對等網絡流量識別技術研究

蘇星曄

【摘要】 隨著對等網絡流量的迅猛增長，給網絡帶寬造成了沉重的負擔，為了對對等網絡流量進行有效而合理的監控，人們對對等網絡流量識別的需求越來越強烈。本文通過對對等網絡流量識別的相關技術進行研究，梳理了實現對等網絡流量識別的主要方式。

【關鍵字】 對等網絡 流量 識別

一、引言

近年來，隨著對等網絡（Peer-to-peer，P2P）技術的不斷發展，P2P流量也迅猛增長，給網絡帶寬造成了沉重的負擔，甚至引起網絡擁塞，降低了其他網絡應用的性能；同時，基于P2P的惡意流量也頻繁出現在互聯網上，大量的非法連接加快了帶寬的消耗，甚至導致拒絕服務攻擊。因此，對于P2P流量監控已經逐漸成為人們研究的熱點問題，而流量識別顯然是其中最關鍵的環節：因為只有對P2P流量進行有效識別，才能對它們進行有效的控制。

二、對等網絡流量識別的實現方式

2.1基于端口號的識別方式

基于端口號的識別方法是P2P流量識別領域中最早提出的一種方法，其是通過截取網絡流量，識別數據流的源端口號或者目的端口號，將識別出的端口號和預設的常用P2P軟件端口映射表中的端口號進行匹配，如果找到匹配項就表示該流量屬于P2P流量，如果沒找到匹配項就表示不是P2P流量。

這種基于端口的P2P流量識別技術，簡單易行，計算開銷小，不需要進行復雜的分組處理即可得出結論，在P2P應用初期十分快速、有效。

然而，隨著P2P的發展，各P2P應用為了躲避流量審計和過濾等，紛紛采用隨機動態端口（如用戶自定義端口，端口跳躍），甚至是偽端口（如將端口設置為80、8080、443等），同時，網絡中大量采用地址轉換技術（NAT，Network Addresses Translation），使得基于端口檢測方法的識別效率越來越低。

2.2基于應用層特征字匹配的識別方式

通過分析各類應用的協議找出各類應用自己的特征字符串生成常用P2P軟件協議映射表，深度分析數據包所攜帶的特征字符串，與常用P2P軟件協議映射表中的字符串進行匹配，來檢測該數據包是否是P2P流量[1]。

這類方法需對數據包進行負載分析，所以也稱為深度數據包識別方法（DPI，Deep Packet Inspection），由于是針對應用層特征字段的，因此也稱為應用簽名技術或凈荷檢測技術。

但是，它也存在著一定的局限性，主要表現為以下幾點：相關協議特征字符串的獲取是通過分析數據包內容獲得的，這關系到數據隱私和法律的問題，一旦遇到采用加密用戶數據的手段來避免被解析和深層檢測的P2P應用（如Skype，QQ，迅雷），這種方法就不再有效了；由于對P2P流量中的每個數據包均需要進行字符串識別，因此增加了P2P流量的識別時間，并且對識別系統的配置要求較高； DPI僅能夠做到流級別的識別，還沒有做到文件級別的識別，無法識別出P2P流傳輸的具體文件信息。

2.3基于傳輸層特征的識別方式

P2P應用作為一種充分利用客戶端資源的新型應用，在傳輸層表現出來的流量特征相對于其它應用，如HTTP、FTP、DNS等，有許多不同的地方?；趥鬏攲犹卣鞯淖R別技術就是通過檢測這些流量特征來發現P2P應用?；诹髁刻卣鳈z測方法的理論依據是采用基于流量行為和流統計的應用識別技術，它不對網絡流量進行深度報文檢測，而只通過對數據包的大小分布、發送數據包的頻率、上下行流量的比例關系等行為特征進行監控，屬于一種統計分析識別方法。這類方法不需要任何關于應用層協議的信息。

2.4基于雙重特征的識別方式

基于應用層特征字匹配的 P2P 流量識別技術進行的是特征字符串的匹配，能夠識別出具體的應用類型但是無法識別未知和加密的數據流，基于傳輸層特征的 P2P 流量識別技術不需要解析和還原協議，能夠識別未知和加密的數據流，但是無法識別出具體的應用類型，因此有人提出綜合這兩種技術的優點，即所謂的基于雙重特征的 P2P 流量識別技術，由于兩種特征分別屬于應用層和傳輸層，也稱之為跨層流量識別方法。

2.5基于機器學習的識別方式

要進行實時的流量檢測就需要提取更為有效的P2P內在行為特征，隨著數據挖掘技術的不斷發展，機器學習中的貝葉斯分類等常用分類方法已經應用到流量識別的研究當中。

三、結束語

根據上述對實現對等網絡流量識別的各種方式的分析，可以看到各方式的優缺點，具體如何選擇實現方式應結合具體工作的實際情況，確保安全、精確、高效地識別對等網絡流量。

參 考 文 獻

[1] 李宏達，林嘉燕，P2P流量識別技術研究，軟件工程師，2010年第12期：41-43.