河北科技大學(xué)信息與工程學(xué)院 魏春花 楊奎河

基于行為關(guān)聯(lián)的有狀態(tài)P2P識別方法

河北科技大學(xué)信息與工程學(xué)院 魏春花 楊奎河

P2P軟件的廣泛使用雖然給大家?guī)砹撕艽蟮姆奖悖瑫r也出現(xiàn)了一系列問題。如：網(wǎng)絡(luò)擁堵，網(wǎng)絡(luò)服務(wù)質(zhì)量問題，帶寬分配不均衡等。所以，實現(xiàn)對P2P軟件的識別及控制顯得尤為重要。本文根據(jù)P2P網(wǎng)絡(luò)出現(xiàn)的問題，提出了一種新的識別方法---基于行為關(guān)聯(lián)的有狀態(tài)的識別方法。該方法根據(jù)P2P數(shù)據(jù)流的行為狀態(tài)特征來獲取本地端口，然后對該本地端口加以控制，從而實現(xiàn)對P2P數(shù)據(jù)流的識別與控制。該方法有兩種獲取端口的方式：DNS獲取端口方式、DPI獲取端口方式。初步實驗表明該方法對P2P應(yīng)用的UDP連接是有效可行的。

P2P；行為關(guān)聯(lián)；深度包檢測技術(shù)（DPI）；深度流檢測技術(shù)（DFI）

1.引言

P2P即端到端網(wǎng)絡(luò)應(yīng)用，又稱為對等連接或?qū)Φ染W(wǎng)絡(luò)，是一種新的通信模式。P2P網(wǎng)絡(luò)中的節(jié)點是對等的，且每個peer能同時充當(dāng)服務(wù)器和客戶端。相對于傳統(tǒng)C／S模式，對等網(wǎng)絡(luò)(Peer-to-Peer，P2P)技術(shù)充分發(fā)揮以往被忽略的眾多個人計算機(Peer節(jié)點)的作用，使服務(wù)分散化，具有很大的優(yōu)勢。近年來，P2P的用戶規(guī)模、應(yīng)用類型和流量均呈爆發(fā)式增長。騰迅日前發(fā)布最新數(shù)據(jù)顯示，基于P2P技術(shù)的QQ聊天軟件同時在線人數(shù)日均4000萬。同樣，中國互聯(lián)網(wǎng)實際流量模式分析報告表明，P2P流量已占整個互聯(lián)網(wǎng)流量的60%。德國互聯(lián)網(wǎng)調(diào)研機構(gòu)ipoque稱，P2P已經(jīng)徹底統(tǒng)治了當(dāng)今的互聯(lián)網(wǎng)，其中50%～90%的總流量都來自P2P程序。

隨著P2P技術(shù)的發(fā)展和成熟，人們在享受這項技術(shù)便利的同時，也出現(xiàn)了許多問題。據(jù)最新的統(tǒng)計顯示，累計端到端業(yè)務(wù)已占互聯(lián)網(wǎng)業(yè)務(wù)總量的60%以上，這無疑會引起網(wǎng)絡(luò)帶寬的巨大消耗，造成網(wǎng)絡(luò)擁塞，降低網(wǎng)絡(luò)性能。因此，對P2P應(yīng)用實現(xiàn)識別及控制是亟待解決的問題。

2.幾種常用的P2P識別方法

隨著P2P技術(shù)的迅猛發(fā)展，P2P軟件的越來越多，快速高效的識別P2P流量數(shù)據(jù)包越來越困難。現(xiàn)在比較常用的P2P檢測方式有：端口識別方法、深度包檢測識別方法和深度流檢測識別方法。

表1 幾種常用P2P應(yīng)用默認(rèn)端口號

表2 幾種常用P2P協(xié)議負(fù)載特征

圖1 迅雷.pcap

2.1 端口檢測識別方法

端口檢測識別方法是一種很簡單的識別方法，它具有簡單、高效、易實現(xiàn)的優(yōu)點。該方法在早期的一些P2P控制管理軟件中經(jīng)常被使用，此時，網(wǎng)絡(luò)管理員只需要將源或目的端口與P2P應(yīng)用的默認(rèn)端口(如表1)進(jìn)行匹配即可，如果匹配成功表明這個流是P2P應(yīng)用產(chǎn)生的流量，否則就不是P2P應(yīng)用產(chǎn)生的流量。這種方法的精確度和實時性都很好，但是隨著P2P技術(shù)的發(fā)展，P2P軟件經(jīng)常使用動態(tài)端口或偽裝端口，有時為了躲避防火墻的封堵，還用一些常用端口，如80端口就被很多非web應(yīng)用程序使用，以躲避那些不過濾80端口的防火墻。因此，不能再單純的依賴端口來識別這些協(xié)議，而要結(jié)合其他的方式一起來識別，如表1所示。

2.2 基于深度包檢測的識別方法

圖2 PPS.pcap

DPI（Deep Packet Inspection，深度包檢測）技術(shù)是近年來出現(xiàn)的一種協(xié)議識別技術(shù)，DPI技術(shù)在分析包頭的基礎(chǔ)上，增加了對應(yīng)用層的分析，是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流經(jīng)過基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時，DPI引擎通過深入讀取IP包載荷來對OSI 7層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從識別出IP包中的應(yīng)用層協(xié)議。

不同的應(yīng)用通常會采用不同的協(xié)議，而各種協(xié)議都有其特殊的指紋，這些指紋可能是特定的端口、特定的字符串或者是特定的Bit序列?；谔卣髯值淖R別技術(shù)，正是通過識別數(shù)據(jù)報文中的指紋信息來確定業(yè)務(wù)所承載的應(yīng)用。根據(jù)具體檢測方式的不同，基于特征字的識別技術(shù)又可細(xì)分為固定特征位置匹配、變動特征位置匹配和狀態(tài)特征字匹配三種分支技術(shù)。通過對指紋信息的升級，基于特征字的識別技術(shù)可以方便的擴展到對新協(xié)議的檢測。

這種識別方法對大部分的常規(guī)協(xié)議都是適用的，但是對加密協(xié)議和擴展協(xié)議還有困難，需要通過其他方法來識別。表2中是幾種常見協(xié)議的舉例，用該方法識別及控制都很好，幾種常用P2P協(xié)議負(fù)載特征見表2。

2.3 基于深度流檢測的識別方法

與DPI進(jìn)行應(yīng)用層的載荷匹配不同，DFI采用的是一種基于流量行為的應(yīng)用識別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。例如，網(wǎng)上IP語音流量體現(xiàn)在流狀態(tài)上的特征就非常明顯：RTP流的包長相對固定，一般在130～220byte，連接速率較低，為20～84kbit/s，同時會話持續(xù)時間也相對較長；而基于P2P下載應(yīng)用的流量模型的特點為平均包長都在450byte以上、下載時間長、連接速率高、首選傳輸層協(xié)議為TCP協(xié)議等。DFI技術(shù)正是基于這一系列流量的行為特征，建立流量特征模型，通過分析會話連接流的包長、連接速率、傳輸字節(jié)量、包與包之間的間隔等信息來與流量模型對比，進(jìn)一步識別應(yīng)用類型。該方法對P2P加密協(xié)議和擴展協(xié)議類有效果，但是針對具體協(xié)議不是很準(zhǔn)確。當(dāng)使用DPI技術(shù)不能識別時，可考慮使用該方法。該方法還有待進(jìn)一步的研究。

3.基于行為關(guān)聯(lián)的有狀態(tài)的檢測方法

一個典型的P2P是由許多終端構(gòu)成的，每個終端都是一個服務(wù)器，這個終端可以同時為其它終端提供服務(wù)?；谛袨殛P(guān)聯(lián)的有狀態(tài)識別技術(shù)的基本思想是從終端雙方的通信過程中尋找特征數(shù)據(jù)，這些特征數(shù)據(jù)不限于某條特定的連接，如果特征匹配，那么系統(tǒng)將記錄該終端的行為，而不是某條連接。一旦該終端的行為被識別出來，那么后續(xù)同該終端通信的數(shù)據(jù)流量無須重新驗證，就可以被識別為相同的應(yīng)用。這種方法不但提高了識別效率，同時也極大的提高了系統(tǒng)的性能。

在基于行為關(guān)聯(lián)的有狀態(tài)識別技術(shù)的基礎(chǔ)上向智能方面進(jìn)一步發(fā)展，該技術(shù)可以從多條連接中自動根據(jù)某種統(tǒng)計規(guī)律來識別某些特征不明顯或者被加密了的通信協(xié)議（如SkyPe、百度影音、迅雷下載等），在保證性能的同時，提高了系統(tǒng)識別的準(zhǔn)確性。這種技術(shù)針對P2P應(yīng)用尤其有效。

使用該方法對迅雷，快車，PPstream及各類P2P下載軟件進(jìn)行實踐分析，發(fā)現(xiàn)大部分P2P軟件都是通過UDP連接進(jìn)行下載的。且P2P軟件使用UDP進(jìn)行下載時，都有一種行為特征：本地端口雖然是不確定的，卻有個共同的特點，即端口一旦生成，后續(xù)所有UDP數(shù)據(jù)包均會通過該端口進(jìn)行傳輸。此時就需要尋找一種行為或狀態(tài)特征來將這種行為特征具體化---找到本地下載端口，便可控制所有的UDP連接。根據(jù)P2P軟件的行為或狀態(tài)特征有以下兩種獲取端口的方式：

①DNS獲取端口方式

P2P軟件的行為特征：終端通過DNS（域名解析）請求得到服務(wù)器IP地址，終端IP地址請求域名解析得到的IP地址，建立UDP連接。根據(jù)以上行為特征，通過連接關(guān)聯(lián)性，得到終端端口，該方法即為DNS獲取端口方式。

以迅雷為例加以說明，如圖1所示。

第一步：迅雷軟件通過域名解析得到hub5pnc.sandai.net的IP地址：222.141.53.2。

第二步：本地IP地址請求服務(wù)器IP地址：222.141.53.2，其IP地址對應(yīng)的目的端口為8000，通過該目的端口得到的源端口為11371，在后續(xù)的UDP數(shù)據(jù)包中均會使用11371端口。但是這個本地端口不是唯一的，還有其他域名得到的端口，需將所有端口記錄下來，但是只有一個是主要流量下載端口；

此外，迅雷還有一個特點：每隔5-10秒會向兩個服務(wù)器進(jìn)行心跳，這樣可以保持端口的生命值。

第三步：對以上得到的目的地址和源端口在一定時間內(nèi)進(jìn)行封鎖，即可對UDP數(shù)據(jù)包進(jìn)行控制。

②DPI獲取端口方式

P2P軟件的狀態(tài)特征：即P2P數(shù)據(jù)包負(fù)載的共同特征。從具有該共同特征的數(shù)據(jù)包中提取終端端口的方法即為DPI獲取端口方式。

以pps為例加以說明，如圖2所示。

第一步：找出數(shù)據(jù)包的共同特征：數(shù)據(jù)包DATA部分偏移1byte為起始位置的2byte為“00 43”，且數(shù)據(jù)包中包含字符串”pps://”。

第二步：具有該特征的數(shù)據(jù)包的源端口為1594，在后續(xù)的UDP數(shù)據(jù)包中均會使用1594端口進(jìn)行請求。該源端口并不是唯一的，也還有其他的端口，需要將所有的端口都記錄下來。

第三步：將上述得到的原端口在一定時間內(nèi)封鎖，即可對UDP數(shù)據(jù)包進(jìn)行控制。

通過以上兩種方式即可識別控制P2P的UDP連接。剩下的TCP連接可以結(jié)合使用DPI方式或DFI的方式進(jìn)行解決。如：通過迅雷數(shù)據(jù)包負(fù)載內(nèi)容的8byte開始的4bits為其長度特征來識別控制其TCP連接；PPStream數(shù)據(jù)包的TCP流則有以下特征：“vodguide.pps.tv”、“stat.ppstream.com”和“pl.pps.tv”特征，可通過這些負(fù)載特征對其TCP流進(jìn)行識別和控制。

4.總結(jié)

通過以上分析可知，基于行為關(guān)聯(lián)的有狀態(tài)的識別方法是在方法2.1和方法2.2的基礎(chǔ)上加上特定的行為特征而提出的的一種高效的識別方法，對P2P應(yīng)用有很高的識別效率，大部分P2P應(yīng)用都可以通過該方法得到有效的控制。優(yōu)點如下：

1）該方法沿用了基于端口匹配技術(shù)簡單、高效的特點；

2）具有深度包檢測技術(shù)的高可靠性、高準(zhǔn)確度的特點；

3）由于該方法具有一定的行為特征，所有能夠識別一些加密的數(shù)據(jù)流。

綜上可知，本方案是將端口匹配方法、負(fù)載匹配方法及數(shù)據(jù)的一些行為特征融合在一起而形成的一種新的高效的識別方法，該方法既提高了整個P2P識別系統(tǒng)的識別率、精確度，且減小了誤報率，還能有效地識別一些擴展協(xié)議和加密數(shù)據(jù)流。所以，該方法是一種比較好的識別方法。

雖然基于行為關(guān)聯(lián)的有狀態(tài)的識別方法是一種不錯的識別方法，但它也有自身的局限性，即該方法只能用于UDP連接，對TCP連接無效。為了更好的識別控制P2P流量，下一步的工作重點是研究TCP連接。具有明顯負(fù)載特征的TCP數(shù)據(jù)流，可用深度包檢測方式來識別；而無明顯負(fù)載特征的TCP數(shù)據(jù)流主要考慮使用DFI技術(shù)來實現(xiàn)。所以，接下來的主要任務(wù)是研究DFI技術(shù)，通過使用該技術(shù)來識別P2P中無明顯負(fù)載特征的TCP數(shù)據(jù)流，其主要包括P2P加密協(xié)議和擴展協(xié)議。

[1]周維,劉芳好,羅宇,談子龍,趙留濤,劉東映.P2P應(yīng)用特征檢測與識別[J].計算機應(yīng)用,2009,29.

[2]刁娜.P2P流量識別技術(shù)研究[J].電信快報,2009(2).[3]溫超,鄭雪峰,戚翔,于真.基于流量分析的P2P協(xié)議識別方法的研究[J].微計算機應(yīng)用,2007,28(7):1-2.

[4]龍坤,陳庶樵,董永吉.P2P流量識別方法比較研究[J].信息工程大學(xué)學(xué)報,2009,10(2).

[5]魯剛,張宏莉,葉麟.P2P流量識別[J].軟件學(xué)報,2011,22(6).

魏春花（1983—），女，山東單縣人，河北科技大學(xué)碩士研究生，軟件設(shè)計師，在北京天融信科技有限公司實習(xí)。