校園網(wǎng)P2P流量綜合檢測技術(shù)研究

譚紅春，楊松濤，闞紅星

(安徽中醫(yī)藥大學(xué)醫(yī)藥信息工程學(xué)院，安徽合肥230012)

目前我們廣泛使用的P2P(Peer－to－Peer)技術(shù)即對等網(wǎng)絡(luò)，打破了以服務(wù)器為中心的C/S(Client/Server)傳統(tǒng)模式［1］，充分利用了網(wǎng)絡(luò)帶寬和廣泛分布的網(wǎng)絡(luò)資源，改變了信息的傳輸方式，減輕了服務(wù)器的負(fù)擔(dān)，比傳統(tǒng)的C/S模型有更好的健壯性、穩(wěn)定性、可擴(kuò)展性以及更高的性價(jià)比［2，3］.這使得P2P應(yīng)用日益廣泛，流量迅速增長.據(jù)統(tǒng)計(jì)，我國的P2P流量占整個(gè)網(wǎng)絡(luò)流量的比例大約為40%到70%［4，5］.校園網(wǎng)主要用戶為行政人員、教研人員及學(xué)生，這些用戶可以通過網(wǎng)絡(luò)獲取教學(xué)信息、最新研究成果和各類數(shù)據(jù)庫資源.

1 我校目前P2P流量狀況

我們在一段時(shí)間內(nèi)對校園網(wǎng)中的流量進(jìn)行了統(tǒng)計(jì)，在這期間，總共統(tǒng)計(jì)出13種服務(wù)類型，位于前3位的服務(wù)分別是P2P服務(wù)、流媒體服務(wù)［6］、傳統(tǒng)服務(wù)，其中P2P服務(wù)約占52.11%，而其他服務(wù)只占到很少比例.這說明P2P流量嚴(yán)重吞噬了校園網(wǎng)的帶寬，損害了正常業(yè)務(wù)的通信，影響了廣大師生的利益.

圖1 服務(wù)大類流量分布情況及對應(yīng)餅圖

P2P流量的有效識(shí)別是進(jìn)行網(wǎng)絡(luò)控制的基礎(chǔ)，P2P識(shí)別的過程其實(shí)就是一個(gè)具體的分類過程，下面是分類過程的定義:

定義:給定一個(gè)數(shù)據(jù)集F={x1，x2，…xi}和一組類E={E1，E2，…Ej}，分類就要將每個(gè)元組xm對應(yīng)到每一個(gè)類中，即確定一個(gè)映射f:F→E.其中所有的元組都屬于每一個(gè)類En，即 En={xm∣ f(xm)=En，1 ＜ =m ＜ =i且 xm∈F}.

在本文設(shè)計(jì)的P2P流量檢測方法中，我們預(yù)處理數(shù)據(jù)庫F={x1，x2，…xi}，并抽取其中第m條網(wǎng)絡(luò)流，形成元組xm.根據(jù)類E的不同，映射f:F→E得到的結(jié)果也各異，所以本文總結(jié)出P2P流量識(shí)別主要包括兩個(gè)方面:

首先從P2P應(yīng)用的自身特點(diǎn)來分類，在這個(gè)方面來說，一般類E的大小j＞2，其中最具代表性的就是根據(jù)著名端口號(hào)和應(yīng)用層特征簽名進(jìn)行識(shí)別.

其次，從P2P流量跟非P2P流量的行為特征加以識(shí)別，在這個(gè)方面來說，一般類E的大小j=2，其中最具代表性的就是其為流量特征.

2 P2P典型的檢測手段

2.1 端口識(shí)別

我們所講的端口即TCP或UDP端口.互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)將端口分為3種:知名端口、用戶端口和動(dòng)態(tài)端口.通過對端口的識(shí)別，可以區(qū)分出應(yīng)用層的各種應(yīng)用，其中包括使用固定端口的 P2P應(yīng)用，比如 BT使用6881－6889［7］，EDonkey 使用 4661 和 4662［8］端口.

2.2 深層數(shù)據(jù)包檢測技術(shù)(DPI)

DPI即深層數(shù)據(jù)包檢測技術(shù)，它是基于應(yīng)用層的“特征字”的檢測方法，通過對IP包頭的解析，讀取相應(yīng)的荷載內(nèi)容.此種方式需要維護(hù)一個(gè)payload特征庫，此特征庫可以建立在前人的基礎(chǔ)上，也可以以人工的方式自動(dòng)提取.根據(jù)解析出來的特征碼，再加上適當(dāng)?shù)哪Ｊ狡ヅ渌惴ǎ系牧髁烤涂膳袛酁?P2P 流量［9－11］.

2.3 基于流量特征的檢測技術(shù)(DFI)

為了彌補(bǔ)深度數(shù)據(jù)包檢測技術(shù)的缺陷，深度流檢測技術(shù)對加密的、未知的以及復(fù)雜的難以提取特征碼的流量，進(jìn)行行為檢測.檢測標(biāo)準(zhǔn)是根據(jù)不同的數(shù)據(jù)流具有不同的行為特征，即數(shù)據(jù)流或會(huì)話鏈接上會(huì)呈現(xiàn)的不同的行為方式.本文選取兩種典型的行為特征作為檢測標(biāo)準(zhǔn):

(1)地址識(shí)別法.當(dāng)節(jié)點(diǎn)S與對等網(wǎng)絡(luò)的其他節(jié)點(diǎn)進(jìn)行通信時(shí)，該節(jié)點(diǎn)會(huì)將自己IP地址和監(jiān)聽端口告訴超級(jí)節(jié)點(diǎn)或索引服務(wù)器，超級(jí)節(jié)點(diǎn)或索引服務(wù)器再將S的加入信息及IP地址、監(jiān)聽端口號(hào)告訴網(wǎng)絡(luò)中的其他主機(jī).在后續(xù)的查詢和下載過程中，其他主機(jī)在連接S的監(jiān)聽端口時(shí)將隨機(jī)選擇一個(gè)源端口，由于不同主機(jī)選擇到一樣源端口的概率相當(dāng)?shù)?，所以與S的監(jiān)聽端口相連的源端口號(hào)基本不會(huì)重復(fù).在具體實(shí)現(xiàn)上，要連續(xù)記錄此S節(jié)點(diǎn)所鏈接到的每個(gè)源地址、源端口號(hào)，我們分別記為S_IP和S_PORT，如果這兩個(gè)數(shù)量相差小于等于10，則我們認(rèn)為是P2P流量.

圖2 IP_PORT通信圖

(2)參與P2P網(wǎng)絡(luò)進(jìn)行通信的節(jié)點(diǎn)既充當(dāng)服務(wù)器的角色又充當(dāng)客戶機(jī)的角色，在通信端口的流量具有如下性質(zhì):

既有大量流入的連接(被其它節(jié)點(diǎn)連接其監(jiān)聽端口)，又有大量流出的連接(連接其它節(jié)點(diǎn)的監(jiān)聽端口).上行流量和下行流量基本相同.一般的網(wǎng)絡(luò)協(xié)議，如HTTP、FTP等，大致都是客戶機(jī)向服務(wù)器提出申請，這個(gè)流量非常小，有幾十到幾百字節(jié)大小，然后服務(wù)器傳輸給客戶機(jī)所需要的數(shù)據(jù)(幾十兆或上G)，上行流量與下行流量遠(yuǎn)遠(yuǎn)不等.當(dāng)此節(jié)點(diǎn)不參與P2P時(shí)，要么只做服務(wù)器，要么只做客戶機(jī)，其出入連接必定不平衡.通過上述性質(zhì)，我們做如下工作:

對可能參加P2P通信的節(jié)點(diǎn)S的端口在一定時(shí)間T的統(tǒng)計(jì)，當(dāng)某個(gè)端口的入流量和出流量的比值在一個(gè)區(qū)間時(shí)，就認(rèn)為這個(gè)端口是P2P端口，其端口上的所有連接都是P2P連接.

3 一種綜合的P2P流量檢測方法

本文的P2P流量檢測系統(tǒng)中，為了達(dá)到高效率的識(shí)別結(jié)果，進(jìn)而對流量進(jìn)行有效控制，針對上述分析的幾種檢測方法，我們將DPI和DFI技術(shù)相互結(jié)合，提出了一種綜合的、多重的檢測手段，模型包括端口檢測、深度數(shù)據(jù)包檢測和深度數(shù)據(jù)流檢測3個(gè)基本模塊.其示流程圖如圖3所示.識(shí)別的過程:首先對使用固定端口的P2P流量進(jìn)行檢測;其次對未能檢測出來的數(shù)據(jù)流再比對特征值來加以判別;最后，對于加密的未知的P2P流，再根據(jù)節(jié)點(diǎn)在傳輸層表現(xiàn)出來的特征來判斷.

圖3 綜合流量檢測流程圖

本系統(tǒng)P2P流量檢測算法如下:

(1)報(bào)文被送到檢測引擎后，首先進(jìn)行端口檢測，如果使用的是知名端口，如http服務(wù)的80端口，ftp服務(wù)的21端口等，則直接轉(zhuǎn)到第5步，如果使用的是已知的P2P端口，則直接轉(zhuǎn)到第4步.如果都識(shí)別失敗，則轉(zhuǎn)入下一步.

(2)采用端口檢測如果不能識(shí)別，則轉(zhuǎn)到此步深度數(shù)據(jù)包檢測，對識(shí)別出來的P2P流量進(jìn)行分類，并根據(jù)相關(guān)數(shù)據(jù)格式存儲(chǔ)在數(shù)據(jù)庫中，為以后的統(tǒng)計(jì)分析做好準(zhǔn)備，如果識(shí)別不出來，則轉(zhuǎn)入下一步.

(3)深度數(shù)據(jù)包檢測沒有識(shí)別出來，則根據(jù)傳輸層兩個(gè)流量特征進(jìn)行識(shí)別，采用我們提出的檢測算法對流量進(jìn)行識(shí)別，如果識(shí)別出來，則轉(zhuǎn)入第4步.否則轉(zhuǎn)入第5步.

(4)流量被識(shí)別出來以后，則根據(jù)相應(yīng)的控制策略采取措施.

(5)對常規(guī)業(yè)務(wù)和未檢測出來的流量進(jìn)行放行操作.

4 檢測實(shí)施及初步效果

針對本文提出的算法，系統(tǒng)采用PHP開發(fā)語言，數(shù)據(jù)庫采用MYSQL，整體架構(gòu)在微軟平臺(tái)上.系統(tǒng)具體流程為數(shù)據(jù)包的采集、端口檢測、DPI檢測和DFI檢測.常見端口的設(shè)置，輸入一些公認(rèn)端口，比如http服務(wù)的80端口，ftp服務(wù)的21端口等;特征比特串的設(shè)置，盡可能的輸入所有目前發(fā)現(xiàn)的特征值，比如迅雷的特征值:“POST/HTTP/1.1”，BT的特征值:“0x13B itTorrent”等;流量特征的檢測，采用本文提出的兩種行為特征.本系統(tǒng)經(jīng)過一段時(shí)間的運(yùn)行，效果明顯，圖4就是本系統(tǒng)的運(yùn)行結(jié)果截圖.

圖4 流量檢測實(shí)時(shí)結(jié)果

5 結(jié)束語

在理論結(jié)合試驗(yàn)的基礎(chǔ)上，作者感覺到此模型還有一些不足之處，有以下幾個(gè)方面需要進(jìn)一步的探討和改進(jìn):

(1)對檢測出來的P2P流量沒有進(jìn)行進(jìn)一步的分析，其有效性和正確性還有待驗(yàn)證.

(2)本文提出的多重檢測方案，還可以結(jié)合其他如機(jī)器學(xué)習(xí)、人工神經(jīng)網(wǎng)絡(luò)等識(shí)別手段則更高效準(zhǔn)確.

(3)本模型測試的環(huán)境是百兆的校園網(wǎng)，如果采集數(shù)據(jù)的環(huán)境變成千兆或更大時(shí)，本模型要能靈活應(yīng)對，從而滿足各種環(huán)境的檢測.

［1］閆佳，應(yīng)凌云.結(jié)構(gòu)化對等網(wǎng)測量方法研究［J］.軟件學(xué)報(bào)，2014，(6):1302－1305.

［2］韓淑芳.基于P2P技術(shù)的網(wǎng)絡(luò)應(yīng)用及分析探討［J］.電子技術(shù)與軟件工程，2013，(15):13.

［3］林維鏘.中小型校園網(wǎng)流量的控制方法［J］.武漢工程大學(xué)學(xué)報(bào)，2011，(4):97－98.

［4］唐紅，黃鼎.通用Bittorrent模擬器研究［J］.計(jì)算機(jī)工程與應(yīng)用，2011，(15):130－133.

［5］李致遠(yuǎn)，王汝傳.一種基于機(jī)器學(xué)習(xí)的P2P網(wǎng)絡(luò)流量識(shí)別方法［J］.計(jì)算機(jī)研究與發(fā)展，2011，(12):2253－2255.

［6］鄭藝芳.基于HTTP的P2P流媒體直播系統(tǒng)構(gòu)建［J］.長沙大學(xué)學(xué)報(bào)，2012，(2):43－46.

［7］Yuan R，Li Z，Guan X，et al.An SVM－based machine learning method for accurate internet traffic classification［J］.Information Systems Frontiers，2010，(2):149－156.

［8］M Soysal，E G Schmidt.Machine learning algorithms for accurate flow－based network traffic classification:Evaluation and comparison［J］.Performance Evaluation，2010，(6):451－467.

［9］李彬彬.基于流量特征的P2P應(yīng)用分析與控制［J］.北京交通大學(xué)學(xué)報(bào)，2010，(8):32－36.

［10］劉劍剛，秦拯.基于多重特性的P2P流量識(shí)別方法［J］.微計(jì)算機(jī)信息，2010，(33):69.

［11］熊殿華.一種結(jié)構(gòu)化P2P網(wǎng)絡(luò)中的動(dòng)態(tài)協(xié)作緩存策略［J］.計(jì)算機(jī)與數(shù)字工程，2010，(1):58.