基于P2P流量檢測的簽名特征匹配研究

摘要：P2P網(wǎng)絡(luò )應用快速發(fā)展，帶來(lái)網(wǎng)絡(luò )安全防護漏洞和隱患。如何有效地監控P2P流，進(jìn)行相關(guān)的流識別、流篩選、流控制是流管理中的重要問(wèn)題。通過(guò)分析P2P協(xié)議及簽名特征，提出一種基于簽名特征的P2P流分析方法，通過(guò)實(shí)驗分析相關(guān)P2P應用軟件，得到相關(guān)軟件的簽名特征，并判斷網(wǎng)絡(luò )數據流是否為P2P流?？捎行У靥岣逷2P流識別的效率，解決檢測信息過(guò)多、過(guò)濾信息性能瓶頸等問(wèn)題。
關(guān)鍵詞：P2P網(wǎng)絡(luò )；流量檢測；簽名特征

近年來(lái)，網(wǎng)絡(luò )技術(shù)快速發(fā)展，特別是對等網(wǎng)的迅速發(fā)展已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)之一，基于P2P網(wǎng)絡(luò )之上的相關(guān)應用正逐漸占據互聯(lián)網(wǎng)應用的重要地位，并被視為未來(lái)網(wǎng)絡(luò )技術(shù)發(fā)展的主要趨勢，相對于傳統網(wǎng)絡(luò )，對等網(wǎng)依靠非中心節點(diǎn)、分布式結構模型，實(shí)現對等協(xié)作和資源共享，并具有自組織、容錯性強、可擴展以及負載均衡等優(yōu)點(diǎn)，但P2P是通過(guò)組播方式進(jìn)行通信，它允許單個(gè)用戶(hù)未經(jīng)授權或檢驗而任意分發(fā)內容，其傳播范圍廣，穿透性強，帶來(lái)網(wǎng)絡(luò )安全防護漏洞和隱患。如何有效地監控P2P流，進(jìn)行相關(guān)的流識別。流篩選、流控制是流管理中的重要問(wèn)題。
早期的P2P應用都是固定的端口號，容易檢測便于管理，近年來(lái)，該應用逐漸發(fā)展到動(dòng)態(tài)隨機端口號，而且近期涌現的新型P2P應用越來(lái)越具有反偵察的意識，并采用了一些偽裝或加密的方法，如：偽裝Http協(xié)議、加密、傳輸分塊等來(lái)逃避識別和檢測，這些技術(shù)使得P2P流識別變得更為困難。目前，P2P應用快速發(fā)展和變化，新的P2P應用不斷出現，其結構更為復雜，應用領(lǐng)域也更為廣泛，隨著(zhù)網(wǎng)絡(luò )帶寬的不斷拓展，單位時(shí)間的流量將更為龐大，而P2P流識別必須解決單位時(shí)間內在線(xiàn)監測分析的問(wèn)題，這將給數據的采集、監測、分析帶來(lái)更多困難。如何讓識別算法適應網(wǎng)絡(luò )流量的快速發(fā)展，使得監測的信息最多，過(guò)濾效果最好，也是當前急需解決的問(wèn)題。

1 P2P流量檢測的識別方法
1．1 端口識別檢測方法
早期，P2P流識別主要采取的是端口識別和數據包檢測方法，Madhukar等對端口識別法的有效性進(jìn)行了研究，并采用實(shí)際數據觀(guān)察。研究表明，端口識別法對網(wǎng)絡(luò )中的數據流50％～70％無(wú)法有效識別。
1．2 統計特征的方法
基于協(xié)議和統計特征的方法是一類(lèi)重要的P2P流識別方法，如Constantinou提出了網(wǎng)絡(luò )直徑分析法，通過(guò)記錄網(wǎng)絡(luò )中每個(gè)節點(diǎn)與其他節點(diǎn)建立連接的情況得到鏈接的邏輯拓撲圖，并轉換為網(wǎng)絡(luò )直徑，如網(wǎng)絡(luò )直徑超過(guò)某個(gè)門(mén)閾值，可認為該網(wǎng)絡(luò )為P2P網(wǎng)絡(luò )。Thomas Karagiannis等提出了協(xié)議和地址端口分析方法，P2P系統通常采用UDP來(lái)發(fā)送命令等控制信息，TCP協(xié)議來(lái)傳輸數據。傳統網(wǎng)絡(luò )的應用軟件，很少出現同時(shí)使用UDP協(xié)議和TCP協(xié)議，如有同時(shí)使用兩種協(xié)議可認為是P2P流。
1．3 檢測協(xié)議特征的方法
數據包協(xié)議特征檢測方法主要用于入侵檢測，根據預定義的協(xié)議特征辨別其應用類(lèi)型，當前許多P2P應用識別方案都基于這種方法。通過(guò)TCP／IP層之上的應用層協(xié)議分析軟件進(jìn)行流量分析和特征分析，監控并找出其協(xié)議特征碼，以下就是各種不同的P2P網(wǎng)絡(luò )協(xié)議的特性：