基于P2P流量檢測的簽名特征匹配研究

摘要：P2P網絡應用快速發(fā)展，帶來網絡安全防護漏洞和隱患。如何有效地監(jiān)控P2P流，進行相關的流識別、流篩選、流控制是流管理中的重要問題。通過分析P2P協(xié)議及簽名特征，提出一種基于簽名特征的P2P流分析方法，通過實驗分析相關P2P應用軟件，得到相關軟件的簽名特征，并判斷網絡數據流是否為P2P流?？捎行У靥岣逷2P流識別的效率，解決檢測信息過多、過濾信息性能瓶頸等問題。
關鍵詞：P2P網絡；流量檢測；簽名特征

    近年來，網絡技術快速發(fā)展，特別是對等網的迅速發(fā)展已經成為業(yè)界關注的焦點之一，基于P2P網絡之上的相關應用正逐漸占據互聯(lián)網應用的重要地位，并被視為未來網絡技術發(fā)展的主要趨勢，相對于傳統(tǒng)網絡，對等網依靠非中心節(jié)點、分布式結構模型，實現對等協(xié)作和資源共享，并具有自組織、容錯性強、可擴展以及負載均衡等優(yōu)點，但P2P是通過組播方式進行通信，它允許單個用戶未經授權或檢驗而任意分發(fā)內容，其傳播范圍廣，穿透性強，帶來網絡安全防護漏洞和隱患。如何有效地監(jiān)控P2P流，進行相關的流識別。流篩選、流控制是流管理中的重要問題。
    早期的P2P應用都是固定的端口號，容易檢測便于管理，近年來，該應用逐漸發(fā)展到動態(tài)隨機端口號，而且近期涌現的新型P2P應用越來越具有反偵察的意識，并采用了一些偽裝或加密的方法，如：偽裝Http協(xié)議、加密、傳輸分塊等來逃避識別和檢測，這些技術使得P2P流識別變得更為困難。目前，P2P應用快速發(fā)展和變化，新的P2P應用不斷出現，其結構更為復雜，應用領域也更為廣泛，隨著網絡帶寬的不斷拓展，單位時間的流量將更為龐大，而P2P流識別必須解決單位時間內在線監(jiān)測分析的問題，這將給數據的采集、監(jiān)測、分析帶來更多困難。如何讓識別算法適應網絡流量的快速發(fā)展，使得監(jiān)測的信息最多，過濾效果最好，也是當前急需解決的問題。

1 P2P流量檢測的識別方法
1．1 端口識別檢測方法
    早期，P2P流識別主要采取的是端口識別和數據包檢測方法，Madhukar等對端口識別法的有效性進行了研究，并采用實際數據觀察。研究表明，端口識別法對網絡中的數據流50％～70％無法有效識別。
1．2 統(tǒng)計特征的方法
    基于協(xié)議和統(tǒng)計特征的方法是一類重要的P2P流識別方法，如Constantinou提出了網絡直徑分析法，通過記錄網絡中每個節(jié)點與其他節(jié)點建立連接的情況得到鏈接的邏輯拓撲圖，并轉換為網絡直徑，如網絡直徑超過某個門閾值，可認為該網絡為P2P網絡。Thomas Karagiannis等提出了協(xié)議和地址端口分析方法，P2P系統(tǒng)通常采用UDP來發(fā)送命令等控制信息，TCP協(xié)議來傳輸數據。傳統(tǒng)網絡的應用軟件，很少出現同時使用UDP協(xié)議和TCP協(xié)議，如有同時使用兩種協(xié)議可認為是P2P流。
1．3 檢測協(xié)議特征的方法
    數據包協(xié)議特征檢測方法主要用于入侵檢測，根據預定義的協(xié)議特征辨別其應用類型，當前許多P2P應用識別方案都基于這種方法。通過TCP／IP層之上的應用層協(xié)議分析軟件進行流量分析和特征分析，監(jiān)控并找出其協(xié)議特征碼，以下就是各種不同的P2P網絡協(xié)議的特性：

2 簽名特征的抓取及實驗數據分析
    簽名技術需要訪問每一個數據包中的用戶載荷，每一種P2P應用都具有與協(xié)議相關的簽名特征，為了對比分析方便，選取目前使用較為廣泛的Sniffer軟件，通過抓取對應協(xié)議數據包，觀察關鍵字、命令、選項等可觀察的特征內容，找到其已知的特征串。
    實現簽名特征技術的關鍵問題在于，首先通過分析P2P流是TCP數據包還是UDP數據包，或者兩者皆有；其次P2P應用層的簽名可以應用到單一的數據包，也可應用到重組的數據包中。
    Emule／Edonkey協(xié)議：采用TCP或UDP通信，缺省端口4661-4665，第一字節(jié)特征串為0xe3，0xc5。

    Kazaa協(xié)議：對數據包進行加密，很難了解到協(xié)議的具體細節(jié)，在Kazaa中，文件通常以偽裝的HTTP形式發(fā)送。

    Gnutella協(xié)議：使用TCP建立一個高度互聯(lián)的拓撲結構，為子節(jié)點提供網絡服務，當兩個Gnutella節(jié)點建立連接后，需要一個握手來交換一下必要的數據信息。
    明文檢查UDP包起始數據是否為“GNUTELL”或“GND”

    Gnutella命令特征：負載最后以“＼r＼n”結尾，而且起始數據為：“GET／get／”
    Vagaa協(xié)議分析：Vagaa和Emule／EDonkey一樣也是一種較為流行的P2P軟件。它的協(xié)議分析如下：
    發(fā)送請求數據包特征：16進制表示為：78 01 7B DC C9 C0 C0 3F 90 B8 6E 97 E6 35 3E A6 92 73 F3 A5 64 1B 14 F2 77
    確認數據包特征：16進制表示：DE AD BE EF
    PPLive協(xié)議：作為一款流行的P2P在線視頻播放軟件，通過對PPLive流量的抓取分析，發(fā)現PPLive的UDP數據包具有的簽名特征，如表5所示。

    BitTorrent協(xié)議：BitTorrent是非常流行的文檔下載軟件，通過對BitTorrent的TCP握手信息進行分析，發(fā)現其簽名特征，如表6所示。

    BitTorrent在下載過程中與Tracker服務器進行通信，它采用HTTP協(xié)議，通過分析其HTTP流，發(fā)現其簽名特征：

    UDP包特征：UDP長度24字節(jié)(含UDP頭)，起始8個字節(jié)為：00 00 04 17 27 10 19 80
    TCP包特征：第一字節(jié)為0x13，后續(xù)數據為：“BitTorrentprotocol”

3 結束語
    文中通過對各時期P2P流量檢測技術回顧，闡述了流量檢測技術的進展，提出一種基于協(xié)議簽名特征的P2P流識別方法。首先，通過Snif fer軟件對數據包進行抓取，并進行特征分析、關鍵字分析，進行預判；然后，再進行深度掃描，對數據流進行較精確判決，根據流的協(xié)議特征和行為特征判決方法，判決規(guī)則簡單，有利于工程應用，通過實驗室小數據測試，實驗證明本文提出的識別方式可行。下一步工作，可對簽名特征較為分散的數據流進行重組，提取更為準確的簽名特征，進行精確判別；另外，隨著網絡帶寬的快速發(fā)展，大流量、實時的檢測數據流，需要進一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。