基于DPI技术P2P业务识别和控制研究.docVIP

基于DPI技术P2P业务识别和控制研究 　　【摘要】DPI技术（即Deep　Packet　Inspection）。深度包检测技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。当流量经过时，通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型；而当有新的应用出现时，后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能力。 　　【关键词】DPI；数据流检测 　　随着互联网和宽带技术的发展，P2P的应用日益广泛，它给我们的生活带来了很大的方便，是资源可以充分的共享，但是也带来了诸如知识产权等各个方面的问题。P2P软件对于网络带宽的占用和消耗以及VOIP对于传统的电话运营商的业务的挤占，P2P的带宽资源占用问题（例如：BT下载），P2P的业务监管问题也日益严重（例如：Skype电话）。特别是Skype使用加密协议并且所有资料对外界完全保密，对它的监管问题已经成为全球性的难题。尤其像是公司，员工上网习惯很可能直接关系到公司信息的安全以及在工作时间有效的管理员工的上网行为。 　　1.DPI技术简介 　　1.1　主要功能 　　1）服务供应商使用DPI来分离网络流量 　　2）大型企业可以使用DPI来管理网络性能拥有大型网络覆盖很多地理区域的企业在他们的内部网络间可能运行着完全不同的通信类型。 　　3）提高企业网络的安全性其可以定位有害流量，并从网络中去除，企业可以使用DPI设备以防止非法的文件共享，从而有效的保护公司的内部文件等。 　　1.2　面对的问题 　　随着P2P技术（如图1所示）的不断发展成熟以及P2P应用的不断增多，人们对P2P越来越熟悉并且也越来越依赖。由于应用需求不同，相关的研究侧重点还是有所不同的。从应用角度来看，目前P2P技术研究主要涉及到以下几个领域： 　　1）提供文件和其它内容共享的P2P网络； 　　2）P2P对等计算和存储共享； 　　3）基于P2P方式的协同处理与服务共享平台。 　　基于以上的事实P2P软件已经深入到我们网络生活的各个角落，但与此同时其也面临着很大问题： 　　1）对带宽的霸占。 　　2）上下行流量基本对称性，与一般的互联网应用不同，P2P应用产生的上下行流量基本相等，甚至上行流量大于下行流量，而现在的网络大部分用户都是选择ADSL接入的方式，其上下行带宽是不对称的，所以P2P软件对于此类网络也会有很大影响。 　　2.实验网络的搭建及测试 　　DPI由协议识别引擎程序DPI-CBB和知识库（DPI-DPL）两部分组成。协议识别引擎程序以静态链接库的形式发布给用户，支持C语言程序开发接口，可以快速集成到各种需要对网络数据进行协议和应用程序精确识别的产品中。知识库是一个二进制数据文件，保存了各种应用层协议和应用程序多持有的识别特征，在进行数据识别时候，识别协议引擎会对输入的数据进行特征分析，并与知识库中各种识别特征进行比较，根据比较数据得出识别结果。基于DPI技术的带宽管理解决方案与我们熟知的防病毒软件系统在某些方面比较类似，即其能识别的应用类型必须为系统已知的，基于DPI技术的带宽管理系统要维护一个应用特征数据库，当流量经过时，通过将解包后的应用信息与后台特征数据库进行比较来确定应用类型；而当有新的应用出现时，后台的应用特征数据库也要更新才能具有对新型应用的识别和控制能力。于此同时，不同的软件之间能提取准确的特征字段，以避免不必要的不同软件之间的误识别。还要及时的更新特征数据库，以应对网络中不断出现的软件更新以及特征字段的变化导致数据流量无法识别和阻断。 　　2.1　系统网络架构结构（如图2） 　　2.2　网络架构的描述 　　首先，在一个局域网内有多台主机，通过一个交换机相连，交换机相连一个双网卡的linux服务器，在服务器上运行DPI检测程序，由此连接网络的网关，因为在实际测试中是模拟的一个真实的网络环境所以不能在一个局域网内测试对于特定网络流量阻断情况的检测，因为这样可能会有局域网检测的局限性，不能很好的模拟真实的网络的下的阻断效果。于此同时在交换机上连接无线设备可以检测无线设备软件的阻断测试。 　　而我们在其中一个PC上操作一个软件与外部互联网通信时会产生流量，其实我们用wireshark软件抓取特定软件的数据流，与此同时要避免其他网络流量对于正常的网络流量的干扰，在抓取一定数量的数据包后，分析软件在那种场景下产生哪些数据流量，针对于此数据流量其特征关键字是什么，在对于多个数据包比对后可以确定其是相对不变，就可以提取作为软件流量的特征。而其中的DPI