特殊網(wǎng)絡(luò)流量識(shí)別綜述

曹詩敏 王娟

摘要：特殊網(wǎng)絡(luò)是指與傳統(tǒng)的客戶端/服務(wù)端結(jié)構(gòu)不同或者使用了特殊技術(shù)或工具形成的網(wǎng)絡(luò)，前者以P2P網(wǎng)絡(luò)為代表，后者以匿名網(wǎng)絡(luò)、僵尸網(wǎng)絡(luò)等為代表。這類網(wǎng)絡(luò)相較傳統(tǒng)網(wǎng)絡(luò)更加高效、隱蔽、目的性強(qiáng)，難以用傳統(tǒng)方法進(jìn)行監(jiān)管，帶來了一系列管理和安全問題。傳統(tǒng)流量識(shí)別技術(shù)不能有效應(yīng)對(duì)特殊網(wǎng)絡(luò)的流量識(shí)別，針對(duì)特殊網(wǎng)絡(luò)的流量識(shí)別成為網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全領(lǐng)域新的熱點(diǎn)。本文首先簡(jiǎn)要介紹傳統(tǒng)網(wǎng)絡(luò)的流量識(shí)別技術(shù)；進(jìn)而介紹三種常見的特殊網(wǎng)絡(luò)以及對(duì)應(yīng)的流量識(shí)別技術(shù)，其中重點(diǎn)介紹目前Internet中最成功的公共匿名通信網(wǎng)絡(luò)，即Tor網(wǎng)絡(luò)的流量識(shí)別進(jìn)展及存在問題。

關(guān)鍵詞：特殊網(wǎng)絡(luò)；流量識(shí)別；P2P網(wǎng)絡(luò)；僵尸網(wǎng)絡(luò)；匿名網(wǎng)絡(luò)；Tor

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）17-0022-05

Abstract： The special network is different from the traditional client/server structure， with which formed by using the special technologies or tools， the former is represented by the P2P network， the latter is represented by anonymous network and botnet. Compared with traditional network， the special network is more efficient， covert and purposeful， and it is difficult to analysis with traditional methods， resulting in a series of management and security problems. The traditional traffic identification technology cannot effectively deal with the traffic identification of special network， and the traffic identification of special network becomes a new hot spot in network management and network security fields. Firstly， this paper introduced the traffic identification technology of traditional network， then three common special network， and the corresponding traffic identification technology were introduced， which focused on the most successful public anonymous communication network of Internet， namely the progress and existing problems of Tor network traffic identification.

Key words： the special network； traffic identification； P2P network； Botnet； anonymous network； Tor

1 引言

網(wǎng)絡(luò)流量分析是有助于維護(hù)網(wǎng)絡(luò)持續(xù)、高效和安全運(yùn)行的一種手段，它廣泛應(yīng)用于網(wǎng)絡(luò)管理中的安全監(jiān)控和服務(wù)質(zhì)量的改善[1]，常見的產(chǎn)品如入侵檢測(cè)系統(tǒng)（Intrusion Detection System：IDS）、防火墻、流量控制設(shè)備、負(fù)載均衡設(shè)備等也都和流量分析技術(shù)直接相關(guān)。對(duì)網(wǎng)絡(luò)流量的分析可以很好地了解網(wǎng)絡(luò)的運(yùn)行規(guī)律，同時(shí)分析網(wǎng)絡(luò)應(yīng)用產(chǎn)生的流量以了解應(yīng)用的運(yùn)行情況。其次，流量分析還是了解網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)行為的重要途徑，每個(gè)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)行為都是相互影響的，同時(shí)會(huì)對(duì)網(wǎng)絡(luò)的運(yùn)行產(chǎn)生影響，用戶在網(wǎng)絡(luò)中的每個(gè)網(wǎng)絡(luò)行為都伴隨著網(wǎng)絡(luò)流量的產(chǎn)生，通過對(duì)用戶的網(wǎng)絡(luò)流量的分析能夠直觀地了解用戶的網(wǎng)絡(luò)行為。在了解正常網(wǎng)絡(luò)運(yùn)行情況的基礎(chǔ)上，可以進(jìn)一步發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常，異常的網(wǎng)絡(luò)行為也都具有可統(tǒng)計(jì)的流量特征，如感染的蠕蟲病毒、安裝了木馬程序等，都可以通過流量分析及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)用戶的這些異常網(wǎng)絡(luò)行為，從而有效的應(yīng)對(duì)各種網(wǎng)絡(luò)和應(yīng)用問題。

近幾年來，互聯(lián)網(wǎng)應(yīng)用由傳統(tǒng)應(yīng)用如HTTP、SMTP等占主導(dǎo)地位轉(zhuǎn)變?yōu)楦鞣N新型網(wǎng)絡(luò)應(yīng)用。隨著對(duì)等網(wǎng)絡(luò)（Peer to Peer：P2P）各類應(yīng)用的使用逐漸增多，以及在全球范圍內(nèi)加密流量的不斷增加，用戶的個(gè)人隱私保護(hù)和網(wǎng)絡(luò)安全意識(shí)逐漸增加，安全套接層（SSL）、安全外殼協(xié)議（SSH）、虛擬專用網(wǎng)（VPN）等技術(shù)也大量應(yīng)用于互聯(lián)網(wǎng)。加密協(xié)議的良好兼容性和可擴(kuò)展性使得采用加密技術(shù)越來越簡(jiǎn)單。但是，傳統(tǒng)的信息加密技術(shù)能夠?qū)崿F(xiàn)對(duì)傳輸內(nèi)容的保護(hù)，卻不能很好的隱匿通信雙方的身份信息、地理位置和通信模式等信息[2]，匿名通信技術(shù)[3]，[4]隨之被提出，匿名網(wǎng)絡(luò)逐漸被應(yīng)用匿名網(wǎng)絡(luò)提供的匿名性使得對(duì)該類網(wǎng)絡(luò)服務(wù)的監(jiān)管難度加大。互聯(lián)網(wǎng)技術(shù)發(fā)展為網(wǎng)絡(luò)用戶提供了便利性的同時(shí)，也打開了網(wǎng)絡(luò)惡意活動(dòng)的大門，僵尸網(wǎng)絡(luò)就是其中一種。由此，各類技術(shù)的發(fā)展使得特殊網(wǎng)絡(luò)的存在也越來越廣泛，通過網(wǎng)絡(luò)流量分析來對(duì)網(wǎng)絡(luò)行為進(jìn)行監(jiān)管就具有了重大意義。

2 傳統(tǒng)的流量識(shí)別方法

目前，主要的流量識(shí)別技術(shù)可以劃分為以下幾類，即基于端口號(hào)的流量識(shí)別方法、基于深層包檢測(cè)（Deep Packet Inspection：DPI）的流量識(shí)別方法、基于行為特征的流量識(shí)別方法和基于流特征的流量識(shí)別方法。下面分別介紹這四種流量識(shí)別方法。

2.1 基于端口的流量識(shí)別方法

一些典型應(yīng)用常用的傳輸層協(xié)議和端口號(hào)是固定的，根據(jù)這類信息來識(shí)別流量是最簡(jiǎn)單的一類流量識(shí)別方法。此類方法依據(jù)互聯(lián)網(wǎng)地址指派機(jī)構(gòu)（IANA）指定的端口映射表[5]，IANA將端口分為三類：

（1）熟知端口（well known ports）：由IANA分配給TCP/IP最重要的應(yīng)用程序，端口范圍在0～1023。

（2）注冊(cè)端口（registered ports）：這類端口號(hào)是為沒有熟知端口號(hào)的應(yīng)用程序使用的。使用這類端口號(hào)必須在IANA按照規(guī)定的手續(xù)登記，以防止重復(fù)，其端口號(hào)范圍為1024～49151。

（3）短暫端口（ephemeral ports）：這類端口僅在客戶進(jìn)程運(yùn)行時(shí)才動(dòng)態(tài)選擇，它是留給客戶進(jìn)程選擇暫時(shí)使用，其端口號(hào)范圍為49152～65535。

端口號(hào)映射的方法實(shí)現(xiàn)起來較簡(jiǎn)單，只需要分析到數(shù)據(jù)包的傳輸層，識(shí)別開銷小、速度快，該方式在以往應(yīng)用服務(wù)種類不多的情況下較為實(shí)用。由于防火墻等訪問控制技術(shù)的屏蔽了很多未授權(quán)的端口，很多協(xié)議都使用了常用端口以避開防火墻，同時(shí)，隨著網(wǎng)絡(luò)規(guī)模的快速增長(zhǎng)，尤其是P2P網(wǎng)絡(luò)的大量應(yīng)用，使得用戶數(shù)據(jù)的類型增多，眾多進(jìn)程啟用了大量的隨機(jī)端口，這些因素都對(duì)使用端口號(hào)來識(shí)別流量非常不利。

2.2 基于DPI的流量識(shí)別方法

基于DPI的流量識(shí)別檢測(cè)[6]又叫基于載荷特征的流量識(shí)別方法，是一種基于應(yīng)用層的流量檢測(cè)技術(shù)，它利用模式匹配算法[7]搜索流量的有效載荷中的特征值以識(shí)別各種不同的應(yīng)用層協(xié)議，根據(jù)各協(xié)議特有的模式特征確定流量所屬協(xié)議類型，分析出各應(yīng)用層協(xié)議的特有特征是實(shí)施DPI方法的關(guān)鍵。

基于DPI的流量檢測(cè)方法有效的彌補(bǔ)了基于端口號(hào)識(shí)別流量的不足，端口的變化不會(huì)影響檢測(cè)率，也能夠檢測(cè)廣泛使用的P2P應(yīng)用[8]。這種方法不僅能夠識(shí)別出使用單一連接進(jìn)行通信的協(xié)議，而且還能識(shí)別出SIP、流媒體協(xié)議等基于會(huì)話協(xié)商的應(yīng)用協(xié)議，此類協(xié)議通常是由控制和數(shù)據(jù)會(huì)話兩部分組成，通信雙方的數(shù)據(jù)端口是在控制會(huì)話中動(dòng)態(tài)協(xié)商產(chǎn)生的，控制和數(shù)據(jù)會(huì)話使用的傳輸層協(xié)議是可能不同的。但DPI方法也有自身的缺陷，其一，該方法只能識(shí)別特征庫中已有的協(xié)議，無法識(shí)別其他未知流量，對(duì)于新的協(xié)議需要分析其載荷特征將其加入特征庫，才能對(duì)新的協(xié)議進(jìn)行識(shí)別，這也就加大了實(shí)時(shí)載荷分析的難度；其二，對(duì)于加密的有效載荷識(shí)別率不高。

2.3 基于行為特征的流量識(shí)別

網(wǎng)絡(luò)中的應(yīng)用都具有不同的行為特征，根據(jù)不同的行為特征可以將其作為流量識(shí)別的方法?；谛袨樘卣髌ヅ涞牧髁孔R(shí)別方法是通過觀察網(wǎng)絡(luò)應(yīng)用的連接行為來匹配是何種應(yīng)用，此方法不需要用到數(shù)據(jù)包的內(nèi)容，所以即便數(shù)據(jù)包加密也不會(huì)受到影響。這種識(shí)別方法需要維護(hù)和匹配大量的啟發(fā)式規(guī)則、無須解讀數(shù)據(jù)包的負(fù)載、處理性能要求不高、具有新的流量特征發(fā)現(xiàn)能力、準(zhǔn)確度也較高， 還能提醒用戶檢查那些疑似的病毒攻擊流。但是這種方法需要大量流量進(jìn)行離線分析，不利于實(shí)時(shí)識(shí)別和實(shí)際應(yīng)用，此外該方法是利用應(yīng)用流量的行為屬性，可能會(huì)隨著網(wǎng)絡(luò)應(yīng)用自身的改進(jìn)而逐步失效[9]。

2.4 基于流特征的識(shí)別方法

基于流特征的識(shí)別方法不需要提取應(yīng)用層協(xié)議的特征建立特征庫，它不是對(duì)數(shù)據(jù)包的有效載荷進(jìn)行分析，而是利用協(xié)議規(guī)范的不同造成的流測(cè)度的差異來區(qū)別各個(gè)協(xié)議，是針對(duì)數(shù)據(jù)流進(jìn)行統(tǒng)計(jì)分析。通過建立數(shù)據(jù)流的特征模型并分析數(shù)據(jù)流的統(tǒng)計(jì)特征，如數(shù)據(jù)流中數(shù)據(jù)包的平均大小、到達(dá)時(shí)間、時(shí)間間隔等，依據(jù)這些特征對(duì)不同協(xié)議進(jìn)行區(qū)分。

該方法可以有效地獨(dú)立于基于端口信息和載荷特征的識(shí)別方法，即便是端口號(hào)和載荷特征發(fā)生了變化，但數(shù)據(jù)流的一些統(tǒng)計(jì)特性依然可以保持不變。目前，對(duì)數(shù)據(jù)流的統(tǒng)計(jì)、建模、分析可以采用機(jī)器學(xué)習(xí)的方法來對(duì)流量進(jìn)行分類[10]，[11]。機(jī)器學(xué)習(xí)算法分為三種，即有監(jiān)督學(xué)習(xí)法、無監(jiān)督學(xué)習(xí)法、半監(jiān)督學(xué)習(xí)法。有監(jiān)督學(xué)習(xí)方法目前使用最多的是用貝葉斯分類法、神經(jīng)網(wǎng)絡(luò)和遺傳算法。無監(jiān)督學(xué)習(xí)方法通常使用數(shù)據(jù)包長(zhǎng)度、時(shí)間間隔、持續(xù)時(shí)間等作為分類特征，通過分類器進(jìn)行學(xué)習(xí)，學(xué)習(xí)和分類的結(jié)果再作為下一次分類的評(píng)估標(biāo)準(zhǔn)，這種方法隨著學(xué)習(xí)次數(shù)的增加有效的增加了分類的準(zhǔn)確率。而半監(jiān)督的機(jī)器學(xué)習(xí)方法不同于前面來年各種方法的是它的訓(xùn)練集中采用的是少量已標(biāo)記的數(shù)據(jù)流樣本和大量為標(biāo)記的數(shù)據(jù)流樣本。

根據(jù)流特征識(shí)別網(wǎng)絡(luò)流量的方法需要收集歷史的流量數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)以建立分類模型，且不能處理數(shù)據(jù)包的丟失和重組，但是，該方法在識(shí)別流量中性能高、可擴(kuò)展性好，還能識(shí)別加密流量。

3 特殊網(wǎng)絡(luò)流量分析

3.1 特殊網(wǎng)絡(luò)概述

特殊網(wǎng)絡(luò)是指與傳統(tǒng)的客戶端/服務(wù)端（C/S）結(jié)構(gòu)不同的網(wǎng)絡(luò)，如P2P網(wǎng)絡(luò)，也指那些使用了特殊技術(shù)或工具形成的網(wǎng)絡(luò)，如匿名網(wǎng)絡(luò)、僵尸網(wǎng)絡(luò)等。下面將介紹提到的這三種特殊網(wǎng)絡(luò)。

3.1.1 P2P網(wǎng)絡(luò)

P2P（peer-to-peer）又稱對(duì)等網(wǎng)絡(luò)，它是一種新型的網(wǎng)絡(luò)架構(gòu)，相比于傳統(tǒng)C/S結(jié)構(gòu)的一個(gè)本質(zhì)區(qū)別是該網(wǎng)絡(luò)不存在中心服務(wù)器，P2P技術(shù)依賴網(wǎng)絡(luò)中所有參與者的處理能力和信息共享，每一個(gè)節(jié)點(diǎn)可以同時(shí)具有信息消費(fèi)者、信息提供者和信息通訊等三方面的功能。而在計(jì)算模式上，網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)的地位都是對(duì)等的。每個(gè)節(jié)點(diǎn)既充當(dāng)服務(wù)器，為其他節(jié)點(diǎn)提供服務(wù)，同時(shí)也享用其他節(jié)點(diǎn)提供的服務(wù)。P2P網(wǎng)絡(luò)是對(duì)分布式概念的成功拓展[12]，它將傳統(tǒng)方式下的服務(wù)器負(fù)擔(dān)分配到網(wǎng)絡(luò)中的每一節(jié)點(diǎn)上，每一節(jié)點(diǎn)都將承擔(dān)有限的存儲(chǔ)與計(jì)算任務(wù)，加入網(wǎng)絡(luò)中的節(jié)點(diǎn)越多，節(jié)點(diǎn)貢獻(xiàn)的資源也就越多，其服務(wù)質(zhì)量也就高。

目前，P2P技術(shù)主要應(yīng)用在文件資源共享和下載、分布式計(jì)算、即時(shí)通訊、網(wǎng)絡(luò)電視和網(wǎng)絡(luò)游戲。

3.1.2 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)（Botnet）[13]是網(wǎng)絡(luò)安全面臨的最嚴(yán)重威脅之一，也是當(dāng)今計(jì)算機(jī)和網(wǎng)絡(luò)安全領(lǐng)域最具挑戰(zhàn)性的話題之一。僵尸網(wǎng)絡(luò)是指攻擊者通過傳播僵尸程序控制大量主機(jī)，通過命令與控制信道與僵尸主機(jī)通信并發(fā)布命令形成的一個(gè)網(wǎng)絡(luò)。攻擊者利用Botnet可發(fā)起多種攻擊，如分布式拒絕服務(wù)攻擊（DDoS）、垃圾郵件、信息竊取等。隨著Botnet的興起，DDoS攻擊得到了迅速的壯大和普遍的應(yīng)用，DDoS攻擊是利用服務(wù)請(qǐng)求來耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請(qǐng)求，它可以消耗大量的帶寬，卻不消耗應(yīng)用程序資源，Botnet為 DDoS 攻擊提供了所需的帶寬和計(jì)算機(jī)以及管理攻擊所需的基礎(chǔ)架構(gòu)。通過僵尸工具還可以在被感染的主機(jī)上發(fā)送垃圾郵件等，包括詐騙郵件，在一個(gè)Botnet和成千上萬的僵尸工具的幫助下，攻擊者可以發(fā)送大量的垃圾郵件。同時(shí)僵尸工具也可用數(shù)據(jù)包監(jiān)聽器來觀察某一臺(tái)已被攻陷主機(jī)上的明文數(shù)據(jù)[14]。監(jiān)聽器大部分被用于提取敏感信息，例如用戶名和密碼。如果一臺(tái)主機(jī)不止一次被攻陷并屬于多個(gè)僵尸網(wǎng)絡(luò)，數(shù)據(jù)包監(jiān)聽還允許收集另一個(gè)僵尸網(wǎng)絡(luò)的關(guān)鍵信息，因此偷竊另外一個(gè)僵尸網(wǎng)絡(luò)得信息也是可能的。