基于P2P流量檢測(cè)的簽名特征匹配研究

BitTorrent協(xié)議：BitTorrent是非常流行的文檔下載軟件，通過(guò)對(duì)BitTorrent的TCP握手信息進(jìn)行分析，發(fā)現(xiàn)其簽名特征，如表6所示。

BitTorrent在下載過(guò)程中與Tracker服務(wù)器進(jìn)行通信，它采用HTTP協(xié)議，通過(guò)分析其HTTP流，發(fā)現(xiàn)其簽名特征：

UDP包特征：UDP長(zhǎng)度24字節(jié)(含UDP頭)，起始8個(gè)字節(jié)為：00 00 04 17 27 10 19 80
TCP包特征：第一字節(jié)為0x13，后續(xù)數(shù)據(jù)為：“BitTorrentprotocol”

3 結(jié)束語(yǔ)
文中通過(guò)對(duì)各時(shí)期P2P流量檢測(cè)技術(shù)回顧，闡述了流量檢測(cè)技術(shù)的進(jìn)展，提出一種基于協(xié)議簽名特征的P2P流識(shí)別方法。首先，通過(guò)Snif fer軟件對(duì)數(shù)據(jù)包進(jìn)行抓取，并進(jìn)行特征分析、關(guān)鍵字分析，進(jìn)行預(yù)判；然后，再進(jìn)行深度掃描，對(duì)數(shù)據(jù)流進(jìn)行較精確判決，根據(jù)流的協(xié)議特征和行為特征判決方法，判決規(guī)則簡(jiǎn)單，有利于工程應(yīng)用，通過(guò)實(shí)驗(yàn)室小數(shù)據(jù)測(cè)試，實(shí)驗(yàn)證明本文提出的識(shí)別方式可行。下一步工作，可對(duì)簽名特征較為分散的數(shù)據(jù)流進(jìn)行重組，提取更為準(zhǔn)確的簽名特征，進(jìn)行精確判別；另外，隨著網(wǎng)絡(luò)帶寬的快速發(fā)展，大流量、實(shí)時(shí)的檢測(cè)數(shù)據(jù)流，需要進(jìn)一步提升抓包、篩選效率和簽名特征多模式匹配算法效率。