商可旻, 武小年

?

基于入侵檢測技術(shù)的P2P行為檢測研究

商可旻, 武小年

(桂林電子科技大學(xué) 信息與通信學(xué)院, 廣西 桂林, 541004)

P2P網(wǎng)絡(luò)行為檢測技術(shù)是近年來網(wǎng)絡(luò)安全研究的熱點(diǎn)課題. 分析了P2P行為檢測技術(shù)的難點(diǎn)，概述了傳統(tǒng)的P2P檢測技術(shù)，并指出了優(yōu)缺點(diǎn). 通過實(shí)驗(yàn)研究P2P數(shù)據(jù)包中的特征值和指紋信息，從分析檢測的規(guī)則集入手，引入Snort開源入侵檢測系統(tǒng)來進(jìn)行P2P應(yīng)用行為檢測，提出了一種基于P2P應(yīng)用程序行為的檢測方法.

P2P; 入侵檢測; 行為分析

近年來，隨著P2P(Pear-to-Pear)技術(shù)的快速發(fā)展和P2P模式在文件共享、網(wǎng)絡(luò)通信、VOIP、流媒體等領(lǐng)域的廣泛應(yīng)用，P2P技術(shù)己引起互聯(lián)網(wǎng)應(yīng)用模式的巨大變革. P2P采用非傳統(tǒng)C/S模式體系架構(gòu)，其各個(gè)節(jié)點(diǎn)(Peer)地位平等，節(jié)點(diǎn)間可以直接共享、檢索和訪問各類資源，并且可以充當(dāng)客戶端、服務(wù)器和應(yīng)用層路由器的角色，而且可以動(dòng)態(tài)加入和撤離，因此在互聯(lián)網(wǎng)基礎(chǔ)構(gòu)建之上組成一個(gè)邏輯的P2P網(wǎng)絡(luò)，即動(dòng)態(tài)覆蓋網(wǎng)絡(luò)(Overlay). 根據(jù)3Com公司白皮書顯示, P2P流量已經(jīng)占據(jù)Internet上70%的流量, 測量結(jié)果表明20%的Peers傳輸90%的P2P流量. P2P使得極少數(shù)人占用絕大部分網(wǎng)絡(luò)帶寬資源，造成網(wǎng)絡(luò)擁塞，影響了用戶體驗(yàn)，也給網(wǎng)絡(luò)管理帶來了巨大挑戰(zhàn). 因此, 有必要對P2P用戶的行為進(jìn)行檢測，發(fā)現(xiàn)和控制濫用網(wǎng)絡(luò)資源的行為，從而使網(wǎng)絡(luò)資源得到合理的利用.

本文分析了P2P行為檢測技術(shù)的難點(diǎn)，通過分析P2P數(shù)據(jù)包中的特征值和指紋信息，研究確定檢測P2P應(yīng)用行為規(guī)則，最后引入完全開源的入侵檢測系統(tǒng)Snort來檢測網(wǎng)絡(luò)中的P2P應(yīng)用行為.

1 P2P檢測技術(shù)的難點(diǎn)

傳統(tǒng)的互聯(lián)網(wǎng)應(yīng)用行為可以通過IANA注冊的已知端口來進(jìn)行識(shí)別，比如HTTP和POP3分別使用80號(hào)與110號(hào)端口, 盡管一些P2P應(yīng)用也使用固定的端口，通過這些端口可以將其產(chǎn)生的行為歸類為P2P. 為了躲避網(wǎng)絡(luò)監(jiān)控系統(tǒng)的控制，P2P應(yīng)用引入了動(dòng)態(tài)協(xié)商端口技術(shù)，甚至通過端口偽裝(如http和ftp端口)來進(jìn)行隱藏和穿透防火墻，因此基于端口來識(shí)別P2P濫用行為將在很大程度上漏報(bào)和錯(cuò)報(bào)P2P應(yīng)用[1].

對于采用集中式和混合式模式的P2P應(yīng)用程序，可以分別通過目錄服務(wù)器和擔(dān)任分布式中心服務(wù)器的節(jié)點(diǎn)IP地址來識(shí)別與其通信的P2P流量, 從而識(shí)別P2P行為，但是對于節(jié)點(diǎn)之間直接交換產(chǎn)生的流量則無法有效識(shí)別.

深度包檢測(DPI，Deep Packet Inspection)進(jìn)行P2P流量識(shí)別是應(yīng)用比較多的技術(shù)，主要原理是通過協(xié)議分析甚至逆向工程的方法來提取P2P應(yīng)用的Layer 7特征關(guān)鍵字符串，并基于五元組流對數(shù)據(jù)包深層掃描不同流之間的關(guān)聯(lián)性以實(shí)現(xiàn)P2P應(yīng)用的識(shí)別[2-3].

基于DPI技術(shù)的P2P應(yīng)用識(shí)別方式的可靠性比較高. 但是，DPI掃描必須對分片數(shù)據(jù)進(jìn)行重組, 該操作與字串的模式匹配查找都屬于計(jì)算昂貴 (Co- mputationally Expensive)類型，因此對計(jì)算機(jī)性能的要求較高；DPI方式無法識(shí)別未知P2P應(yīng)用的流量, 也無法自動(dòng)適應(yīng)P2P演進(jìn)所產(chǎn)生的協(xié)議版本升級(jí)和新應(yīng)用的大量涌現(xiàn); 越來越多的P2P應(yīng)用(如eMule, 新版本Bt, 等)開始采用協(xié)議加密或傳輸分塊機(jī)制, 這使得分析關(guān)鍵字變得十分困難.

為了克服上述技術(shù)的不足，需要借助不依賴于掃描數(shù)據(jù)包的P2P識(shí)別技術(shù). 基于入侵檢測的P2P應(yīng)用行為識(shí)別技術(shù)正是為了彌補(bǔ)上述識(shí)別方法的不足而提出的，主要思想是從研究P2P網(wǎng)絡(luò)固有的本質(zhì)特征入手，通過分析P2P數(shù)據(jù)包的特征歸納出P2P行為的識(shí)別模式和規(guī)則[4].

2 Snort入侵檢測系統(tǒng)

2.1 Snort簡介

Snort是一個(gè)開源的網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS),具有高效率實(shí)時(shí)捕獲和分析數(shù)據(jù)包的功能. 它可以進(jìn)行協(xié)議分析、搜索內(nèi)容和匹配，Snort靈活強(qiáng)大的語言能對網(wǎng)絡(luò)中的所有數(shù)據(jù)包做充分的分析, 決定如何處理特殊的數(shù)據(jù)包. Snort記錄或報(bào)警的方法有很多種, 例如syslog寫入文本、數(shù)據(jù)庫等. 目前Sno- rt已成為網(wǎng)絡(luò)安全監(jiān)控行業(yè)事實(shí)上的標(biāo)準(zhǔn)[5]. Snort的基本組成模塊如圖1所示.

2.2 選擇Snort檢測網(wǎng)絡(luò)中的P2P應(yīng)用行為的主要原因

a. Snort可以用來對數(shù)據(jù)包進(jìn)行捕獲和監(jiān)聽，而且具備網(wǎng)絡(luò)入侵檢測功能；

b. Snort靈活的語言規(guī)則, 可以對數(shù)據(jù)包進(jìn)行收集、拒絕或丟棄操作；

圖1 Snort主要部件

c. Snort源代碼是開放的，因此吸引了許多優(yōu)秀的網(wǎng)絡(luò)安全技術(shù)人員共同完善提升其各項(xiàng)性能，各個(gè)項(xiàng)目小組也可以根據(jù)自身需要對源代碼進(jìn)行修改后使用.

3 對P2P協(xié)議進(jìn)行分析

任何協(xié)議都具有一些特定性，因此我們可以分析協(xié)議在通信過程中數(shù)據(jù)包結(jié)構(gòu)和內(nèi)容來確定特定協(xié)議. 我們選用2種P2P應(yīng)用程序來進(jìn)行分析(見表1). 在網(wǎng)關(guān)服務(wù)器上使用snort捕獲P2P應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包, 分析并獲取特定的特征串匹配規(guī)則和指紋(fingerprint)信息. 通過分析P2P應(yīng)用程序的網(wǎng)絡(luò)數(shù)據(jù)包, 可以得到以下結(jié)論.

表1 分析的應(yīng)用程序

3.1 P2P特征串匹配規(guī)則

Biorrent應(yīng)用程序：在Biorrent包結(jié)構(gòu)中，前4個(gè)ASCII碼中有指定樣式“GET”；之后間隔1個(gè)ASCII碼有“/announce”，再之后4個(gè)偏移位中有“info_hash=”；接著的4個(gè)偏移位中有“event= stwrted”.

eMule應(yīng)用程序：在eMule包結(jié)構(gòu)中，在第2個(gè)ASCII碼位置有“|E3|”特征碼，之后會(huì)有ASCII地址“/url,ww.technik”，之后的3個(gè)偏移位有“class- type: policy”.

3.2 P2P指紋(fingerprint)信息

通過對P2P數(shù)據(jù)包的捕獲分析得到其應(yīng)用程序的指紋(fingerprint)信息(見表2).

表2 應(yīng)用程序指紋

4 定義Snort檢測P2P行為規(guī)則

根據(jù)分析P2P協(xié)議得到的特征串匹配規(guī)則和指紋(fingerprint)信息可以定義snort檢測規(guī)則.

P2P.rules

{

alert tcp $HOME_NET any -> $EXTERNAL_NET

any (msg:"P2P BitTorrent announce request";

flow:to_server,established;content:"GET";depth:4;con

tent:"/announce; |426974546f727265de742070726f74

6f636f6c| "; distance:1; content:"info_hash="; offset:4;

content:"event=started"; offset:4; metadata:policy

security-ips drop; classtype:policy-violation; sid:2180;

rev:4;)

alert http $HOME_NET any -> $EXTERNAL_NET

4242 (msg:"P2P eMule transfer";

flow:to_server,established;

content:"|E3|;|486f73743a207777772e7368617265617

a612e636f6dod0a|";depth:1;

metadata:policysecurity-ipsdrop;

reference:url,www.kom.e-technik.tu-darmstadt.de/pub

lications/abstracts/HB02-1.html;

classtype:policy-violation; sid:2586; rev:3;)

}

5 實(shí)驗(yàn)驗(yàn)證

5.1 測試環(huán)境

系統(tǒng): Microsoft Windows XP Professional Serv- ice Pack 2; 主機(jī): Intel酷睿i3-540 處理器 3.06GHz; 1GB 內(nèi)存; Snort入侵檢測系統(tǒng)：Snort-2.8.6+ mysql- 5.0.22-win32+ idscenter11rc4

5.2 基本架構(gòu)

2臺(tái)計(jì)算機(jī)連接在同一個(gè)局域網(wǎng)內(nèi)并且都可以訪問因特網(wǎng)，1臺(tái)安裝本文所研究之P2P文件下載軟件: Biorrent、eMule; 另1臺(tái)配置安裝有入侵檢測系統(tǒng)Snort. 實(shí)驗(yàn)檢測Snort能否按照定義的規(guī)則(p2p.rules)，檢測到網(wǎng)絡(luò)中存在P2P應(yīng)用程序行為.

5.3 啟動(dòng)snort入侵檢測系統(tǒng)開始測試

在控制臺(tái)輸入如果下命令使用配置規(guī)則集(p2p. rules)開始檢測(見圖2).

命令：snort –c p2p.rules –I 2 A full –l./log啟動(dòng)snort入侵檢測系統(tǒng)后，分別用2種待檢測的P2P應(yīng)用程序從網(wǎng)上下載文件，實(shí)驗(yàn)發(fā)現(xiàn)根據(jù)定義的規(guī)則snort入侵檢測系統(tǒng)能夠準(zhǔn)確地檢測網(wǎng)絡(luò)中的P2P應(yīng)用程序行為，而且機(jī)器耗費(fèi)的CPU與內(nèi)存的占用率維持在比較低的水平，進(jìn)一步我們得到了檢測系統(tǒng)的日志文件：snort.log.1277886362, 內(nèi)容如圖3、4所示：

圖2 啟動(dòng)檢測系統(tǒng)

圖3 檢測系統(tǒng)日志文件數(shù)據(jù)

圖4 檢測系統(tǒng)日志文件數(shù)據(jù)

6 結(jié)論與展望

通過分析P2P協(xié)議得到特征串匹配規(guī)則和指紋(fingerprint)信息，定義了Snort檢測P2P行為的規(guī)則，根據(jù)實(shí)驗(yàn)證明了入侵檢測系統(tǒng)在小型局域網(wǎng)中檢測P2P應(yīng)用行為的有效性和可行性. 但是在大型局域網(wǎng)和高速主干網(wǎng)中檢測P2P行為還存在很多技術(shù)難點(diǎn)，在沒有統(tǒng)一部署P2P網(wǎng)絡(luò)行為監(jiān)控設(shè)施的情況下，要實(shí)現(xiàn)對于P2P應(yīng)用行為的準(zhǔn)確檢測難度較大, 在以后的研究中還需要進(jìn)一步研究新的理論框架和檢測模型.

[1] Moore A, Papagiannaki K. Toward the Accurate Identifi- cation of Network Applications[A]. Sptinger Berlird Hei- delberg Proc of the Passive and Active Network Measur- ement[C]. MarcW, 2005: 41-54.

[2] 楊岳湘, 王銳, 唐川. 基于雙重特征的P2P流量檢測方法[J]. 通信學(xué)報(bào), 2006, 27(11): 134-139.

[3] LIU Gang. Measurements,Modeling and Analysis of Peer-to-Peer Networks[M]. Harbin: Harbin Institute of Technology Press, 2005: 60-65.

[4] 劉嬌蛟, 賀前華. 基于內(nèi)容標(biāo)記的網(wǎng)絡(luò)信息內(nèi)容監(jiān)管方法及實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程與科學(xué), 2006:28(3): 20-23.

[5] 周世杰, 秦志光, 吳春江. 對等網(wǎng)絡(luò)流量檢測技術(shù)研究[J]. 中興通訊技術(shù), 2007, 13(5): 14-18.

Intrusion detection based on behavior of P2P

SHANG Ke-min ,WU Xiao-nian

(Department of Communnications and Information Engineering, Guilin University of Electronic Technology, Guilin 541004, China)

P2P network behavior detection technology is a hot research in recent years. The difficulties of behavior detection technology for P2P was analyzed and the traditional P2P detection technology was overviewed. Furthermore its advantages and disadvantages were analyzed. By the experiment of P2P packet eigenvalue and fingerprint information, the rule set from the start of testing, and the introduction of open source Snort intrusion detection system to detect P2P application behavior, a detection method based on P2P application behavior was put forward.

P2P; intrusion detection; behavior analysis

TP 311.1

A

1672-6146(2010)03-0070-03

10.3969/j.issn.1672-6146.2010.03.018

2010-07-06

商可旻(1986-)，男，碩士研究生, 研究方向?yàn)樾畔踩?