柴 琦，曹旭東，王洪蕾，王雪鳳（.中國石油大學（北京）北京　049；.國網(wǎng)招遠市供電公司 山東 招遠　65400）

P2P流量監(jiān)測系統(tǒng)的設計

柴 琦1，曹旭東1，王洪蕾1，王雪鳳2
（1.中國石油大學（北京）北京102249；2.國網(wǎng)招遠市供電公司 山東 招遠265400）

基于提高加密P2P類流量識別率的目的，本文通過改進流量識別技術的方法，提出了一種DPI技術與DFI技術相結的改進方案。并對多種應用進行反復測試，通過對前后識別結果的比對，驗證該方法的可行性，識別率提高到95％以上。

P2P；流量識別與控制；深度報文檢測技術；深度流檢測技術

人們的網(wǎng)絡活動由web瀏覽已擴展到現(xiàn)在紛繁復雜的網(wǎng)絡應用，如今視頻通話、在線會議、遠程操作等多元化方式已經(jīng)融入人們的生活，截至到2015年6月中國互聯(lián)網(wǎng)覆蓋率達到48.8％，網(wǎng)民數(shù)量達6.68億人次［1］。

傳統(tǒng)網(wǎng)絡中的信息資源共享是“以服務器為中心”的工作模式［2］，服務提供者與服務使用者之間的界限非常清晰，P2P網(wǎng)絡則淡化了這一點，所有客戶機同時兼具服務的提供方和使用方兩個身份，整個網(wǎng)絡不依賴于專用的集中式服務，如即時通信Yahoo Messenger、MSN等進行文件傳輸?shù)却髷?shù)據(jù)量業(yè)務時一般都會使用P2P模式［3］。P2P類的應用占用了大量帶寬，影響用戶上網(wǎng)體驗，另外運營商也急需通過分析和挖掘用戶上網(wǎng)行為和習慣來開展一些增值業(yè)務。

1　相關技術的分析

1.1流量識別技術

1.1.1基于端口的識別技術

早期，根據(jù)互聯(lián)網(wǎng)編號分配管理署統(tǒng)一分配給網(wǎng)絡協(xié)議或互聯(lián)網(wǎng)應用的固定端口號，我們可以使用基于端口的識別技術［4］對一些基本應用或協(xié)議進行識別。但是，隨著互聯(lián)網(wǎng)應用的激增以及網(wǎng)絡協(xié)議的發(fā)展，一些開發(fā)商為了避開防火墻的過濾，采用動態(tài)端口技術，使得傳統(tǒng)的基于端口的識別技術已經(jīng)無法滿足市場需求，被網(wǎng)絡流量識別系統(tǒng)的開發(fā)人員用作了一種輔助的技術手段。

針對這種情況，人們開始轉向對網(wǎng)絡通信協(xié)議的分析，特別是針對TCP/IP模型中的傳輸層和應用層的特點來識別網(wǎng)絡流量。

1.1.2基于應用層的識別技術

最為常見的就是DPI，即深度報文檢測技術。相對于傳統(tǒng)端口識別技術，它不僅能夠讀取報文中的五元組信息，包括源地址，目的地址，源端口，目的端口及協(xié)議類型，還可以分析應用層的負載信息，也就是檢查應用層TCP或UDP的負載部分，是否存在所要識別的應用特征。

但是，由于DPI技術［5］需要讀取應用層負載也就是用戶信息，這樣不僅侵犯用戶的隱私權，而且對于一些加密的或者使用UDP協(xié)議的流量無法進行識別。

1.1.3基于傳輸層的識別技術

基于上述情況，對于這種DPI無法識別的，很難提取特定字符串的流量，就可以通過對其傳輸層的行為特征的研究進行識別，通常使用DFI的檢測技術，即深度流檢測技術?；贒FI的檢測技術［6］是建立一個流量行為特征的模型，通過分析傳輸層協(xié)議類型、上下行流量比例關系以及數(shù)據(jù)包的包長范圍、時間間隔、負載長度、連接速率等特征同最初統(tǒng)計設置的流量模型相比較，來實現(xiàn)對網(wǎng)絡流量的識別［7］。其中，主要使用了機器語言學習和數(shù)據(jù)挖掘技術的分類算法對互聯(lián)網(wǎng)通信傳輸過程中的特征進行統(tǒng)計［8］。

1.2流量控制技術

網(wǎng)絡流量控制就是指利用軟、硬件方式來實現(xiàn)對網(wǎng)絡數(shù)據(jù)流量的控制目的。可以理解為一種流量整形，是一個網(wǎng)絡交通管理技術，通過延緩部分或所有數(shù)據(jù)包等手段，使之符合人們所需的網(wǎng)絡交通規(guī)則和速率限制。

一種是TCP窗口整形技術［9］，主要是接收方根據(jù)自身的數(shù)據(jù)接受能力，通過滑動窗口機制來限制發(fā)送方數(shù)據(jù)的傳輸速率。其優(yōu)勢在于可以對每個TCP會話進行監(jiān)控和干擾，有效控制信息源發(fā)送信息量、發(fā)送時間和頻率。

另一種是旁路干擾技術，與TCP窗口整形技術所不同的是其控制設備是旁路部署在網(wǎng)絡中，不需要與通信雙方的主機建立握手過程。不僅可以通過偽裝通信雙方發(fā)送干擾數(shù)據(jù)的手段來實現(xiàn)TCP重傳，還可以通過對應用層協(xié)議信令的干擾來達到對UDP流量控制目的［10］。

2　P2P流量監(jiān)測系統(tǒng)的設計與改進

2.1模塊的設計

如圖1所示，是本文設計的互聯(lián)網(wǎng)流量監(jiān)控系統(tǒng)結構圖。

圖1　流量監(jiān)測系統(tǒng)的結構圖

1）流量識別模塊是整個系統(tǒng)的關鍵模塊，它主要負責對流經(jīng)設備的所有數(shù)據(jù)流量進行準確識別和分類，并將結果發(fā)送給控制模塊。該模塊由兩部分組成：DPI檢測器和DFI檢測器。

2）知識庫模塊主要包括應用特征庫和應用樣本庫兩部分。對各類互聯(lián)網(wǎng)應用提取應用層負載信息，分析整理成一個應用特征庫，用于DPI檢測器的識別。將數(shù)據(jù)預處理器統(tǒng)計的報文上下行特征、包長范圍、時間間隔和負載長度等信息匯總成應用樣本庫。

3）數(shù)據(jù)存儲模塊主要負責存儲數(shù)據(jù)流五元組信息、流量識別及阻斷結果等。

4）流量控制模塊主要負責執(zhí)行接收的策略進行阻斷和控制。主要有兩個部分：策略接收器和控制報文發(fā)送器。如圖2所示，當數(shù)據(jù)流經(jīng)過系統(tǒng)時，通過識別模塊識別流量類型，將識別結果送給控制模塊，同時根據(jù)下發(fā)的策略信息，對報文進行轉發(fā)或丟棄達到阻斷或限流的目的。

5）交互模塊其實就是整個流量監(jiān)控系統(tǒng)的前臺控制中心，負責與其他各功能模塊的交互通信，它在完成更新知識庫、配置阻斷策略等功能的同時，提供了一個可視界面，以便用戶實時查看識別及阻斷情況。

2.2P2P流量識別方案的設計與改進

由于基于應用層識別的DPI檢測技術對于一些加密的P2P協(xié)議，無法提出合適的特征字段，所以增加DFI檢測模塊進行輔助識別［11］。

如圖3所示為識別模塊的系統(tǒng)流程圖。

圖2　識別與控制模塊原理圖

圖3　識別模塊流程圖

因為DPI檢測技術可以識別70％-80％的應用［12］，為提高檢測效率，我們首先將數(shù)據(jù)預處理器得到的數(shù)據(jù)流送入DPI檢測器，其中的DPI匹配引擎結合精確字符串匹配算法和正則表達匹配算法的優(yōu)點，解決了在正則表達式中精確字符串必須描述成正則表達式的麻煩，同時也簡化了AC引擎中復雜字符串必須描述成多條規(guī)則才能準確識別的工作量。解析出的應用層負載信息，在引擎對字符串進行匹配識別前首先要對應用特征庫進行編譯，AC算法要把字符串編譯成AC狀態(tài)機，正則表達式算法要把字符串編譯成DFA，通過該優(yōu)化引擎與應用特征庫信息進行匹配，即可識別到相關應用，隨后將結果遞送給數(shù)據(jù)存儲模塊。

例如，我們在分析“百度云盤”應用時，可以從所抓取的報文中發(fā)現(xiàn)URL字段開頭為“POST”，同時Host部分有“pan. baidu.com”的標志性字符串，經(jīng)過對大量報文分析從而判定同時存在這兩段的字符串信息的報文，為百度云盤上傳文件的流量，如圖4所示。通過對報文細粒度的分析我們就很容易從百度云流量中細化出上傳或者下載流量，做到流量精確化識別。

然后，對于DPI識別出的流量采集其報文上下行特征、包長范圍、時間間隔和負載長度等特征［13］，送入一個預備樣本庫，利用機器學習［14-15］的方法訓練預備樣本庫，這樣就可以有效記錄已識別的流量傳輸特征，根據(jù)采集的信息建立分類模型，將訓練后的預備樣本庫分類器用于應用樣本庫中，當未知流量通過DFI檢測器時，根據(jù)采集的未知流量傳輸特征與應用樣本庫進行比對，就可以有效的識別到應用。

圖4　百度云盤的報文

3　應用場景方案的設計與結果分析

本文設計的互聯(lián)網(wǎng)流量監(jiān)測系統(tǒng)主要部署在外部網(wǎng)絡和內部網(wǎng)絡之間。在實驗室搭建了一個基礎平臺來完成互聯(lián)網(wǎng)應用的識別與控制。如圖5所示，內、外部網(wǎng)絡交互的流量會通過流量控制設備的前臺，管理員通過流量控制系統(tǒng)的后臺對網(wǎng)絡流量進行實時監(jiān)控。

圖5　應用場景網(wǎng)絡部署圖

可以同時配置多個阻斷策略，以Skype為例，接入網(wǎng)絡添加Skype_VoIP和Skype_IM的阻斷策略后，打開Skype軟件嘗試反復通信，如下圖6所示，其中default為系統(tǒng)默認策略，不影響測試環(huán)境，分別利用Skype軟件進行語音、視頻通話，測試過程中阻斷命中協(xié)議Skype_VoIP和Skype_IM，嘗試語音、視頻連線，阻斷連線請求，無法進行通信。

圖6　Skype阻斷測試后臺

選取4個代表性應用Skype、酷我音樂、迅雷、百度云盤分別進行測試。首先配置網(wǎng)絡環(huán)境，在使用Wireshark軟件抓包前，需將連入網(wǎng)內的其他應用關閉，保證抓取報文的純凈度，保證識別結果的準確性。識別結果如表1。

由表1結果分析可以發(fā)現(xiàn)，所測試的應用軟件識別率均在95％以上，而誤報率和漏報率也在誤差允許范圍內，達到預期效果。測試應用軟件，配置相應策略，反復通信5次以上，都顯示阻斷成功，符合預期要求。

4　結束語

文中通過對互聯(lián)網(wǎng)通信現(xiàn)狀的分析，針對目前流行的網(wǎng)絡流量特點，提出了一種高?？尚械膶嵤┓桨福倪M了互聯(lián)網(wǎng)流量識別的方法，提高了識別的精確度，同時解決了DPI技術的不能識別P2P加密流量的局限性問題。

表1　識別與測試結果

［1］第三十六次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告［R］.北京.中國互聯(lián)網(wǎng)絡信息中心.2015

［2］雷鳴.網(wǎng)絡流量監(jiān)控系統(tǒng)的設計與實現(xiàn)［D］.天津：天津中國民航大學，2014.

［3］Se-Hee Han，James Won-Ki Hong.The Architecture of NGMON：A Passive Network Monitoring System for High-Speed IP Networks［J］.Lecture Notes In Computer Science，2002，2506:16-27.

［4］劉穎秋，李巍，李云春.網(wǎng)絡流量分類與應用識別的研究［J］.計算機應用研究，2008（5）:1492-1495.

［5］李天楓，姚欣，王勁松.大規(guī)模網(wǎng)絡異常流量實時云監(jiān)測平臺研究［J］.信息網(wǎng)絡安全，2014（9）:1-5.

［6］張瀚，辛陽.基于DPI技術的P2P流量檢測系統(tǒng)設計［J］.信息網(wǎng)絡安全，2012（10）:36-40.

［7］張峰.基于機器學習的VoIP流量識別技術研究［D］.武漢：華中師范大學，2013.

［8］Sen S，Spatscheck O，Wang D:Accurate，scalable in-network identification of p2p traffic using application signatures. WWW’04［C］//Proceedings of the 13th International Conference on World Wide Web.ACM，New York，2004:512-521.

［9］Cascarano N，Este A，Gringoli F，et al.An experimental evaluation of the computational cost of a DPI traffic classifier［C］//IEEE Global Telecommunications Conference，2009.

［10］肖梅.基于樸素貝葉斯算法的VoIP流量識別技術研究［J］.北京：信息網(wǎng)絡安全，2015（10）:74-79.

［11］米淑云.IP網(wǎng)絡流量監(jiān)控系統(tǒng)的設計與實現(xiàn)［D］.北京：北京郵電大學，2009.

［12］程博，辛陽.基于VOIP的語音視頻流量監(jiān)控方案設計與實施［J］.信息網(wǎng)絡安全，2014（6）:53-58.

［13］馬麗娜.基于機器學習的GTalk流量識別系統(tǒng)的設計與實現(xiàn)［D］.哈爾濱：哈爾濱工業(yè)大學，2013.

［14］吳倩.基于DPI與DFI的流量識別與控制系統(tǒng)的設計與實現(xiàn)［D］.成都:電子科技大學，2013.

［15］陳朝暉.一種基于DPI和DFI技術的應用識別系統(tǒng)［J］.中國高新技術企業(yè)，2011（6）:77-80.

The design of the P2P traffic monitoring system

CHAI Qi1，CAO Xu-dong1，WANG Hong-lei1，WANG Xue-feng2
（1.China University of Petroleum-Beijing，Beijing 102249，China；2.State Grid Zhaoyuan Power Supply Company，Zhaoyuan 265400，China）

Based on the purpose of improving the identification of encrypted P2P traffic.By improving the method of traffic identification technology，this paper proposes an improved project that combin DPI and DFI technology.And repeated testing of a variety of applications.The feasibility of the method is verified by comparing the results of pre and post recognition.And the recognition rate is increased to more than 95％.

P2P；traffic identification and control；DPI；DFI

TN919.5

A

1674－6236（2016）11-0064-03

2016-01-23稿件編號：201601218

國家發(fā)改委下一代互聯(lián)網(wǎng)技術在智慧油田的應用示范項目（CNGI-12-03-043）

柴 琦（1988—），女，黑龍江安達人，碩士研究生。研究方向：信號檢測預處理。