基于P2P流量檢測的簽名特征匹配研究

BitTorrent協(xié)議：BitTorrent是非常流行的文檔下載軟件，通過(guò)對BitTorrent的TCP握手信息進(jìn)行分析，發(fā)現其簽名特征，如表6所示。

BitTorrent在下載過(guò)程中與Tracker服務(wù)器進(jìn)行通信，它采用HTTP協(xié)議，通過(guò)分析其HTTP流，發(fā)現其簽名特征：

UDP包特征：UDP長(cháng)度24字節(含UDP頭)，起始8個(gè)字節為：00 00 04 17 27 10 19 80
TCP包特征：第一字節為0x13，后續數據為：“BitTorrentprotocol”

3 結束語(yǔ)
文中通過(guò)對各時(shí)期P2P流量檢測技術(shù)回顧，闡述了流量檢測技術(shù)的進(jìn)展，提出一種基于協(xié)議簽名特征的P2P流識別方法。首先，通過(guò)Snif fer軟件對數據包進(jìn)行抓取，并進(jìn)行特征分析、關(guān)鍵字分析，進(jìn)行預判；然后，再進(jìn)行深度掃描，對數據流進(jìn)行較精確判決，根據流的協(xié)議特征和行為特征判決方法，判決規則簡(jiǎn)單，有利于工程應用，通過(guò)實(shí)驗室小數據測試，實(shí)驗證明本文提出的識別方式可行。下一步工作，可對簽名特征較為分散的數據流進(jìn)行重組，提取更為準確的簽名特征，進(jìn)行精確判別；另外，隨著(zhù)網(wǎng)絡(luò )帶寬的快速發(fā)展，大流量、實(shí)時(shí)的檢測數據流，需要進(jìn)一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。