P2P流量監測系統的設計

柴 琦，曹旭東，王洪蕾，王雪鳳（.中國石油大學（北京）北京　049；.國網招遠市供電公司 山東 招遠　65400）

P2P流量監測系統的設計

柴 琦1，曹旭東1，王洪蕾1，王雪鳳2
（1.中國石油大學（北京）北京102249；2.國網招遠市供電公司 山東 招遠265400）

基于提高加密P2P類流量識別率的目的，本文通過改進流量識別技術的方法，提出了一種DPI技術與DFI技術相結的改進方案。并對多種應用進行反復測試，通過對前后識別結果的比對，驗證該方法的可行性，識別率提高到95％以上。

P2P；流量識別與控制；深度報文檢測技術；深度流檢測技術

人們的網絡活動由web瀏覽已擴展到現在紛繁復雜的網絡應用，如今視頻通話、在線會議、遠程操作等多元化方式已經融入人們的生活，截至到2015年6月中國互聯網覆蓋率達到48.8％，網民數量達6.68億人次［1］。

傳統網絡中的信息資源共享是“以服務器為中心”的工作模式［2］，服務提供者與服務使用者之間的界限非常清晰，P2P網絡則淡化了這一點，所有客戶機同時兼具服務的提供方和使用方兩個身份，整個網絡不依賴于專用的集中式服務，如即時通信Yahoo Messenger、MSN等進行文件傳輸等大數據量業務時一般都會使用P2P模式［3］。P2P類的應用占用了大量帶寬，影響用戶上網體驗，另外運營商也急需通過分析和挖掘用戶上網行為和習慣來開展一些增值業務。

1　相關技術的分析

1.1流量識別技術

1.1.1基于端口的識別技術

早期，根據互聯網編號分配管理署統一分配給網絡協議或互聯網應用的固定端口號，我們可以使用基于端口的識別技術［4］對一些基本應用或協議進行識別。但是，隨著互聯網應用的激增以及網絡協議的發展，一些開發商為了避開防火墻的過濾，采用動態端口技術，使得傳統的基于端口的識別技術已經無法滿足市場需求，被網絡流量識別系統的開發人員用作了一種輔助的技術手段。

針對這種情況，人們開始轉向對網絡通信協議的分析，特別是針對TCP/IP模型中的傳輸層和應用層的特點來識別網絡流量。

1.1.2基于應用層的識別技術

最為常見的就是DPI，即深度報文檢測技術。相對于傳統端口識別技術，它不僅能夠讀取報文中的五元組信息，包括源地址，目的地址，源端口，目的端口及協議類型，還可以分析應用層的負載信息，也就是檢查應用層TCP或UDP的負載部分，是否存在所要識別的應用特征。

但是，由于DPI技術［5］需要讀取應用層負載也就是用戶信息，這樣不僅侵犯用戶的隱私權，而且對于一些加密的或者使用UDP協議的流量無法進行識別。

1.1.3基于傳輸層的識別技術

基于上述情況，對于這種DPI無法識別的，很難提取特定字符串的流量，就可以通過對其傳輸層的行為特征的研究進行識別，通常使用DFI的檢測技術，即深度流檢測技術?；贒FI的檢測技術［6］是建立一個流量行為特征的模型，通過分析傳輸層協議類型、上下行流量比例關系以及數據包的包長范圍、時間間隔、負載長度、連接速率等特征同最初統計設置的流量模型相比較，來實現對網絡流量的識別［7］。其中，主要使用了機器語言學習和數據挖掘技術的分類算法對互聯網通信傳輸過程中的特征進行統計［8］。

1.2流量控制技術

網絡流量控制就是指利用軟、硬件方式來實現對網絡數據流量的控制目的?？梢岳斫鉃橐环N流量整形，是一個網絡交通管理技術，通過延緩部分或所有數據包等手段，使之符合人們所需的網絡交通規則和速率限制。

一種是TCP窗口整形技術［9］，主要是接收方根據自身的數據接受能力，通過滑動窗口機制來限制發送方數據的傳輸速率。其優勢在于可以對每個TCP會話進行監控和干擾，有效控制信息源發送信息量、發送時間和頻率。

另一種是旁路干擾技術，與TCP窗口整形技術所不同的是其控制設備是旁路部署在網絡中，不需要與通信雙方的主機建立握手過程。不僅可以通過偽裝通信雙方發送干擾數據的手段來實現TCP重傳，還可以通過對應用層協議信令的干擾來達到對UDP流量控制目的［10］。

2　P2P流量監測系統的設計與改進

2.1模塊的設計

如圖1所示，是本文設計的互聯網流量監控系統結構圖。

圖1　流量監測系統的結構圖

1）流量識別模塊是整個系統的關鍵模塊，它主要負責對流經設備的所有數據流量進行準確識別和分類，并將結果發送給控制模塊。該模塊由兩部分組成：DPI檢測器和DFI檢測器。

2）知識庫模塊主要包括應用特征庫和應用樣本庫兩部分。對各類互聯網應用提取應用層負載信息，分析整理成一個應用特征庫，用于DPI檢測器的識別。將數據預處理器統計的報文上下行特征、包長范圍、時間間隔和負載長度等信息匯總成應用樣本庫。

3）數據存儲模塊主要負責存儲數據流五元組信息、流量識別及阻斷結果等。

4）流量控制模塊主要負責執行接收的策略進行阻斷和控制。主要有兩個部分：策略接收器和控制報文發送器。如圖2所示，當數據流經過系統時，通過識別模塊識別流量類型，將識別結果送給控制模塊，同時根據下發的策略信息，對報文進行轉發或丟棄達到阻斷或限流的目的。

5）交互模塊其實就是整個流量監控系統的前臺控制中心，負責與其他各功能模塊的交互通信，它在完成更新知識庫、配置阻斷策略等功能的同時，提供了一個可視界面，以便用戶實時查看識別及阻斷情況。

2.2P2P流量識別方案的設計與改進

由于基于應用層識別的DPI檢測技術對于一些加密的P2P協議，無法提出合適的特征字段，所以增加DFI檢測模塊進行輔助識別［11］。

如圖3所示為識別模塊的系統流程圖。

圖2　識別與控制模塊原理圖

圖3　識別模塊流程圖

因為DPI檢測技術可以識別70％-80％的應用［12］，為提高檢測效率，我們首先將數據預處理器得到的數據流送入DPI檢測器，其中的DPI匹配引擎結合精確字符串匹配算法和正則表達匹配算法的優點，解決了在正則表達式中精確字符串必須描述成正則表達式的麻煩，同時也簡化了AC引擎中復雜字符串必須描述成多條規則才能準確識別的工作量。解析出的應用層負載信息，在引擎對字符串進行匹配識別前首先要對應用特征庫進行編譯，AC算法要把字符串編譯成AC狀態機，正則表達式算法要把字符串編譯成DFA，通過該優化引擎與應用特征庫信息進行匹配，即可識別到相關應用，隨后將結果遞送給數據存儲模塊。

例如，我們在分析“百度云盤”應用時，可以從所抓取的報文中發現URL字段開頭為“POST”，同時Host部分有“pan. baidu.com”的標志性字符串，經過對大量報文分析從而判定同時存在這兩段的字符串信息的報文，為百度云盤上傳文件的流量，如圖4所示。通過對報文細粒度的分析我們就很容易從百度云流量中細化出上傳或者下載流量，做到流量精確化識別。

然后，對于DPI識別出的流量采集其報文上下行特征、包長范圍、時間間隔和負載長度等特征［13］，送入一個預備樣本庫，利用機器學習［14-15］的方法訓練預備樣本庫，這樣就可以有效記錄已識別的流量傳輸特征，根據采集的信息建立分類模型，將訓練后的預備樣本庫分類器用于應用樣本庫中，當未知流量通過DFI檢測器時，根據采集的未知流量傳輸特征與應用樣本庫進行比對，就可以有效的識別到應用。

圖4　百度云盤的報文

3　應用場景方案的設計與結果分析

本文設計的互聯網流量監測系統主要部署在外部網絡和內部網絡之間。在實驗室搭建了一個基礎平臺來完成互聯網應用的識別與控制。如圖5所示，內、外部網絡交互的流量會通過流量控制設備的前臺，管理員通過流量控制系統的后臺對網絡流量進行實時監控。

圖5　應用場景網絡部署圖

可以同時配置多個阻斷策略，以Skype為例，接入網絡添加Skype_VoIP和Skype_IM的阻斷策略后，打開Skype軟件嘗試反復通信，如下圖6所示，其中default為系統默認策略，不影響測試環境，分別利用Skype軟件進行語音、視頻通話，測試過程中阻斷命中協議Skype_VoIP和Skype_IM，嘗試語音、視頻連線，阻斷連線請求，無法進行通信。

圖6　Skype阻斷測試后臺

選取4個代表性應用Skype、酷我音樂、迅雷、百度云盤分別進行測試。首先配置網絡環境，在使用Wireshark軟件抓包前，需將連入網內的其他應用關閉，保證抓取報文的純凈度，保證識別結果的準確性。識別結果如表1。

由表1結果分析可以發現，所測試的應用軟件識別率均在95％以上，而誤報率和漏報率也在誤差允許范圍內，達到預期效果。測試應用軟件，配置相應策略，反復通信5次以上，都顯示阻斷成功，符合預期要求。

4　結束語

文中通過對互聯網通信現狀的分析，針對目前流行的網絡流量特點，提出了一種高校可行的實施方案，改進了互聯網流量識別的方法，提高了識別的精確度，同時解決了DPI技術的不能識別P2P加密流量的局限性問題。

表1　識別與測試結果

［1］第三十六次中國互聯網絡發展狀況統計報告［R］.北京.中國互聯網絡信息中心.2015

［2］雷鳴.網絡流量監控系統的設計與實現［D］.天津：天津中國民航大學，2014.

［3］Se-Hee Han，James Won-Ki Hong.The Architecture of NGMON：A Passive Network Monitoring System for High-Speed IP Networks［J］.Lecture Notes In Computer Science，2002，2506:16-27.

［4］劉穎秋，李巍，李云春.網絡流量分類與應用識別的研究［J］.計算機應用研究，2008（5）:1492-1495.

［5］李天楓，姚欣，王勁松.大規模網絡異常流量實時云監測平臺研究［J］.信息網絡安全，2014（9）:1-5.

［6］張瀚，辛陽.基于DPI技術的P2P流量檢測系統設計［J］.信息網絡安全，2012（10）:36-40.

［7］張峰.基于機器學習的VoIP流量識別技術研究［D］.武漢：華中師范大學，2013.

［8］Sen S，Spatscheck O，Wang D:Accurate，scalable in-network identification of p2p traffic using application signatures. WWW’04［C］//Proceedings of the 13th International Conference on World Wide Web.ACM，New York，2004:512-521.

［9］Cascarano N，Este A，Gringoli F，et al.An experimental evaluation of the computational cost of a DPI traffic classifier［C］//IEEE Global Telecommunications Conference，2009.

［10］肖梅.基于樸素貝葉斯算法的VoIP流量識別技術研究［J］.北京：信息網絡安全，2015（10）:74-79.

［11］米淑云.IP網絡流量監控系統的設計與實現［D］.北京：北京郵電大學，2009.

［12］程博，辛陽.基于VOIP的語音視頻流量監控方案設計與實施［J］.信息網絡安全，2014（6）:53-58.

［13］馬麗娜.基于機器學習的GTalk流量識別系統的設計與實現［D］.哈爾濱：哈爾濱工業大學，2013.

［14］吳倩.基于DPI與DFI的流量識別與控制系統的設計與實現［D］.成都:電子科技大學，2013.

［15］陳朝暉.一種基于DPI和DFI技術的應用識別系統［J］.中國高新技術企業，2011（6）:77-80.

The design of the P2P traffic monitoring system

CHAI Qi1，CAO Xu-dong1，WANG Hong-lei1，WANG Xue-feng2
（1.China University of Petroleum-Beijing，Beijing 102249，China；2.State Grid Zhaoyuan Power Supply Company，Zhaoyuan 265400，China）

Based on the purpose of improving the identification of encrypted P2P traffic.By improving the method of traffic identification technology，this paper proposes an improved project that combin DPI and DFI technology.And repeated testing of a variety of applications.The feasibility of the method is verified by comparing the results of pre and post recognition.And the recognition rate is increased to more than 95％.

P2P；traffic identification and control；DPI；DFI

TN919.5

A

1674－6236（2016）11-0064-03

2016-01-23稿件編號：201601218

國家發改委下一代互聯網技術在智慧油田的應用示范項目（CNGI-12-03-043）

柴 琦（1988—），女，黑龍江安達人，碩士研究生。研究方向：信號檢測預處理。