试析基于P2P的网络应用的论文.docVIP

　　试析基于P2P的网络应用的论文 论文关键词:p2p　网络　应用 　　论文摘要:p2p业务的不断增加，造成了网络带宽的巨大消耗，甚至引起网络拥塞，降低其它业务的性能，造成了巨大的it资源浪费。通过并不安全的网络环境获得的应用程序和p2p协议，可能使得病毒和恶意代码得以躲过安全审查潜人企业内部网络。通过一种p2p流量控制模型，实现分类、标识和控制p2p流量，从而实现资源利用最大化。 　　国内对于p2p技术的研究和应用都进行得火热，但是对于p2p流量监控技术的研究却很少，很难在各大论文库中检索到p2p流量检测方而的中文文章，而高水平的论文更是少之又少。但是国内部分网络设备生产商己经推出了p2p流量监控的相关产品，如华为的secpath1800防火墙和euenmon。防火墙以及captech的网络管理软件—网络慧眼。这些产品采用的都是深层数据包检测技术。 　　1p2p流量检测 国外p2p流量检测方面的研究工作和产品化工作都做得很好，特别是深层数据包检测技术己经发展得非常成熟。subhabratasen等人于2004年初提出基于应用签名的p2p流量检测方法，实际上是深层数据包检测方法的一种，该方法把payload特征分为固定偏移量(fixedoffset)特征和变化偏移量(variableoffset)特征，第一步检查固定偏移量，第二步检查变化偏移量，在性能和精度上都取得了令人满意的效果。韩国的james试用该方法针对韩国当时流行的p2p软件进行了测试，但是没有给出性能参数。thomaskaragiannis等人在仔细研究了p2p流量的传输层特征后于2004年提出一种基于传输层特征的p2p流量检测方法，该方法以p2p流量的传输层所表现出来的两种一般性特征为依据，结合传统的端口检测技术，能够有效地检测到新的p2p应用的加密和p2p应用，但是改方法过于复杂且不能对p2p应用进行分类，另外他们还没有考虑对该方法的性能优化。国外网络设备生产商和网络服务提供商都推出了相关的产品和技术，如cisco公司的nefloanagement-solutions),cachelogic公司的cachelogicp2p管理方案，versotechnologies的spective系列产品等，其中spectiv系类产品己经拥有了拦截加密p2p应用skype的能力。纵观这些产品，全部都使用了自行研发的深层数据包检测技术，除了性能的识别精度商存在差别外，其技术的本质是相同的。口前为止唯一有据可查的使用基于流量特征的检测方法的产品是流量监控系统ng-mon，韩国的jameswonkihong等人在该系统商使用了他们自主研发的基于流量特征的p2p检测技术，但是没有给出具体的性能参数。 据包分类就是根据数据包本身携带的信息或与数据包有关的信息(主要指ip包头和传输层头部携带的信息)索引预先设置的分类器，查找匹配的规则来达到区分数据包的目的(图i)。数据包分类的结果决定了这个数据包属于哪一数据流以及此数据包应达到什么样的服务等级，然后转发引擎根据分类的结果采用相应的处理来满足用户的需求。这些处理可能包括丢弃未授权的分组、进行特殊的排队和调度处理或者作为路由选择的依据等。许多网络服务需要进行数据包分类，如寻路、防火墙访问控制、策略路由和业务帐单等。 类器是分类规则和分类策略的集合。一般情况下，分类器中的一条规则代表一种业务流，在数据包转发过程中接受相同的服务。分类规则是分类算法处理数据包的依据。一条分类规则可以看成是一个过滤器(filter)和一种处理行为((action)的组合。通常分类规则过滤器(filter)涉及到数据包包头(包括ip头和传输层头部等)的一个或多个字段，如tos(8bits)、源ip地址(32bits)、目的ip地址(32bits)、协议(8bits).源端口(i6bits)和目的端口(i6bits)。分类后的处理行为(action)包括数据包的丢弃优先级、调度策略、缓存区和带宽管理策略和路由选择策略等。此外处理行为中还必须包括一个优先级标识符来解决一个数据包符合多个分类规则的情况，即分类规则相互重叠的情况。 　　2系统功能模块设计 针对日前城域网ioog以上的流量，在设计系统的架构时就需要特别考虑。选择一种最适合的架构来满足城域网上对ioog流量性能的要求。由于pzp应用协议类型、实现机理的多样性，为了彻底监管和控制p2p流，只能采取综合性解决方案，在综合考察了最新p2p流量控制技术及设备的前提下，设计了p2p流量综合控制系统，如图2所示。 该系统采用分布的架构设计恐想。系统主要由五大功能模块组成，包括p2p检测模块、管理模块以及执行模块，每个模块又含有若十部件。映射到具体网络设备中，各设备的p2p控制功能就是由这些部件组合而