基于DPI的BT流量检测技术的研究与实现.PDFVIP

基于DPI 的BT 流量检测技术的研究与实现 李勇彦 北京邮电大学宽带网络监控教研中心，北京（100876 ） E-mail ：liyongyan0523@ 摘 要：自从1999 年Napster 出现以后，P2P 技术发展异常迅猛，P2P 应用流量在2007 年 底已经占据互联网 80%的流量。如何有效检测和控制P2P 流量成为新的课题。本文首先介 绍了三种P2P 流量检测技术包括常用端口检测法、深度流检测法（DFI ）、深度包检测法（DPI ） 的原理及其优缺点，其次研究了作为主流P2P 协议之一的BT 协议，详细分析了BT 下载的 原理及其通信过程，从而总结出BT 流量的关键字特征。通过比较三种P2P 流量检测技术并 根据BT 流量的关键字特征，本文提出了基于DPI 的BT 流量检测技术。再次，根据DPI 原 理和BT 流量的关键字特征设计并实现了BT 流量检测系统，详细介绍了该系统的总体结构、 工作流程及主要的实现函数。最后，将该系统运行于实验室环境下进行长时间测试，实验结 果表明，基于DPI 的BT 流量检测系统能够有效识别并控制BT 流量。 关键词：DPI；P2P；BT；流量检测 1. 引 言 近年来，P2P 网络逐渐成为新一代互联网技术研究的热门话题，提倡网络资源共享、互 通有无的风气得到了广大网友的一致认同，从而使得各种五花八门和形形色色的 P2P 软件 在网上层出不穷并不断推陈出新。 BT （BitTorrent 的缩写）作为当前灸手可热的P2P 软件，自从其诞生之日起就以其独特 的“魅力”，如下载速度快、带宽共享等优点而风靡 Internet，赢得了千千万万电脑爱好者的 青睐。 BT 的出现给资源的共享带来了很多的便利，但同时由于 BT 消耗带宽非常严重，使用 BT 下载容易造成网络流量的堵塞，从而影响了大多数正常网络用户的网速。因而如何对 BT [1] 这类 P2P 业务进行合理的监控就成了一个重要问题 。 2. P2P 流量检测技术 2.1 常用端口检测法 初期的P2P 应用使用一些固定端口进行控制和数据的通信，如早期的eDonkey 采用4661 和 4662 端口，BT 采用 6881~6890 端口等。监控系统通过检测网络流量所使用的端口是否属 于典型 P2P 应用所采用的端口即可判断是否属于 P2P 数据包。 常用端口检测法有如下优点：仅通过四层处理即可完成检测，逻辑简单，检测性能高； 在 P2P 应用刚出现时检测效果非常好；方便控制；监控系统建设投资较少或无需投资。 常用端口检测法的缺点如下：基于端口识别的误报和漏报率偏高，无法检测在 0~1024 端口之间传输的 P2P 应用，不能准确地判定大于 1024 端口传输的 P2P 应用；检测系统无法 处理端口经常变换的情况；端口控制粒度太粗，容易出错；随着应用的发展，P2P 应用的常 用端口越来越不明显，部分 P2P 应用使用 port 80 和 port 25 等常用的合法端口来进行数据传 [2] 输。因此通过端口方式能够识别的 P2P 协议类型非常有限 。 2.2 深度流检测法 各种互联网应用数据包的自身特性及传输特性都有所区别，因此，基于流的行为特点， 通过与已建立的各种数据流的数据模型的对比，可以判别出数据流所对应的应用业务类型。 - 1 - 深度流检测法就是基于这种原理，将各种应用的连接数、单 IP 地址的连接模式、上下 行流量比例关系、数据包发送频率等数据流的行为特征指标与 DFI 检测模型进行匹配，进 而从中区分出 P2P 应用类型。 深度流检测法有如下几个优点：能够发现未知的 P2P 应用，具有对新 P2P 应用的感知 能