基于P2P流量檢測(cè)的簽名特征匹配研究

陳 慶，楊正華，曾愛(ài)華

（1.吉首大學(xué) 信息科學(xué)與工程學(xué)院，湖南 吉首 416000；2.湘西州廣播電視大學(xué) 湖南 吉首 416000）

近年來(lái)，網(wǎng)絡(luò)技術(shù)快速發(fā)展，特別是對(duì)等網(wǎng)的迅速發(fā)展已經(jīng)成為業(yè)界關(guān)注的焦點(diǎn)之一，基于P2P網(wǎng)絡(luò)之上的相關(guān)應(yīng)用正逐漸占據(jù)互聯(lián)網(wǎng)應(yīng)用的重要地位，并被視為未來(lái)網(wǎng)絡(luò)技術(shù)發(fā)展的主要趨勢(shì)，相對(duì)于傳統(tǒng)網(wǎng)絡(luò)，對(duì)等網(wǎng)依靠非中心節(jié)點(diǎn)、分布式結(jié)構(gòu)模型，實(shí)現(xiàn)對(duì)等協(xié)作和資源共享，并具有自組織、容錯(cuò)性強(qiáng)、可擴(kuò)展以及負(fù)載均衡等優(yōu)點(diǎn)，但P2P是通過(guò)組播方式進(jìn)行通信，它允許單個(gè)用戶(hù)未經(jīng)授權(quán)或檢驗(yàn)而任意分發(fā)內(nèi)容，其傳播范圍廣，穿透性強(qiáng)，帶來(lái)網(wǎng)絡(luò)安全防護(hù)漏洞和隱患[1]。如何有效地監(jiān)控P2P流，進(jìn)行相關(guān)的流識(shí)別。流篩選、流控制是流管理中的重要問(wèn)題。

早期的P2P應(yīng)用都是固定的端口號(hào)，容易檢測(cè)便于管理，近年來(lái)，該應(yīng)用逐漸發(fā)展到動(dòng)態(tài)隨機(jī)端口號(hào)，而且近期涌現(xiàn)的新型P2P應(yīng)用越來(lái)越具有反偵察的意識(shí)，并采用了一些偽裝或加密的方法，如：偽裝Http協(xié)議、加密、傳輸分塊等來(lái)逃避識(shí)別和檢測(cè)[2]，這些技術(shù)使得P2P流識(shí)別變得更為困難。目前，P2P應(yīng)用快速發(fā)展和變化，新的P2P應(yīng)用不斷出現(xiàn)，其結(jié)構(gòu)更為復(fù)雜，應(yīng)用領(lǐng)域也更為廣泛，隨著網(wǎng)絡(luò)帶寬的不斷拓展，單位時(shí)間的流量將更為龐大，而P2P流識(shí)別必須解決單位時(shí)間內(nèi)在線監(jiān)測(cè)分析的問(wèn)題，這將給數(shù)據(jù)的采集、監(jiān)測(cè)、分析帶來(lái)更多困難[3]。如何讓識(shí)別算法適應(yīng)網(wǎng)絡(luò)流量的快速發(fā)展，使得監(jiān)測(cè)的信息最多，過(guò)濾效果最好，也是當(dāng)前急需解決的問(wèn)題。

1 P2P流量檢測(cè)的識(shí)別方法

1.1 端口識(shí)別檢測(cè)方法

早期，P2P流識(shí)別主要采取的是端口識(shí)別和數(shù)據(jù)包檢測(cè)方法，Madhukar等對(duì)端口識(shí)別法的有效性進(jìn)行了研究[4]，并采用實(shí)際數(shù)據(jù)觀察。研究表明，端口識(shí)別法對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流50%～70%無(wú)法有效識(shí)別[5]。

1.2 統(tǒng)計(jì)特征的方法

基于協(xié)議和統(tǒng)計(jì)特征的方法是一類(lèi)重要的P2P流識(shí)別方法[6]，如Constantinou提出了網(wǎng)絡(luò)直徑分析法[7]，通過(guò)記錄網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)與其他節(jié)點(diǎn)建立連接的情況得到鏈接的邏輯拓?fù)鋱D，并轉(zhuǎn)換為網(wǎng)絡(luò)直徑，如網(wǎng)絡(luò)直徑超過(guò)某個(gè)門(mén)閾值，可認(rèn)為該網(wǎng)絡(luò)為P2P網(wǎng)絡(luò)。Thomas Karagiannis等提出了協(xié)議和地址端口分析方法[8-9]，P2P系統(tǒng)通常采用UDP來(lái)發(fā)送命令等控制信息，TCP協(xié)議來(lái)傳輸數(shù)據(jù)。傳統(tǒng)網(wǎng)絡(luò)的應(yīng)用軟件，很少出現(xiàn)同時(shí)使用UDP協(xié)議和TCP協(xié)議，如有同時(shí)使用兩種協(xié)議可認(rèn)為是P2P流。

1.3 檢測(cè)協(xié)議特征的方法

數(shù)據(jù)包協(xié)議特征檢測(cè)方法主要用于入侵檢測(cè)，根據(jù)預(yù)定義的協(xié)議特征辨別其應(yīng)用類(lèi)型[10]，當(dāng)前許多P2P應(yīng)用識(shí)別方案都基于這種方法。通過(guò)TCP/IP層之上的應(yīng)用層協(xié)議分析軟件進(jìn)行流量分析和特征分析，監(jiān)控并找出其協(xié)議特征碼，以下就是各種不同的P2P網(wǎng)絡(luò)協(xié)議的特性：

表1 P2P網(wǎng)絡(luò)協(xié)議特性對(duì)比Tab.1 P2P network protocol characteristics

2 簽名特征的抓取及實(shí)驗(yàn)數(shù)據(jù)分析

簽名技術(shù)需要訪問(wèn)每一個(gè)數(shù)據(jù)包中的用戶(hù)載荷，每一種P2P應(yīng)用都具有與協(xié)議相關(guān)的簽名特征，為了對(duì)比分析方便，選取目前使用較為廣泛的Sniffer軟件，通過(guò)抓取對(duì)應(yīng)協(xié)議數(shù)據(jù)包，觀察關(guān)鍵字、命令、選項(xiàng)等可觀察的特征內(nèi)容，找到其已知的特征串。

實(shí)現(xiàn)簽名特征技術(shù)的關(guān)鍵問(wèn)題在于，首先通過(guò)分析P2P流是TCP數(shù)據(jù)包還是UDP數(shù)據(jù)包，或者兩者皆有；其次P2P應(yīng)用層的簽名可以應(yīng)用到單一的數(shù)據(jù)包，也可應(yīng)用到重組的數(shù)據(jù)包中。

Emule/Edonkey協(xié)議：采用TCP或 UDP通信，缺省端口4661-4665，第一字節(jié)特征串為 0xe3，0xc5。

表2 Emule/Edonkey協(xié)議特征Tab.2 Emule/Edonkey protocol characteristics

Kazaa協(xié)議：對(duì)數(shù)據(jù)包進(jìn)行加密，很難了解到協(xié)議的具體細(xì)節(jié)，在Kazaa中，文件通常以偽裝的HTTP形式發(fā)送。

表3 Kazaa協(xié)議特征Tab.3 Kazaa protocol characteristics

Gnutella協(xié)議：使用TCP建立一個(gè)高度互聯(lián)的拓?fù)浣Y(jié)構(gòu)，為子節(jié)點(diǎn)提供網(wǎng)絡(luò)服務(wù)，當(dāng)兩個(gè)Gnutella節(jié)點(diǎn)建立連接后，需要一個(gè)握手來(lái)交換一下必要的數(shù)據(jù)信息。

明文檢查UDP包起始數(shù)據(jù)是否為“GNUTELLA”或“GND”

表4 Gnutella協(xié)議特征Tab.4 Gnutella protocol characteristics

Gnutella命令特征：負(fù)載最后以“ ”結(jié)尾，而且起始數(shù)據(jù)為：“GET/get/”

Vagaa協(xié)議分析：Vagaa和Emule/EDonkey一樣也是一種較為流行的P2P軟件。它的協(xié)議分析如下：

發(fā)送請(qǐng)求數(shù)據(jù)包特征：16進(jìn)制表示為：78 01 7B DC C9 C0 C0 3F 90 B8 6E 97 E6 35 3E A6 92 73 F3 A5 64 1B 14 F2 77

確認(rèn)數(shù)據(jù)包特征：16進(jìn)制表示：DE AD BE EF

PPLive協(xié)議：作為一款流行的P2P在線視頻播放軟件，通過(guò)對(duì)PPLive流量的抓取分析，發(fā)現(xiàn)PPLive的UDP數(shù)據(jù)包具有的簽名特征，如表5所示。

表5 PPLive協(xié)議特征Tab.5 PPLive protocol characteristics

BitTorrent協(xié)議：BitTorrent是非常流行的文檔下載軟件，通過(guò)對(duì)BitTorrent的TCP握手信息進(jìn)行分析，發(fā)現(xiàn)其簽名特征，如表6所示。

表6 BitTorrent TCP協(xié)議特征Tab.6 BitTorrent TCP protocol characteristics

BitTorrent在下載過(guò)程中與Tracker服務(wù)器進(jìn)行通信，它采用HTTP協(xié)議，通過(guò)分析其HTTP流，發(fā)現(xiàn)其簽名特征：

表7 BitTorrent HTTP協(xié)議特征Tab.7 BitTorrent HTTP protocol characteristics

UDP包特征：UDP長(zhǎng)度24字節(jié) （含UDP頭），起始8個(gè)字節(jié)為：00 00 04 17 27 10 19 80

TCP包特征：第一字節(jié)為0x13，后續(xù)數(shù)據(jù)為：“BitTorrent protocol”

3 結(jié)束語(yǔ)

文中通過(guò)對(duì)各時(shí)期P2P流量檢測(cè)技術(shù)回顧，闡述了流量檢測(cè)技術(shù)的進(jìn)展，提出一種基于協(xié)議簽名特征的P2P流識(shí)別方法。首先，通過(guò)Sniffer軟件對(duì)數(shù)據(jù)包進(jìn)行抓取，并進(jìn)行特征分析、關(guān)鍵字分析，進(jìn)行預(yù)判；然后，再進(jìn)行深度掃描，對(duì)數(shù)據(jù)流進(jìn)行較精確判決，根據(jù)流的協(xié)議特征和行為特征判決方法，判決規(guī)則簡(jiǎn)單，有利于工程應(yīng)用，通過(guò)實(shí)驗(yàn)室小數(shù)據(jù)測(cè)試，實(shí)驗(yàn)證明本文提出的識(shí)別方式可行。下一步工作，可對(duì)簽名特征較為分散的數(shù)據(jù)流進(jìn)行重組，提取更為準(zhǔn)確的簽名特征，進(jìn)行精確判別；另外，隨著網(wǎng)絡(luò)帶寬的快速發(fā)展，大流量、實(shí)時(shí)的檢測(cè)數(shù)據(jù)流，需要進(jìn)一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。

[1]Tutschku K.A Measurement-based Traffic Profile of the eDonkey Filesahring Service [C]//Passive and Active Measurement Workshop， Cambridge，2004.

[2]Zhou L，Li Z，Liu B.P2P traffie identifieation by TCP flow analysis[C]//Proceedings of Institute Workshop on Networking，Architecture and Storages，Shenyang，2006：47-48.

[3]Holger，B.P.R.Erwin，and Z.Stefan.Evaluation of an Effieient Measurement Concept for P2P MultiProtocol Traffie Analysis.in Software Engineering and Advanced Applications[C]//2006.SEAA’06.32nd EUROMICRO Conference on 2006.Cavtat，Dubrovnik，Croatia：IEEE Comput.Soc.，2006：414-423.

[4]Madhukar A，Williamso C.A Longitudinal Study of P2P Traffic Classification in Modeling[C]//Analysis，and Simulation of Computer and Teleconununication Systems.Monterey Califomia：IEEE，2006：179-188.

[5]王銳，王逸欣，樊愛(ài)華，等.一種跨P2P流量檢測(cè)方法[J].計(jì)算機(jī)應(yīng)用，2006，26（12）：30-32.

WANG Rui，WANG Yi-xin，F(xiàn)AN Ai-hua，et al.A cross P2P flow detection method[J].Computer Application，2006，26（12）：30-32.

[6]張文，沈磊.基于特征進(jìn)程的P2P流量識(shí)別 [J].計(jì)算機(jī)工程，2008，34（15）：120-122.

ZHANG Wen，SHEN Lei.Based on the characteristics of the process P2P traffic identification[J].Computer Engineering，2008，34（15）：120-122.

[7]Constantinou F，Mavrommatis P.Identifying known and unknown peer-to-peer traffic[J].Fifth IEEE International Symposium on Network Computing and Applications，2006：93-102.

[8]KaragiannisT，Broido A，F(xiàn)aloutsosM.Transportlayer identification of P2P traffic[C]//In：Proceedings of the 4th ACM SIGCOMM Conference on Internet Measurement（IMC 2004），Taormina，Italy，2004：121-134.

[9]劉文超，陳琳，向華.P2P流量檢測(cè)技術(shù)與分析[J].現(xiàn)代電子技術(shù)，2011（22）：39-41，45.

LIU Wen-chao，CHEN Lin，XIANG Hua.P2P traffic detection technology and analysis[J].Modern Electronic Technique，2011（22）：39-41,45.

[10]沈富可，常潘，任肖麗.基于神經(jīng)網(wǎng)絡(luò)的P2P流量識(shí)別研究[J].計(jì)算機(jī)應(yīng)用，2007，27（12）：44-51.

SHEN Fu-ke，CHANG Pan，REN Xiao-li.Based on neural networks the research of P2P traffic identification[J].Computer Application，2007，27（12）：44-51.