基于P2P流量检测的签名特征匹配研究
摘要:P2P网络应用快速发展,带来网络安全防护漏洞和隐患。如何有效地监控P2P流,进行相关的流识别、流筛选、流控制是流管理中的重要问题。通过分析P2P协议及签名特征,提出一种基于签名特征的P2P流分析方法,通过实验分析相关P2P应用软件,得到相关软件的签名特征,并判断网络数据流是否为P2P流。可有效地提高P2P流识别的效率,解决检测信息过多、过滤信息性能瓶颈等问题。
关键词:P2P网络;流量检测;签名特征
近年来,网络技术快速发展,特别是对等网的迅速发展已经成为业界关注的焦点之一,基于P2P网络之上的相关应用正逐渐占据互联网应用的重要地位,并被视为未来网络技术发展的主要趋势,相对于传统网络,对等网依靠非中心节点、分布式结构模型,实现对等协作和资源共享,并具有自组织、容错性强、可扩展以及负载均衡等优点,但P2P是通过组播方式进行通信,它允许单个用户未经授权或检验而任意分发内容,其传播范围广,穿透性强,带来网络安全防护漏洞和隐患。如何有效地监控P2P流,进行相关的流识别。流筛选、流控制是流管理中的重要问题。
早期的P2P应用都是固定的端口号,容易检测便于管理,近年来,该应用逐渐发展到动态随机端口号,而且近期涌现的新型P2P应用越来越具有反侦察的意识,并采用了一些伪装或加密的方法,如:伪装Http协议、加密、传输分块等来逃避识别和检测,这些技术使得P2P流识别变得更为困难。目前,P2P应用快速发展和变化,新的P2P应用不断出现,其结构更为复杂,应用领域也更为广泛,随着网络带宽的不断拓展,单位时间的流量将更为庞大,而P2P流识别必须解决单位时间内在线监测分析的问题,这将给数据的采集、监测、分析带来更多困难。如何让识别算法适应网络流量的快速发展,使得监测的信息最多,过滤效果最好,也是当前急需解决的问题。
1 P2P流量检测的识别方法
1.1 端口识别检测方法
早期,P2P流识别主要采取的是端口识别和数据包检测方法,Madhukar等对端口识别法的有效性进行了研究,并采用实际数据观察。研究表明,端口识别法对网络中的数据流50%~70%无法有效识别。
1.2 统计特征的方法
基于协议和统计特征的方法是一类重要的P2P流识别方法,如Constantinou提出了网络直径分析法,通过记录网络中每个节点与其他节点建立连接的情况得到链接的逻辑拓扑图,并转换为网络直径,如网络直径超过某个门阈值,可认为该网络为P2P网络。Thomas Karagiannis等提出了协议和地址端口分析方法,P2P系统通常采用UDP来发送命令等控制信息,TCP协议来传输数据。传统网络的应用软件,很少出现同时使用UDP协议和TCP协议,如有同时使用两种协议可认为是P2P流。
1.3 检测协议特征的方法
数据包协议特征检测方法主要用于入侵检测,根据预定义的协议特征辨别其应用类型,当前许多P2P应用识别方案都基于这种方法。通过TCP/IP层之上的应用层协议分析软件进行流量分析和特征分析,监控并找出其协议特征码,以下就是各种不同的P2P网络协议的特性:
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码