基于P2P流量檢測的簽名特征匹配研究
摘要:P2P網(wǎng)絡(luò)應(yīng)用快速發(fā)展,帶來網(wǎng)絡(luò)安全防護漏洞和隱患。如何有效地監(jiān)控P2P流,進(jìn)行相關(guān)的流識別、流篩選、流控制是流管理中的重要問題。通過分析P2P協(xié)議及簽名特征,提出一種基于簽名特征的P2P流分析方法,通過實驗分析相關(guān)P2P應(yīng)用軟件,得到相關(guān)軟件的簽名特征,并判斷網(wǎng)絡(luò)數(shù)據(jù)流是否為P2P流。可有效地提高P2P流識別的效率,解決檢測信息過多、過濾信息性能瓶頸等問題。
關(guān)鍵詞:P2P網(wǎng)絡(luò);流量檢測;簽名特征
近年來,網(wǎng)絡(luò)技術(shù)快速發(fā)展,特別是對等網(wǎng)的迅速發(fā)展已經(jīng)成為業(yè)界關(guān)注的焦點之一,基于P2P網(wǎng)絡(luò)之上的相關(guān)應(yīng)用正逐漸占據(jù)互聯(lián)網(wǎng)應(yīng)用的重要地位,并被視為未來網(wǎng)絡(luò)技術(shù)發(fā)展的主要趨勢,相對于傳統(tǒng)網(wǎng)絡(luò),對等網(wǎng)依靠非中心節(jié)點、分布式結(jié)構(gòu)模型,實現(xiàn)對等協(xié)作和資源共享,并具有自組織、容錯性強、可擴展以及負(fù)載均衡等優(yōu)點,但P2P是通過組播方式進(jìn)行通信,它允許單個用戶未經(jīng)授權(quán)或檢驗而任意分發(fā)內(nèi)容,其傳播范圍廣,穿透性強,帶來網(wǎng)絡(luò)安全防護漏洞和隱患。如何有效地監(jiān)控P2P流,進(jìn)行相關(guān)的流識別。流篩選、流控制是流管理中的重要問題。
早期的P2P應(yīng)用都是固定的端口號,容易檢測便于管理,近年來,該應(yīng)用逐漸發(fā)展到動態(tài)隨機端口號,而且近期涌現(xiàn)的新型P2P應(yīng)用越來越具有反偵察的意識,并采用了一些偽裝或加密的方法,如:偽裝Http協(xié)議、加密、傳輸分塊等來逃避識別和檢測,這些技術(shù)使得P2P流識別變得更為困難。目前,P2P應(yīng)用快速發(fā)展和變化,新的P2P應(yīng)用不斷出現(xiàn),其結(jié)構(gòu)更為復(fù)雜,應(yīng)用領(lǐng)域也更為廣泛,隨著網(wǎng)絡(luò)帶寬的不斷拓展,單位時間的流量將更為龐大,而P2P流識別必須解決單位時間內(nèi)在線監(jiān)測分析的問題,這將給數(shù)據(jù)的采集、監(jiān)測、分析帶來更多困難。如何讓識別算法適應(yīng)網(wǎng)絡(luò)流量的快速發(fā)展,使得監(jiān)測的信息最多,過濾效果最好,也是當(dāng)前急需解決的問題。
1 P2P流量檢測的識別方法
1.1 端口識別檢測方法
早期,P2P流識別主要采取的是端口識別和數(shù)據(jù)包檢測方法,Madhukar等對端口識別法的有效性進(jìn)行了研究,并采用實際數(shù)據(jù)觀察。研究表明,端口識別法對網(wǎng)絡(luò)中的數(shù)據(jù)流50%~70%無法有效識別。
1.2 統(tǒng)計特征的方法
基于協(xié)議和統(tǒng)計特征的方法是一類重要的P2P流識別方法,如Constantinou提出了網(wǎng)絡(luò)直徑分析法,通過記錄網(wǎng)絡(luò)中每個節(jié)點與其他節(jié)點建立連接的情況得到鏈接的邏輯拓?fù)鋱D,并轉(zhuǎn)換為網(wǎng)絡(luò)直徑,如網(wǎng)絡(luò)直徑超過某個門閾值,可認(rèn)為該網(wǎng)絡(luò)為P2P網(wǎng)絡(luò)。Thomas Karagiannis等提出了協(xié)議和地址端口分析方法,P2P系統(tǒng)通常采用UDP來發(fā)送命令等控制信息,TCP協(xié)議來傳輸數(shù)據(jù)。傳統(tǒng)網(wǎng)絡(luò)的應(yīng)用軟件,很少出現(xiàn)同時使用UDP協(xié)議和TCP協(xié)議,如有同時使用兩種協(xié)議可認(rèn)為是P2P流。
1.3 檢測協(xié)議特征的方法
數(shù)據(jù)包協(xié)議特征檢測方法主要用于入侵檢測,根據(jù)預(yù)定義的協(xié)議特征辨別其應(yīng)用類型,當(dāng)前許多P2P應(yīng)用識別方案都基于這種方法。通過TCP/IP層之上的應(yīng)用層協(xié)議分析軟件進(jìn)行流量分析和特征分析,監(jiān)控并找出其協(xié)議特征碼,以下就是各種不同的P2P網(wǎng)絡(luò)協(xié)議的特性:
p2p機相關(guān)文章:p2p原理
評論