为两类。目前统计分类的方式主要有三种，一种基于无监督学习的方式，一种建立在支持向量机的基础之上，还有一种较为常用的方式为贝叶斯分类器。 　　2 P2P流量管理 　　2.1 直路串接管理 　　该种方式对流量的控制主要是通过数据包的丢弃来实现，通过透明模式下直路串接控制设备同网络连接，对不同的网络通过应用流量进行分类，并以控制策略为基础，采用路由器、处理器等硬件，防火墙、