摘要：P2P網(wǎng)絡(luò)應(yīng)用快速發(fā)展，帶來(lái)網(wǎng)絡(luò)安全防護(hù)漏洞和隱患。如何有效地監(jiān)控P2P流，進(jìn)行相關(guān)的流識(shí)別、流篩選、流控制是流管理中的重要問(wèn)題。通過(guò)分析P2P協(xié)議及簽名特征，提出一種基于簽名特征的P2P流分析方法，通過(guò)實(shí)驗(yàn)分析相關(guān)P2P應(yīng)用軟件，得到相關(guān)軟件的簽名特征，并判斷網(wǎng)絡(luò)數(shù)據(jù)流是否為P2P流?？捎行У靥岣逷2P流識(shí)別的效率，解決檢測(cè)信息過(guò)多、過(guò)濾信息性能瓶頸等問(wèn)題。
關(guān)鍵詞：P2P網(wǎng)絡(luò)；流量檢測(cè)；簽名特征

    近年來(lái)，網(wǎng)絡(luò)技術(shù)快速發(fā)展，特別是對(duì)等網(wǎng)的迅速發(fā)展已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)之一，基于P2P網(wǎng)絡(luò)之上的相關(guān)應(yīng)用正逐漸占據(jù)互聯(lián)網(wǎng)應(yīng)用的重要地位，并被視為未來(lái)網(wǎng)絡(luò)技術(shù)發(fā)展的主要趨勢(shì)，相對(duì)于傳統(tǒng)網(wǎng)絡(luò)，對(duì)等網(wǎng)依靠非中心節(jié)點(diǎn)、分布式結(jié)構(gòu)模型，實(shí)現(xiàn)對(duì)等協(xié)作和資源共享，并具有自組織、容錯(cuò)性強(qiáng)、可擴(kuò)展以及負(fù)載均衡等優(yōu)點(diǎn)，但P2P是通過(guò)組播方式進(jìn)行通信，它允許單個(gè)用戶未經(jīng)授權(quán)或檢驗(yàn)而任意分發(fā)內(nèi)容，其傳播范圍廣，穿透性強(qiáng)，帶來(lái)網(wǎng)絡(luò)安全防護(hù)漏洞和隱患。如何有效地監(jiān)控P2P流，進(jìn)行相關(guān)的流識(shí)別。流篩選、流控制是流管理中的重要問(wèn)題。
    早期的P2P應(yīng)用都是固定的端口號(hào)，容易檢測(cè)便于管理，近年來(lái)，該應(yīng)用逐漸發(fā)展到動(dòng)態(tài)隨機(jī)端口號(hào)，而且近期涌現(xiàn)的新型P2P應(yīng)用越來(lái)越具有反偵察的意識(shí)，并采用了一些偽裝或加密的方法，如：偽裝Http協(xié)議、加密、傳輸分塊等來(lái)逃避識(shí)別和檢測(cè)，這些技術(shù)使得P2P流識(shí)別變得更為困難。目前，P2P應(yīng)用快速發(fā)展和變化，新的P2P應(yīng)用不斷出現(xiàn)，其結(jié)構(gòu)更為復(fù)雜，應(yīng)用領(lǐng)域也更為廣泛，隨著網(wǎng)絡(luò)帶寬的不斷拓展，單位時(shí)間的流量將更為龐大，而P2P流識(shí)別必須解決單位時(shí)間內(nèi)在線監(jiān)測(cè)分析的問(wèn)題，這將給數(shù)據(jù)的采集、監(jiān)測(cè)、分析帶來(lái)更多困難。如何讓識(shí)別算法適應(yīng)網(wǎng)絡(luò)流量的快速發(fā)展，使得監(jiān)測(cè)的信息最多，過(guò)濾效果最好，也是當(dāng)前急需解決的問(wèn)題。

1 P2P流量檢測(cè)的識(shí)別方法
1．1 端口識(shí)別檢測(cè)方法
    早期，P2P流識(shí)別主要采取的是端口識(shí)別和數(shù)據(jù)包檢測(cè)方法，Madhukar等對(duì)端口識(shí)別法的有效性進(jìn)行了研究，并采用實(shí)際數(shù)據(jù)觀察。研究表明，端口識(shí)別法對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流50％～70％無(wú)法有效識(shí)別。
1．2 統(tǒng)計(jì)特征的方法
    基于協(xié)議和統(tǒng)計(jì)特征的方法是一類重要的P2P流識(shí)別方法，如Constantinou提出了網(wǎng)絡(luò)直徑分析法，通過(guò)記錄網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)與其他節(jié)點(diǎn)建立連接的情況得到鏈接的邏輯拓?fù)鋱D，并轉(zhuǎn)換為網(wǎng)絡(luò)直徑，如網(wǎng)絡(luò)直徑超過(guò)某個(gè)門(mén)閾值，可認(rèn)為該網(wǎng)絡(luò)為P2P網(wǎng)絡(luò)。Thomas Karagiannis等提出了協(xié)議和地址端口分析方法，P2P系統(tǒng)通常采用UDP來(lái)發(fā)送命令等控制信息，TCP協(xié)議來(lái)傳輸數(shù)據(jù)。傳統(tǒng)網(wǎng)絡(luò)的應(yīng)用軟件，很少出現(xiàn)同時(shí)使用UDP協(xié)議和TCP協(xié)議，如有同時(shí)使用兩種協(xié)議可認(rèn)為是P2P流。
1．3 檢測(cè)協(xié)議特征的方法
    數(shù)據(jù)包協(xié)議特征檢測(cè)方法主要用于入侵檢測(cè)，根據(jù)預(yù)定義的協(xié)議特征辨別其應(yīng)用類型，當(dāng)前許多P2P應(yīng)用識(shí)別方案都基于這種方法。通過(guò)TCP／IP層之上的應(yīng)用層協(xié)議分析軟件進(jìn)行流量分析和特征分析，監(jiān)控并找出其協(xié)議特征碼，以下就是各種不同的P2P網(wǎng)絡(luò)協(xié)議的特性：

2 簽名特征的抓取及實(shí)驗(yàn)數(shù)據(jù)分析
    簽名技術(shù)需要訪問(wèn)每一個(gè)數(shù)據(jù)包中的用戶載荷，每一種P2P應(yīng)用都具有與協(xié)議相關(guān)的簽名特征，為了對(duì)比分析方便，選取目前使用較為廣泛的Sniffer軟件，通過(guò)抓取對(duì)應(yīng)協(xié)議數(shù)據(jù)包，觀察關(guān)鍵字、命令、選項(xiàng)等可觀察的特征內(nèi)容，找到其已知的特征串。
    實(shí)現(xiàn)簽名特征技術(shù)的關(guān)鍵問(wèn)題在于，首先通過(guò)分析P2P流是TCP數(shù)據(jù)包還是UDP數(shù)據(jù)包，或者兩者皆有；其次P2P應(yīng)用層的簽名可以應(yīng)用到單一的數(shù)據(jù)包，也可應(yīng)用到重組的數(shù)據(jù)包中。
    Emule／Edonkey協(xié)議：采用TCP或UDP通信，缺省端口4661-4665，第一字節(jié)特征串為0xe3，0xc5。

    Kazaa協(xié)議：對(duì)數(shù)據(jù)包進(jìn)行加密，很難了解到協(xié)議的具體細(xì)節(jié)，在Kazaa中，文件通常以偽裝的HTTP形式發(fā)送。

    Gnutella協(xié)議：使用TCP建立一個(gè)高度互聯(lián)的拓?fù)浣Y(jié)構(gòu)，為子節(jié)點(diǎn)提供網(wǎng)絡(luò)服務(wù)，當(dāng)兩個(gè)Gnutella節(jié)點(diǎn)建立連接后，需要一個(gè)握手來(lái)交換一下必要的數(shù)據(jù)信息。
    明文檢查UDP包起始數(shù)據(jù)是否為“GNUTELL”或“GND”

    Gnutella命令特征：負(fù)載最后以“＼r＼n”結(jié)尾，而且起始數(shù)據(jù)為：“GET／get／”
    Vagaa協(xié)議分析：Vagaa和Emule／EDonkey一樣也是一種較為流行的P2P軟件。它的協(xié)議分析如下：
    發(fā)送請(qǐng)求數(shù)據(jù)包特征：16進(jìn)制表示為：78 01 7B DC C9 C0 C0 3F 90 B8 6E 97 E6 35 3E A6 92 73 F3 A5 64 1B 14 F2 77
    確認(rèn)數(shù)據(jù)包特征：16進(jìn)制表示：DE AD BE EF
    PPLive協(xié)議：作為一款流行的P2P在線視頻播放軟件，通過(guò)對(duì)PPLive流量的抓取分析，發(fā)現(xiàn)PPLive的UDP數(shù)據(jù)包具有的簽名特征，如表5所示。

    BitTorrent協(xié)議：BitTorrent是非常流行的文檔下載軟件，通過(guò)對(duì)BitTorrent的TCP握手信息進(jìn)行分析，發(fā)現(xiàn)其簽名特征，如表6所示。

    BitTorrent在下載過(guò)程中與Tracker服務(wù)器進(jìn)行通信，它采用HTTP協(xié)議，通過(guò)分析其HTTP流，發(fā)現(xiàn)其簽名特征：

    UDP包特征：UDP長(zhǎng)度24字節(jié)(含UDP頭)，起始8個(gè)字節(jié)為：00 00 04 17 27 10 19 80
    TCP包特征：第一字節(jié)為0x13，后續(xù)數(shù)據(jù)為：“BitTorrentprotocol”

3 結(jié)束語(yǔ)
    文中通過(guò)對(duì)各時(shí)期P2P流量檢測(cè)技術(shù)回顧，闡述了流量檢測(cè)技術(shù)的進(jìn)展，提出一種基于協(xié)議簽名特征的P2P流識(shí)別方法。首先，通過(guò)Snif fer軟件對(duì)數(shù)據(jù)包進(jìn)行抓取，并進(jìn)行特征分析、關(guān)鍵字分析，進(jìn)行預(yù)判；然后，再進(jìn)行深度掃描，對(duì)數(shù)據(jù)流進(jìn)行較精確判決，根據(jù)流的協(xié)議特征和行為特征判決方法，判決規(guī)則簡(jiǎn)單，有利于工程應(yīng)用，通過(guò)實(shí)驗(yàn)室小數(shù)據(jù)測(cè)試，實(shí)驗(yàn)證明本文提出的識(shí)別方式可行。下一步工作，可對(duì)簽名特征較為分散的數(shù)據(jù)流進(jìn)行重組，提取更為準(zhǔn)確的簽名特征，進(jìn)行精確判別；另外，隨著網(wǎng)絡(luò)帶寬的快速發(fā)展，大流量、實(shí)時(shí)的檢測(cè)數(shù)據(jù)流，需要進(jìn)一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。