基于复合特征的P2P业务识别及检测方法.docVIP

精品论文 参考文献 基于复合特征的P2P业务识别及检测方法 周智谦 （武汉工业职业技术学院，湖北 武汉 430064） 中图分类号：TP393.06 文献标识码：A 文章编号：1003-2738（2011）09-0000-02 摘要：自从1999年Napster出现以后，P2P技术发展异常迅猛，P2P应用流量在2007 年底已经占据互联网60%的流量。有效识别和控制P2P流量成为新的课题。本文着重分析了P2P流量统计特征，首先介绍了三种P2P流量检测技术包括常用端口检测法、深度流检测法（DFI）、应用层特征检测法的原理及其优缺点，根据不同应用的流量模式和实验结果，提出了一种基于流统计特征的P2P识别方法。这种方法不需要对数据报文载荷信息进行检查，因此不受数据是否加密的限制，扩大了P2P识别的范围。 关键词：P2P；识别；检测 引言 近年来,P2P应用类型也已从文件共享扩展到语音、视频等应用领域。中国互联网实际流量模式分析报告表明，P2P流量已约占整个互联网流量的80%。为此，网络设备生产商和网络服务提供商相继推出了针对P2P流量识别与监管的产品或技术。P2P流量检测设备包括网络缓存设备、应用层流量管理设备、流统计状态路由器和智能防火墙等。主要厂商及产品包括Cisco公司的NetFlow技术、Allot的故障恢复流量管理方案、CacheLogic公司的CacheLogic P2P管理方案等。和流统计特征方案比较，在性能、开销等方面存在很多不足。因此，开展高效、准确的P2P流量实时识别与过滤的相关技术研究，有利于合理利用互联网基础设施、P2P技术和合理部署P2P应用，有利于屏蔽非法内容在P2P网络中的传播。 一、P2P流量检测技术 （一）常用端口检测法。 各种P2P软件都自默认的端口号，利用这些端口信息，可以进行P2P流量检测。如早期的eDonkey采用4661和4662 端口，BT 采用6881-6890 端口。监控系统通过检测网络流量所使用的端口是否属于典型P2P的端口即可判断是否属于P2P数据包。 端口检测法有优点如下：方法简单、有效、正确率高，由于算法简单，利用信息少，是所有方法中的空间和时间复杂度最小。 端口检测法的缺点如下：误报和漏报率偏高，无法检测低端口传输的P2P数据，不能准确地检测大于1024 端口传输的P2P数据；若端口随机变换无法检测出；端口控制粒度太粗，容易出错。 （二）深度流检测法（DFI）。 不同的应用类型体现在会话连接或数据流上的状态各有不同，因此，基于流的行为特点，通过与已建立的各种数据流的数据模型的对比，可以判别出数据流所对应的应用业务类型。深度流检测法将各种应用的连接数、单IP地址的连接模式、上下行流量比例关系、数据包发送频率等数据流的行为特征指标与DFI模型进行匹配，进而从中区分出P2P应用类型。深度流检测法的优点：能够发现未知的P2P应用，具有对新P2P应用的感知能力；加密协议对检测算法的影响较小；不必查看应用层协议内容；检测效率较高。深度流检测法的缺点：检测准确度与DPI相比稍低；存在将非P2P应用误判为P2P的情况。 （三）应用层特征检测法。 与用固定端口传输数据的P2P方法不同，当前许多P2P应用都能够通过使用随机端口来逃避检测，有些甚至可以使用HTTP、SMTP 等一些协议使用的熟知端口。但是，每种应用的分组中都携带有特定的报文信息，例如，HTTP协议报文中会出现GET、PUT、等报文。对5种常见的P2P协议(KaZaA， Gnutella、eDonkey、DirectConnect 以及BitTorrent)特征的分析，提取出其特征信息，然后根据特征信息对收集到的分组进行模式匹配操作，从而判断出该分组是否属于某一类P2P应用分组。 二、基于流统计特征的P2P流量识别方法 （一）流的概念。 流是具有同一组特性的数据包集合。流的定义是进行数据采集的前提条件。相邻两个数据包之间的间隔时间不超过64s。基于流统计特征的P2P识别意在找到P2P流的内在特征，避免了前面几种识别方法中的一些问题。为了分析P2P流的统计特征，在网关处抓取主机产生对应的业务流量。利用基于Winpcap库的一个捕包工具在局域网进行离线分析。根据流的定义，把这些包信息转化为流信息。通过对这些流数据信息进行统计分析，提出和验证了三个适用于P2P流量识别的流统计特征。 （二）流持续时间。 定义流持续时间为流的结束时间减去开始时间。