萬建偉，胡勇

（四川大學(xué)電子信息學(xué)院，成都 610021）

0 引言

在過去的十幾年里，對等網(wǎng)絡(luò)P2P（Peer to Peer）技術(shù)在各個(gè)領(lǐng)域里得到了廣泛的應(yīng)用。P2P 技術(shù)的使用，使得網(wǎng)絡(luò)用戶在作為客戶端的同時(shí)也成為了服務(wù)端，能夠給網(wǎng)絡(luò)中的其他節(jié)點(diǎn)提供服務(wù)，共享信息。因此，采用P2P 技術(shù)的應(yīng)用軟件因受到用戶的歡迎而快速發(fā)展。研究表明，60%的互聯(lián)網(wǎng)流量都是P2P 流量。P2P 協(xié)議傳輸?shù)臄?shù)據(jù)具有傳輸速度快、容量超大等優(yōu)點(diǎn)，它極大地方便了用戶，但與此同時(shí)，由于缺乏有效的監(jiān)管，P2P 應(yīng)用也給網(wǎng)絡(luò)服務(wù)管理帶來了一些問題，例如，眾多的網(wǎng)絡(luò)用戶同時(shí)使用P2P 流量會造成網(wǎng)絡(luò)堵塞、占用帶寬，這會加大網(wǎng)絡(luò)開銷。并且P2P 流量在傳播的過程中，可能會攜帶木馬病毒、詐騙信息，容易造成網(wǎng)絡(luò)安全問題；還有部分P2P 應(yīng)用軟件為了搶占客戶資源，惡意侵占網(wǎng)絡(luò)帶寬，大大降低了網(wǎng)絡(luò)空間的整體利用效率，破環(huán)了網(wǎng)絡(luò)運(yùn)營環(huán)境。

隨著P2P 流量的急劇增多，網(wǎng)絡(luò)管理員如何更加有效監(jiān)控P2P 流量成為了一個(gè)形勢嚴(yán)峻的問題。而要處理好這個(gè)問題，必須對P2P 流量進(jìn)行識別研究，只有識別控制該流量，才能最大化地利用網(wǎng)絡(luò)資源，提升整個(gè)網(wǎng)絡(luò)的使用效率，P2P 流量的識別研究是網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)。

1 P2P流量的檢測方法

P2P 流量識別技術(shù)主要包括：基于固定端口的識別、基于深度包檢測技術(shù)（Deep Packet Inspection，DPI）、基于流量統(tǒng)計(jì)特征和機(jī)器學(xué)習(xí)的識別方法。

基于固定端口的識別方法是最常用、最基本的識別方法，其原理是通過分析報(bào)文段的報(bào)頭，獲取傳輸層的端口號信息，識別流量類型。該識別方法在使用固定端口號的應(yīng)用程序上有著很高的識別率，方法簡單、識別速度快。但是這種方法對未知端口和協(xié)議不適用。

基于DPI 技術(shù)的流量識別方法不僅分析數(shù)據(jù)包中源、目的地址和源、目的端口，還要分析應(yīng)用層的數(shù)據(jù)。獲取數(shù)據(jù)包之后，通過DPI 技術(shù)識別載荷里面的特征字，識別出對應(yīng)類型的流量。DPI 主要是一種對應(yīng)用層載荷特征進(jìn)行識別的技術(shù)，它基于特征字符串以及行為模式。但是，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，DPI 方法在檢測流量的過程中出現(xiàn)了一些問題，例如，當(dāng)P2P應(yīng)用更新時(shí)，檢測分析過程中的特征庫沒有及時(shí)更新，則無法檢測出該應(yīng)用。并且，該方法也不適用于檢測使用加密的應(yīng)用程序。

基于流量統(tǒng)計(jì)特征的識別方法在文獻(xiàn)[1]中有提及，該方法在分析P2P 協(xié)議工作原理的基礎(chǔ)上，提出了區(qū)分P2P 流量的幾個(gè)統(tǒng)計(jì)特征，如節(jié)點(diǎn)的鏈接不穩(wěn)定性、節(jié)點(diǎn)發(fā)現(xiàn)模式、遠(yuǎn)端IP 分布廣度?；诹髁拷y(tǒng)計(jì)特征的識別方法識別度好且效率高效，這是由于該方法選取了良好的流量特征，成功克服了基于效載荷方法成本高、無法識別加密流量的局限性，但是它不能辨別出具體的P2P 流量。

而后出現(xiàn)了大量的基于機(jī)器學(xué)習(xí)的識別方法，主要包括支持向量機(jī)、決策樹以及基于神經(jīng)網(wǎng)絡(luò)的識別方法。該類方法不再依賴于單個(gè)應(yīng)用程序的特征，而是對基于流的傳輸層特性進(jìn)行分析，進(jìn)而識別P2P 應(yīng)用，該方法可以解決深度包檢測技術(shù)不能識別應(yīng)用層加密流量和應(yīng)用更新的問題。文獻(xiàn)[2]提出了基于支持向量機(jī)（SVM）的識別方法，其改進(jìn)模型有：基于SVM的遺傳算法[3]，基于SVM 的粒子群優(yōu)化算法[4]和基于SVM 的人工蜂群算法[5]等。該方法是一種有堅(jiān)實(shí)理論基礎(chǔ)的新穎的小樣本學(xué)習(xí)方法，它不僅算法簡單，而且十分穩(wěn)定，但SVM 算法及其改進(jìn)方法對大規(guī)模訓(xùn)練樣本難以實(shí)施，且在解決多分類問題時(shí)存在困難。文獻(xiàn)[6]提出了基于BP 神經(jīng)網(wǎng)絡(luò)的識別方法，其改進(jìn)模型有：基于自適應(yīng)BP 神經(jīng)網(wǎng)絡(luò)的識別方法[7]和基于BP-LVQ 神經(jīng)網(wǎng)絡(luò)的識別方法[8]。BP 神經(jīng)網(wǎng)絡(luò)具有自學(xué)習(xí)能力，但是該方法存在選擇網(wǎng)絡(luò)結(jié)構(gòu)不唯一的缺點(diǎn)。文獻(xiàn)[9]提出了基于決策樹（Decision Tree）的識別方法，該方法易于理解和實(shí)現(xiàn)，效率高，但是在處理特征關(guān)聯(lián)性比較強(qiáng)的數(shù)據(jù)時(shí)誤差比較大。因此，當(dāng)需要識別流量的數(shù)量足夠大時(shí)，以上方法不能很好地識別出P2P 流量。

文獻(xiàn)[10]提出了基于卷積神經(jīng)網(wǎng)絡(luò)（CNN）的識別方法，該方法是一種前饋神經(jīng)網(wǎng)絡(luò)方法，特別適合圖像處理。CNN 在處理高維數(shù)據(jù)時(shí)表現(xiàn)良好，并且無需手動選取特征，訓(xùn)練好權(quán)重，特征分類效果好，但是該方法需要調(diào)參，需要大量樣本，實(shí)現(xiàn)起來比較復(fù)雜，并且訓(xùn)練所需時(shí)間比較久，在進(jìn)行P2P 流量識別時(shí)，該方法不能實(shí)時(shí)識別出流量類型。

本文結(jié)合機(jī)器學(xué)習(xí)利用傳輸層數(shù)據(jù)的檢測方法和DPI 方法，提出了一種新的識別模型：基于DPI 和BP神經(jīng)網(wǎng)絡(luò)的P2P 流量識別模型。該模型很好地彌補(bǔ)了DPI 檢測法不能及時(shí)識別出更新后的P2P 應(yīng)用和加密應(yīng)用的缺點(diǎn)，極大地提升了識別P2P 流量的能力。

2 P2P流量檢測新模型

該模型結(jié)合DPI 技術(shù)和BP 神經(jīng)網(wǎng)絡(luò)來識別P2P流量。該模型的檢測流程圖如圖1 所示。

圖1 混合檢測模型

流量收集模塊的功能是捕獲流經(jīng)網(wǎng)絡(luò)中的流量，當(dāng)被捕獲的流量傳到DPI 模塊后，該模塊提取這些流量的應(yīng)用層特征，再結(jié)合特征庫中的特征數(shù)據(jù)，對提取的特征進(jìn)行匹配，判斷該流量是否為P2P 流量。若是，則標(biāo)記該流量為已知流量；若不是，則進(jìn)行下一步操作，將該流量送入基于BP 神經(jīng)網(wǎng)絡(luò)模塊，做進(jìn)一步識別。圖1 是對此模塊的詳細(xì)說明。

2.1 DDPPII檢測模型

深度包檢測技術(shù)（DPI）通常利用模式匹配算法對數(shù)據(jù)包有效載荷中協(xié)議的關(guān)鍵字進(jìn)行匹配，從而判斷是否屬于對應(yīng)的協(xié)議。DPI 技術(shù)主要包含兩個(gè)方面，一方面是匹配算法的選取，另一方面是協(xié)議中關(guān)鍵字的提取。協(xié)議關(guān)鍵字的提?。河行﹨f(xié)議具有唯一標(biāo)識該數(shù)據(jù)包對應(yīng)業(yè)務(wù)類型的特征串，可以通過搜索數(shù)據(jù)包中應(yīng)用層有效載荷的特征串，識別數(shù)據(jù)包中的協(xié)議。部分協(xié)議的負(fù)載特性如表1 所示。

表1 常見的P2P 應(yīng)用軟件特征值

在協(xié)議識別過程中，提取特征串的準(zhǔn)確度越高，識別的結(jié)果越準(zhǔn)確。

匹配算法利用特征庫中的協(xié)議特征字匹配數(shù)據(jù)包應(yīng)用層中有效載荷的內(nèi)容，如果匹配成功，則將該數(shù)據(jù)包的協(xié)議類型對應(yīng)到協(xié)議特征字的應(yīng)用類型。如使用表 1 中的 BitTorrent 的特征串“0x13Bittorrent Protocol”匹配數(shù)據(jù)包中有效載荷的內(nèi)容，如果匹配成功，則認(rèn)為這個(gè)數(shù)據(jù)包屬于BitTorrent 數(shù)據(jù)包。匹配算法[11]可以分為多模匹配和單模匹配兩種，常見的算法有KMP、AC、KR 和BM。特征串的長度與模式匹配算法的時(shí)間復(fù)雜度有關(guān)，當(dāng)特征串較長時(shí)，模式匹配算法的計(jì)算速度較慢，這將導(dǎo)致DPI 吞吐量降低。

綜上所述，在使用DPI 技術(shù)識別有特征字的協(xié)議時(shí)，可以準(zhǔn)確、可靠地識別相應(yīng)協(xié)議流量，但是特征庫需要隨著協(xié)議的更新而不斷更新。

2.2 基于BBPP神經(jīng)網(wǎng)絡(luò)的檢測模塊

BP 神經(jīng)網(wǎng)絡(luò)在模式識別、數(shù)據(jù)壓縮和函數(shù)逼近等領(lǐng)域有著廣泛的應(yīng)用。圖2 展示了BP 神經(jīng)網(wǎng)絡(luò)對已有數(shù)據(jù)進(jìn)行訓(xùn)練、建立流量分類器的過程，圖2 對未知流量分類進(jìn)行了解釋。

圖2 流量分類器的建立過程

首先，選擇部分常見的P2P 應(yīng)用（例如BitTorrent、騰訊視頻、酷狗音樂等）和部分非P2P 應(yīng)用（例如FTP、網(wǎng)頁瀏覽、DNS）的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)集。實(shí)驗(yàn)中，為提高對一些非常見流量的識別度，將選擇等量的應(yīng)用程序?qū)嵗?/p>

其次將這些應(yīng)用程序進(jìn)行預(yù)處理，提出數(shù)據(jù)流的特征屬性，如流持續(xù)的時(shí)間、流中發(fā)送/接收數(shù)據(jù)包的個(gè)數(shù)、流中發(fā)送與接收數(shù)據(jù)包個(gè)數(shù)的比值等。接著選擇流量特征。

特征選擇也叫特征子集選擇，是指從眾多特征中選出可以使系統(tǒng)獲得最優(yōu)化特征子集，去除冗余特征的過程。通過這種方法可以提高數(shù)據(jù)質(zhì)量。本文通過使用WireShark 工具對采集的P2P 流量數(shù)據(jù)樣本進(jìn)行分析，同時(shí)結(jié)合Moore 數(shù)據(jù)集（該數(shù)據(jù)是由英國劍橋大學(xué)的Moore 等在一天的10 個(gè)不同時(shí)間段采集經(jīng)過網(wǎng)絡(luò)出口的所有雙向流量數(shù)據(jù)所得到的，該數(shù)據(jù)集包含了377526 個(gè)流量樣本，由十個(gè)集合構(gòu)成，其中每一條的數(shù)據(jù)流樣本又包含248 個(gè)屬性特征。）中的大量屬性特征進(jìn)行比較，最終將用作P2P 流量識別依據(jù)的流特征向量定義為：

其中，各分量分別對應(yīng)一個(gè)流量特征：多連接性特征（mip）、多端口性特征（mport）、遠(yuǎn)端地址端口統(tǒng)一性特征（raup）、數(shù)據(jù)包凈荷長度標(biāo)準(zhǔn)差（stddev）、大小數(shù)據(jù)包交替出現(xiàn)次數(shù)（swf）和凈荷長度大于零的數(shù)據(jù)包個(gè)數(shù)（pcnt），這些特征分別從不同的視角闡述了P2P 流量與非P2P 網(wǎng)絡(luò)流量的差異，雖然單個(gè)特征不足以用來準(zhǔn)確識別P2P 流量，但是多個(gè)特征的組合則產(chǎn)生累加效應(yīng)，從而提高識別準(zhǔn)確率。

接著將訓(xùn)練數(shù)據(jù)輸入BP 神經(jīng)網(wǎng)絡(luò)檢測模塊，建立分類器。在整個(gè)訓(xùn)練過程中，選取包含P2P 應(yīng)用和非P2P 應(yīng)用的46500 條數(shù)據(jù)流量，驗(yàn)證方法采用十折交叉法，用于提高準(zhǔn)確度。

BP（Back Propagation）神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過程包含前向傳播和反向傳播兩個(gè)部分，它是目前應(yīng)用最為廣泛的神經(jīng)網(wǎng)絡(luò)之一。前向傳播將輸入神經(jīng)元的閾值整合進(jìn)隱層權(quán)值向量中，逐層傳播。當(dāng)輸出層的實(shí)際輸出和期望輸出不符時(shí)，進(jìn)入誤差反向傳播，將誤差分?jǐn)偨o輸出層和隱含層的所有處理單元，逐層修正權(quán)值和閾值，反復(fù)迭代。通過這種方法，可以大大降低誤差。圖3 中是一個(gè)三層BP 神經(jīng)網(wǎng)絡(luò)的結(jié)構(gòu)圖。

圖3 三層BP神經(jīng)網(wǎng)絡(luò)

本文使用三層神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練和測試，選取輸入神經(jīng)元的個(gè)數(shù)為6，即樣本數(shù)據(jù)會話流的6 個(gè)屬性特征。輸出神經(jīng)元是輸入流量的對應(yīng)類別，取值為0 或1，結(jié)果為1 則判定輸入流量為此類別，反之，則不是。通過多次訓(xùn)練比較，確定隱含層神經(jīng)元的個(gè)數(shù)為11。

最后驗(yàn)證分類器的精確度，所用的數(shù)據(jù)為測試數(shù)據(jù)集。

數(shù)據(jù)的分類過程如圖4。通過預(yù)處理捕獲的46500 條數(shù)據(jù)流量，獲取統(tǒng)計(jì)特征，然后篩選出所需特征，再將樣本中的流量數(shù)據(jù)輸入分類器，通過輸出結(jié)果判斷流量是否為P2P 類型。

圖4 BP神經(jīng)網(wǎng)絡(luò)基于傳輸層檢測法

3 實(shí)驗(yàn)過程

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖5 所示，在實(shí)驗(yàn)室局域網(wǎng)環(huán)境下，使用3 臺均為Win7 系統(tǒng)的客戶端，1 臺服務(wù)器的操作系統(tǒng)使用的是Linux 系統(tǒng)。在Linux 服務(wù)器內(nèi)運(yùn)行識別P2P 流量的程序Weka3.7。

圖5 實(shí)驗(yàn)拓?fù)鋱D

3.2 實(shí)驗(yàn)方法

方法1：使用DPI 方法，測試應(yīng)用選擇BitTorrent、酷狗音樂、騰訊視頻、迅雷、Skype。

方法2：使用BP 神經(jīng)網(wǎng)絡(luò)檢測方法。

方法3：結(jié)合BP 神經(jīng)網(wǎng)絡(luò)和DPI 的檢測方法。

分別在3 臺客戶端的虛擬機(jī)（VMware 下的Win7系統(tǒng)）上運(yùn)行P2P 應(yīng)用軟件，PC1 上運(yùn)行BT 下載以及Skype 聊天；PC2 上運(yùn)行騰訊視頻在線播放以及迅雷下載；PC3 上運(yùn)行酷狗音樂和 Skype 聊天。BitTorrent、騰訊視頻、迅雷、酷狗音樂的應(yīng)用層特征均為已知，Skype為加密應(yīng)用軟件。同時(shí)，在每臺PC 上運(yùn)行網(wǎng)頁瀏覽、FTP 上傳等非P2P 流量操作。本實(shí)驗(yàn)中，通過3 臺客戶端來獲取數(shù)據(jù)，以便在較短的時(shí)間內(nèi)得到足夠多的數(shù)據(jù)量，在VMware 環(huán)境下可以減少Windows 系統(tǒng)自帶的應(yīng)用軟件在運(yùn)行過程中對采集的數(shù)據(jù)流量進(jìn)行干擾。數(shù)據(jù)采集完畢后，運(yùn)行Linux 系統(tǒng)中的識別程序。

3.3 實(shí)驗(yàn)結(jié)果

運(yùn)行15 分鐘后，從程序中得到的實(shí)驗(yàn)識別結(jié)果如圖6 所示。

圖6 各方法的識別率

由圖6 可以看出，DPI 技術(shù)在識別P2P 流量時(shí)，識別率達(dá)到了86%以上；BP 神經(jīng)網(wǎng)絡(luò)在識別P2P 流量時(shí)，識別率也在85%左右；而結(jié)合了DPI 和BP 神經(jīng)網(wǎng)絡(luò)的方法在識別P2P 流量時(shí)，識別率達(dá)到了95%。

整理圖表數(shù)據(jù)，對各方法的平均識別率進(jìn)行對比，結(jié)果如表2 所示。

表2 各方法的平均識別率

由表2 可知，在進(jìn)行P2P 流量識別時(shí)，DPI 的識別率為86.5%，BP 神經(jīng)網(wǎng)絡(luò)的識別率為85.3%，結(jié)合了DPI 和BP 神經(jīng)網(wǎng)絡(luò)方法的識別率為95.6%。

3.4 實(shí)驗(yàn)分析

結(jié)合圖6 和表2 中的數(shù)據(jù)進(jìn)行分析可知，基于DPI 的檢測方法在識別BT、騰訊視頻、迅雷、酷狗音樂和Skype 等應(yīng)用程序時(shí)，其效果和基于BP 神經(jīng)網(wǎng)絡(luò)的方法相差較小，這是因?yàn)榛贐P 神經(jīng)網(wǎng)絡(luò)的檢測方法在識別BT、騰訊視頻、迅雷和酷狗音樂等已知的P2P應(yīng)用程序時(shí)，其表現(xiàn)不及DPI 方法，但是它在識別加密流量Skype 時(shí)，性能比DPI 檢測法要好；而基于DPI 和BP 神經(jīng)網(wǎng)絡(luò)的檢測方法結(jié)合了兩者的優(yōu)點(diǎn)，在識別已知P2P 應(yīng)用和加密P2P 應(yīng)用時(shí)都能獲得比較好的性能，因此它的識別率很高。

4 結(jié)語

本文結(jié)合DPI 和BP 神經(jīng)網(wǎng)絡(luò)對P2P 流量進(jìn)行檢測。實(shí)驗(yàn)證明該方法提升了流量檢測的準(zhǔn)確度。但由于傳統(tǒng)BP 神經(jīng)網(wǎng)絡(luò)存在易陷入局部極小值的缺陷，在以后的工作中可以對BP 算法做一些優(yōu)化，進(jìn)一步提升P2P 流量檢測的準(zhǔn)確度。