基于流的特征的P2P网络业务识别.docxVIP

基于流的特征的P2P网络业务识别

一、引言

P2P（Peer-to-Peer）网络以其独特的架构，实现了节点之间直接的数据共享与交互，在文件共享、流媒体传输、在线游戏等诸多领域广泛应用。然而，P2P应用的大规模使用也带来了一系列问题。由于P2P应用对传输速度需求高，数据交换呈现一对多、突发性和分布式特性，其用户往往抢占大量网络带宽，有数据显示P2P用户消耗的网络带宽占比达60%-80%，这极易导致企业及ISP（互联网服务提供商）瓶颈链路阻塞。同时，P2P用户不分时段地高速下载，加重了网络设备负荷，在高峰时段容易造成链路拥塞。因此，准确识别P2P网络业务，对合理分配网络资源、保障网络服务质量至关重要。传统基于端口号和特定协议判断P2P流量的方法，因P2P应用可自动调整协议和端口号躲避监控，已难以满足需求。基于流的特征识别P2P网络业务成为当下研究热点。

二、P2P网络业务流特征分析

2.1传输层流量特征

P2P应用在传输层展现出与其他应用不同的流量特征。从流量的时间分布看，P2P流量具有不分时段性。传统网络应用，如访问网站，流量多为突发且持续时间短，通常集中在用户主动访问的时段；而P2P应用，只要节点在线，无论何时都可能进行数据传输，例如用户使用BT下载，任务一旦开始，会持续在后台运行，不受特定时段限制。在流量持续性方面，P2P流量持续时间长且非突发性。传统方式下载文件，虽持续时间可能相对较长，但数据以下行为主，上行量极小；P2P应用则不同，其上行和下行流量相当，这是因为P2P网络中每个节点既是数据的获取者也是提供者，节点在下载数据的同时，也会向其他节点上传已下载的部分，如在eMule网络中，节点积极为其他节点提供文件片段，形成稳定的上下行流量。

2.2连接特征

在P2P网络连接中，存在一些独特的特征。部分P2P协议同时使用TCP和UDP作为传输层协议，约有2/3的P2P协议属于这种情况，像eDonkey、Fasttrack、WinMx、Gnutella、MP2P以及DirectConnect等。在这些协议中，UDP常用于流量控制请求和请求应答，而TCP负责数据传输。所以，当发现源-目的IP对同时使用TCP和UDP协议时，该主机极有可能在使用P2P应用。另外，在P2P网络中，连接到一个主机节点上的不同IP数与端口数存在对应关系。一般情况下，若有20个不同主机连接到同一个主机，通常需要20个不同端口；而一个主机连接到Web服务器进行并行下载时，会使用多个端口，数量远不止一个。因此，IP数和端口数相对应的连接很可能是P2P连接。

2.3数据包特征

P2P网络业务的数据包在大小、间隔等方面也呈现出特征。P2P僵尸网络中，节点间通信传输的数据包大小和数量通常较小。并且，在同一僵尸网络内，僵尸主机产生的CC（命令与控制）通信流具有较高相似性。从数据包间隔看，P2P僵尸主机间通信由僵尸程序自动完成，流的持续时间短且固定，会话中上行（下行）流数据包平均间隔时间也可作为识别特征。在正常的P2P文件共享网络中，数据包的大小和传输频率会根据文件类型和传输阶段有所不同。例如传输视频文件时，由于文件数据量大，数据包相对较大且传输持续稳定；而在传输文本文件等小文件时，数据包较小且传输可能较为集中。

三、基于流特征的P2P网络业务识别方法

3.1基于流量统计特性的识别

该方法主要对数据流量进行统计分析，从统计结果判断流量是否属于P2P流量。通过分析流量的字节数、平均速率以及持续时间等属性特征，结合P2P流量不分时段性、持续性以及上下行流量均衡等特点来识别。在实际应用中，可以设置时间窗口，统计该窗口内流量的各项属性。若在多个连续时间窗口内，流量持续保持较高水平，且上下行流量比值在一定范围内波动较小，符合P2P流量特征，则可初步判断为P2P流量。这种方法的优点在于，由于P2P应用普遍具有特定流量特征，新的P2P应用也大概率符合，所以有能力发现新的P2P应用；同时，对加密应用也有一定检测能力，因为即使应用加密，其流量在传输层的统计特征依然存在。然而，该方法也存在不足。传输层特征不能明确指示应用层协议类型，导致对应用分类能力较弱，而精准的应用分类对于实施服务质量保障至关重要。此外，对称路由、丢包和重传现象会干扰流量特征的精确确定，影响检测精确度；而且很多流量特征并非P2P流量所独有，其他应用也可能出现类似特征，需要结合端口检测等技术排除干扰。

3.2基于传输层行为特征的识别

此方法依据P2P流量在传输层的一般特性，结合传统端口检测技术识别P2P流量。