河北科技大學(xué)信息與工程學(xué)院 魏春花 楊奎河

基于行為關(guān)聯(lián)的有狀態(tài)P2P識(shí)別方法

河北科技大學(xué)信息與工程學(xué)院 魏春花 楊奎河

P2P軟件的廣泛使用雖然給大家?guī)?lái)了很大的方便，但同時(shí)也出現(xiàn)了一系列問(wèn)題。如：網(wǎng)絡(luò)擁堵，網(wǎng)絡(luò)服務(wù)質(zhì)量問(wèn)題，帶寬分配不均衡等。所以，實(shí)現(xiàn)對(duì)P2P軟件的識(shí)別及控制顯得尤為重要。本文根據(jù)P2P網(wǎng)絡(luò)出現(xiàn)的問(wèn)題，提出了一種新的識(shí)別方法---基于行為關(guān)聯(lián)的有狀態(tài)的識(shí)別方法。該方法根據(jù)P2P數(shù)據(jù)流的行為狀態(tài)特征來(lái)獲取本地端口，然后對(duì)該本地端口加以控制，從而實(shí)現(xiàn)對(duì)P2P數(shù)據(jù)流的識(shí)別與控制。該方法有兩種獲取端口的方式：DNS獲取端口方式、DPI獲取端口方式。初步實(shí)驗(yàn)表明該方法對(duì)P2P應(yīng)用的UDP連接是有效可行的。

P2P；行為關(guān)聯(lián)；深度包檢測(cè)技術(shù)（DPI）；深度流檢測(cè)技術(shù)（DFI）

1.引言

P2P即端到端網(wǎng)絡(luò)應(yīng)用，又稱為對(duì)等連接或?qū)Φ染W(wǎng)絡(luò)，是一種新的通信模式。P2P網(wǎng)絡(luò)中的節(jié)點(diǎn)是對(duì)等的，且每個(gè)peer能同時(shí)充當(dāng)服務(wù)器和客戶端。相對(duì)于傳統(tǒng)C／S模式，對(duì)等網(wǎng)絡(luò)(Peer-to-Peer，P2P)技術(shù)充分發(fā)揮以往被忽略的眾多個(gè)人計(jì)算機(jī)(Peer節(jié)點(diǎn))的作用，使服務(wù)分散化，具有很大的優(yōu)勢(shì)。近年來(lái)，P2P的用戶規(guī)模、應(yīng)用類型和流量均呈爆發(fā)式增長(zhǎng)。騰迅日前發(fā)布最新數(shù)據(jù)顯示，基于P2P技術(shù)的QQ聊天軟件同時(shí)在線人數(shù)日均4000萬(wàn)。同樣，中國(guó)互聯(lián)網(wǎng)實(shí)際流量模式分析報(bào)告表明，P2P流量已占整個(gè)互聯(lián)網(wǎng)流量的60%。德國(guó)互聯(lián)網(wǎng)調(diào)研機(jī)構(gòu)ipoque稱，P2P已經(jīng)徹底統(tǒng)治了當(dāng)今的互聯(lián)網(wǎng)，其中50%～90%的總流量都來(lái)自P2P程序。

隨著P2P技術(shù)的發(fā)展和成熟，人們?cè)谙硎苓@項(xiàng)技術(shù)便利的同時(shí)，也出現(xiàn)了許多問(wèn)題。據(jù)最新的統(tǒng)計(jì)顯示，累計(jì)端到端業(yè)務(wù)已占互聯(lián)網(wǎng)業(yè)務(wù)總量的60%以上，這無(wú)疑會(huì)引起網(wǎng)絡(luò)帶寬的巨大消耗，造成網(wǎng)絡(luò)擁塞，降低網(wǎng)絡(luò)性能。因此，對(duì)P2P應(yīng)用實(shí)現(xiàn)識(shí)別及控制是亟待解決的問(wèn)題。

2.幾種常用的P2P識(shí)別方法

隨著P2P技術(shù)的迅猛發(fā)展，P2P軟件的越來(lái)越多，快速高效的識(shí)別P2P流量數(shù)據(jù)包越來(lái)越困難?，F(xiàn)在比較常用的P2P檢測(cè)方式有：端口識(shí)別方法、深度包檢測(cè)識(shí)別方法和深度流檢測(cè)識(shí)別方法。

表1 幾種常用P2P應(yīng)用默認(rèn)端口號(hào)

表2 幾種常用P2P協(xié)議負(fù)載特征

圖1 迅雷.pcap

2.1 端口檢測(cè)識(shí)別方法

端口檢測(cè)識(shí)別方法是一種很簡(jiǎn)單的識(shí)別方法，它具有簡(jiǎn)單、高效、易實(shí)現(xiàn)的優(yōu)點(diǎn)。該方法在早期的一些P2P控制管理軟件中經(jīng)常被使用，此時(shí)，網(wǎng)絡(luò)管理員只需要將源或目的端口與P2P應(yīng)用的默認(rèn)端口(如表1)進(jìn)行匹配即可，如果匹配成功表明這個(gè)流是P2P應(yīng)用產(chǎn)生的流量，否則就不是P2P應(yīng)用產(chǎn)生的流量。這種方法的精確度和實(shí)時(shí)性都很好，但是隨著P2P技術(shù)的發(fā)展，P2P軟件經(jīng)常使用動(dòng)態(tài)端口或偽裝端口，有時(shí)為了躲避防火墻的封堵，還用一些常用端口，如80端口就被很多非web應(yīng)用程序使用，以躲避那些不過(guò)濾80端口的防火墻。因此，不能再單純的依賴端口來(lái)識(shí)別這些協(xié)議，而要結(jié)合其他的方式一起來(lái)識(shí)別，如表1所示。

2.2 基于深度包檢測(cè)的識(shí)別方法

圖2 PPS.pcap

DPI（Deep Packet Inspection，深度包檢測(cè)）技術(shù)是近年來(lái)出現(xiàn)的一種協(xié)議識(shí)別技術(shù)，DPI技術(shù)在分析包頭的基礎(chǔ)上，增加了對(duì)應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流經(jīng)過(guò)基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí)，DPI引擎通過(guò)深入讀取IP包載荷來(lái)對(duì)OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從識(shí)別出IP包中的應(yīng)用層協(xié)議。

不同的應(yīng)用通常會(huì)采用不同的協(xié)議，而各種協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者是特定的Bit序列?；谔卣髯值淖R(shí)別技術(shù)，正是通過(guò)識(shí)別數(shù)據(jù)報(bào)文中的指紋信息來(lái)確定業(yè)務(wù)所承載的應(yīng)用。根據(jù)具體檢測(cè)方式的不同，基于特征字的識(shí)別技術(shù)又可細(xì)分為固定特征位置匹配、變動(dòng)特征位置匹配和狀態(tài)特征字匹配三種分支技術(shù)。通過(guò)對(duì)指紋信息的升級(jí)，基于特征字的識(shí)別技術(shù)可以方便的擴(kuò)展到對(duì)新協(xié)議的檢測(cè)。

這種識(shí)別方法對(duì)大部分的常規(guī)協(xié)議都是適用的，但是對(duì)加密協(xié)議和擴(kuò)展協(xié)議還有困難，需要通過(guò)其他方法來(lái)識(shí)別。表2中是幾種常見(jiàn)協(xié)議的舉例，用該方法識(shí)別及控制都很好，幾種常用P2P協(xié)議負(fù)載特征見(jiàn)表2。

2.3 基于深度流檢測(cè)的識(shí)別方法

與DPI進(jìn)行應(yīng)用層的載荷匹配不同，DFI采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同。例如，網(wǎng)上IP語(yǔ)音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯：RTP流的包長(zhǎng)相對(duì)固定，一般在130～220byte，連接速率較低，為20～84kbit/s，同時(shí)會(huì)話持續(xù)時(shí)間也相對(duì)較長(zhǎng)；而基于P2P下載應(yīng)用的流量模型的特點(diǎn)為平均包長(zhǎng)都在450byte以上、下載時(shí)間長(zhǎng)、連接速率高、首選傳輸層協(xié)議為T(mén)CP協(xié)議等。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過(guò)分析會(huì)話連接流的包長(zhǎng)、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來(lái)與流量模型對(duì)比，進(jìn)一步識(shí)別應(yīng)用類型。該方法對(duì)P2P加密協(xié)議和擴(kuò)展協(xié)議類有效果，但是針對(duì)具體協(xié)議不是很準(zhǔn)確。當(dāng)使用DPI技術(shù)不能識(shí)別時(shí)，可考慮使用該方法。該方法還有待進(jìn)一步的研究。

3.基于行為關(guān)聯(lián)的有狀態(tài)的檢測(cè)方法

一個(gè)典型的P2P是由許多終端構(gòu)成的，每個(gè)終端都是一個(gè)服務(wù)器，這個(gè)終端可以同時(shí)為其它終端提供服務(wù)?；谛袨殛P(guān)聯(lián)的有狀態(tài)識(shí)別技術(shù)的基本思想是從終端雙方的通信過(guò)程中尋找特征數(shù)據(jù)，這些特征數(shù)據(jù)不限于某條特定的連接，如果特征匹配，那么系統(tǒng)將記錄該終端的行為，而不是某條連接。一旦該終端的行為被識(shí)別出來(lái)，那么后續(xù)同該終端通信的數(shù)據(jù)流量無(wú)須重新驗(yàn)證，就可以被識(shí)別為相同的應(yīng)用。這種方法不但提高了識(shí)別效率，同時(shí)也極大的提高了系統(tǒng)的性能。

在基于行為關(guān)聯(lián)的有狀態(tài)識(shí)別技術(shù)的基礎(chǔ)上向智能方面進(jìn)一步發(fā)展，該技術(shù)可以從多條連接中自動(dòng)根據(jù)某種統(tǒng)計(jì)規(guī)律來(lái)識(shí)別某些特征不明顯或者被加密了的通信協(xié)議（如SkyPe、百度影音、迅雷下載等），在保證性能的同時(shí)，提高了系統(tǒng)識(shí)別的準(zhǔn)確性。這種技術(shù)針對(duì)P2P應(yīng)用尤其有效。

使用該方法對(duì)迅雷，快車，PPstream及各類P2P下載軟件進(jìn)行實(shí)踐分析，發(fā)現(xiàn)大部分P2P軟件都是通過(guò)UDP連接進(jìn)行下載的。且P2P軟件使用UDP進(jìn)行下載時(shí)，都有一種行為特征：本地端口雖然是不確定的，卻有個(gè)共同的特點(diǎn)，即端口一旦生成，后續(xù)所有UDP數(shù)據(jù)包均會(huì)通過(guò)該端口進(jìn)行傳輸。此時(shí)就需要尋找一種行為或狀態(tài)特征來(lái)將這種行為特征具體化---找到本地下載端口，便可控制所有的UDP連接。根據(jù)P2P軟件的行為或狀態(tài)特征有以下兩種獲取端口的方式：

①DNS獲取端口方式

P2P軟件的行為特征：終端通過(guò)DNS（域名解析）請(qǐng)求得到服務(wù)器IP地址，終端IP地址請(qǐng)求域名解析得到的IP地址，建立UDP連接。根據(jù)以上行為特征，通過(guò)連接關(guān)聯(lián)性，得到終端端口，該方法即為DNS獲取端口方式。

以迅雷為例加以說(shuō)明，如圖1所示。

第一步：迅雷軟件通過(guò)域名解析得到hub5pnc.sandai.net的IP地址：222.141.53.2。

第二步：本地IP地址請(qǐng)求服務(wù)器IP地址：222.141.53.2，其IP地址對(duì)應(yīng)的目的端口為8000，通過(guò)該目的端口得到的源端口為11371，在后續(xù)的UDP數(shù)據(jù)包中均會(huì)使用11371端口。但是這個(gè)本地端口不是唯一的，還有其他域名得到的端口，需將所有端口記錄下來(lái)，但是只有一個(gè)是主要流量下載端口；

此外，迅雷還有一個(gè)特點(diǎn)：每隔5-10秒會(huì)向兩個(gè)服務(wù)器進(jìn)行心跳，這樣可以保持端口的生命值。

第三步：對(duì)以上得到的目的地址和源端口在一定時(shí)間內(nèi)進(jìn)行封鎖，即可對(duì)UDP數(shù)據(jù)包進(jìn)行控制。

②DPI獲取端口方式

P2P軟件的狀態(tài)特征：即P2P數(shù)據(jù)包負(fù)載的共同特征。從具有該共同特征的數(shù)據(jù)包中提取終端端口的方法即為DPI獲取端口方式。

以pps為例加以說(shuō)明，如圖2所示。

第一步：找出數(shù)據(jù)包的共同特征：數(shù)據(jù)包DATA部分偏移1byte為起始位置的2byte為“00 43”，且數(shù)據(jù)包中包含字符串”pps://”。

第二步：具有該特征的數(shù)據(jù)包的源端口為1594，在后續(xù)的UDP數(shù)據(jù)包中均會(huì)使用1594端口進(jìn)行請(qǐng)求。該源端口并不是唯一的，也還有其他的端口，需要將所有的端口都記錄下來(lái)。

第三步：將上述得到的原端口在一定時(shí)間內(nèi)封鎖，即可對(duì)UDP數(shù)據(jù)包進(jìn)行控制。

通過(guò)以上兩種方式即可識(shí)別控制P2P的UDP連接。剩下的TCP連接可以結(jié)合使用DPI方式或DFI的方式進(jìn)行解決。如：通過(guò)迅雷數(shù)據(jù)包負(fù)載內(nèi)容的8byte開(kāi)始的4bits為其長(zhǎng)度特征來(lái)識(shí)別控制其TCP連接；PPStream數(shù)據(jù)包的TCP流則有以下特征：“vodguide.pps.tv”、“stat.ppstream.com”和“pl.pps.tv”特征，可通過(guò)這些負(fù)載特征對(duì)其TCP流進(jìn)行識(shí)別和控制。

4.總結(jié)

通過(guò)以上分析可知，基于行為關(guān)聯(lián)的有狀態(tài)的識(shí)別方法是在方法2.1和方法2.2的基礎(chǔ)上加上特定的行為特征而提出的的一種高效的識(shí)別方法，對(duì)P2P應(yīng)用有很高的識(shí)別效率，大部分P2P應(yīng)用都可以通過(guò)該方法得到有效的控制。優(yōu)點(diǎn)如下：

1）該方法沿用了基于端口匹配技術(shù)簡(jiǎn)單、高效的特點(diǎn)；

2）具有深度包檢測(cè)技術(shù)的高可靠性、高準(zhǔn)確度的特點(diǎn)；

3）由于該方法具有一定的行為特征，所有能夠識(shí)別一些加密的數(shù)據(jù)流。

綜上可知，本方案是將端口匹配方法、負(fù)載匹配方法及數(shù)據(jù)的一些行為特征融合在一起而形成的一種新的高效的識(shí)別方法，該方法既提高了整個(gè)P2P識(shí)別系統(tǒng)的識(shí)別率、精確度，且減小了誤報(bào)率，還能有效地識(shí)別一些擴(kuò)展協(xié)議和加密數(shù)據(jù)流。所以，該方法是一種比較好的識(shí)別方法。

雖然基于行為關(guān)聯(lián)的有狀態(tài)的識(shí)別方法是一種不錯(cuò)的識(shí)別方法，但它也有自身的局限性，即該方法只能用于UDP連接，對(duì)TCP連接無(wú)效。為了更好的識(shí)別控制P2P流量，下一步的工作重點(diǎn)是研究TCP連接。具有明顯負(fù)載特征的TCP數(shù)據(jù)流，可用深度包檢測(cè)方式來(lái)識(shí)別；而無(wú)明顯負(fù)載特征的TCP數(shù)據(jù)流主要考慮使用DFI技術(shù)來(lái)實(shí)現(xiàn)。所以，接下來(lái)的主要任務(wù)是研究DFI技術(shù)，通過(guò)使用該技術(shù)來(lái)識(shí)別P2P中無(wú)明顯負(fù)載特征的TCP數(shù)據(jù)流，其主要包括P2P加密協(xié)議和擴(kuò)展協(xié)議。

[1]周維,劉芳好,羅宇,談子龍,趙留濤,劉東映.P2P應(yīng)用特征檢測(cè)與識(shí)別[J].計(jì)算機(jī)應(yīng)用,2009,29.

[2]刁娜.P2P流量識(shí)別技術(shù)研究[J].電信快報(bào),2009(2).[3]溫超,鄭雪峰,戚翔,于真.基于流量分析的P2P協(xié)議識(shí)別方法的研究[J].微計(jì)算機(jī)應(yīng)用,2007,28(7):1-2.

[4]龍坤,陳庶樵,董永吉.P2P流量識(shí)別方法比較研究[J].信息工程大學(xué)學(xué)報(bào),2009,10(2).

[5]魯剛,張宏莉,葉麟.P2P流量識(shí)別[J].軟件學(xué)報(bào),2011,22(6).

魏春花（1983—），女，山東單縣人，河北科技大學(xué)碩士研究生，軟件設(shè)計(jì)師，在北京天融信科技有限公司實(shí)習(xí)。