P2P流量識別技術研究

張玉輝,王冬霞

摘? 要：隨著P2P技術的廣泛使用，P2P應用雖然豐富了人們的生活，但部分P2P應用嚴重的影響了企事業單位的正常辦公，并且為不良信息的廣泛傳播提供了便利。如何有效的識別并控制P2P流量已成為當前Internet技術中越來越重要一項研究，本文對P2P流量的識別進行了深入的研究，并提出了字段特征與PDU格式兩種有效的識別方法。

關鍵詞：P2P；流量識別；字段特征

中圖分類號：TP311.1?????????? 文獻標識碼：A

1 引言（Introduction）

隨著計算機網絡技術的不斷發展，因特網應用也越來越豐富，它給人們的生活提供了便利的同時，也給計算機網絡的管理增加了難度，特別是當前應用比較廣泛的P2P服務，不但占用了絕大多數的帶寬，影響了企事業單位的正常辦公，還給一些不良信息的傳播提供了便利，因此針對P2P流量識別與過濾的研究已成為當前一項重要的研究，本文研究了基于DPI（Deep Packet Inspection，深度包檢測）的P2P流量識別技術。

2?? P2P技術（Peer-to-peer technology）

針對于傳統的C/S結構，有一個中心服務器（Server）為所有的用戶（Client）提供服務，P2P結構的網絡沒有一個具體的中心服務器，整個網絡由所有連入P2P網絡的終端組成，不存在一個中心服務器為其他用戶提供服務，任意一個終端即可能是其他終端的服務器也可能是其他終端的客戶機，終端與終端之間是一個對等的關系。P2P網絡將所有加入到該網絡的終端都利用起來，不但起到了負載均衡的功能，也避免了單點故障的問題。因此，P2P被廣泛的應用于資料共享、即時通信與流媒體播放中，甚至還應用于網絡攻擊中。

2.1?? P2P網絡的拓撲結構

P2P網絡在不斷的發展過程中，網絡拓撲結構在也在不斷的變化，經歷了中心式、分布式和混合式三個階段。中心式P2P網絡結構主要以Napster為代表，該拓撲結構中存在一個中心服務器，但服務器并不為Peer節點提供資源下載，服務器上主要提供了資源索引、Peer管理等服務，網絡的運行需要中心服務器的支持，因此存在單點故障問題。分布式拓撲結構取消了服務器的中心服務器，P2P網絡由Peer結點組成，這樣避免了單點故障問題，但產生了搜索資源慢的問題。目前被廣泛使用是混合式拓撲結構，該結構綜合了中心式和分布式結構中優點，網絡中存在多個中心服務器為Peer結點提供資源索引的服務，即提高了資源搜索的速度，也避免了單點故障的問題。

2.2?? P2P的通信原理

通過對P2P網絡拓撲結構的分析，針對當前基于混合式的P2P網絡主要的連接有三種：普通節點與服務器之間、普通節點之間和服務器之間。而在網絡中占總通信量比較多的是普通節點與服務器之間和普通節點之間，這也是本文研究的重點。P2P協議運行于應用層，并且在不同的應用環境中，有些數據在傳輸層通過TCP協議封裝，有些通過UDP協議封裝，以TCP為例，P2P通信原理如表1所示。

表1 P2P通信原理

Tab.1 Communication principle

3?? P2P流量識別（P2P traffic identification）

由上分析可知，為了能夠對P2P流量進行識別，首先分析該通信的過程與原理，找出其中一些可用于識別的數據包，這些數據包所具有的特征即可成為DPI識別的流量特征。通

過P2P數據的抓包并進行分析后發現，當前的P2P通信數據包的特征主要有兩類：特征字段和PDU格式。特征字段出現在數據包數據部分的開始位置，例如BitTorrent流量中特征為0×13BitTorrent Protocol。PDU格式表示數據包的結構，不同的P2P應用采用自己特有的結構。因此，根據特征的不同，可以將P2P應用分為基于特征字段的流量特征和基于PDU的流量特征，如表2所示。

表2 P2P應用分類

Tab.2 P2P application field

具有固定PDU格式的P2P協議?PPS、SoulSeek、迅雷、PPLive、eDonkey、youku、迅雷看看

具有特征字段的P2P協議?MSN、BitTorrent、GnuTella

通過對大量P2P應用的研究，絕大多數的P2P應用主要用于資源的分布式共享，因此為了數據傳輸的快速與方便，并沒有對數據加密的處理，例如：PPS、PPLive、迅雷、eDonkey、BitTorrent等。對于這些P2P應用，可以采用特征字段和PDU格式的方式進行流量的識別，通過實驗獲取各P2P應用的對應的特征字段或PDU格式，采用DPI方式去匹配通過的數據流的特征字段或PDU格式實現流量的識別。

對于部分對數據進行加密的P2P應用，通信的Peer對等端在通信的過程中對數據進行了加解密處理，使得通信的數據不存在具有標識特性的特征碼或PDU格式，因此無法通過DPI方式識別此種類型的流量。因此對于此種類型的P2P應用，首先采用DPI方式檢測出部分能夠識別的流量，找出此部分流量的流量特征并進行過濾。

4?? 結論（Conclusion）

本文針對基于P2P技術的應用被廣泛使用，且流量如何有效識別的問題進行了深入的研究，最后得出兩種識別方法：基于特征字段和基于固定的PDU格式，這兩種方式能有效的識別大多的P2P應用，但卻無法識別對數據進行了加密處理的P2P應用，針對進行了加密處理的P2P應用的流量識別問題將是本題課下一步所要做的工作。

參考文獻（References）

[1] 劉瓊，等.P2P流媒體網絡電視通信機制研究[J].電信科學，

2009，（6）：61-64.

[2] 趙瑞.基于特征串的P2P流量識別研究與實現[D].成都：電子

科技大學，2009.

[3] 王一.P2P流媒體監控平臺的設計與實現[D].上海：上海交通

大學，2008.

作者簡介：

張玉輝（1983-），男，碩士，講師.研究領域：計算機網絡.

王冬霞（1983-），女，碩士，講師.研究領域：嵌入式系統.endprint

摘? 要：隨著P2P技術的廣泛使用，P2P應用雖然豐富了人們的生活，但部分P2P應用嚴重的影響了企事業單位的正常辦公，并且為不良信息的廣泛傳播提供了便利。如何有效的識別并控制P2P流量已成為當前Internet技術中越來越重要一項研究，本文對P2P流量的識別進行了深入的研究，并提出了字段特征與PDU格式兩種有效的識別方法。

關鍵詞：P2P；流量識別；字段特征

中圖分類號：TP311.1?????????? 文獻標識碼：A

1 引言（Introduction）

隨著計算機網絡技術的不斷發展，因特網應用也越來越豐富，它給人們的生活提供了便利的同時，也給計算機網絡的管理增加了難度，特別是當前應用比較廣泛的P2P服務，不但占用了絕大多數的帶寬，影響了企事業單位的正常辦公，還給一些不良信息的傳播提供了便利，因此針對P2P流量識別與過濾的研究已成為當前一項重要的研究，本文研究了基于DPI（Deep Packet Inspection，深度包檢測）的P2P流量識別技術。

2?? P2P技術（Peer-to-peer technology）

針對于傳統的C/S結構，有一個中心服務器（Server）為所有的用戶（Client）提供服務，P2P結構的網絡沒有一個具體的中心服務器，整個網絡由所有連入P2P網絡的終端組成，不存在一個中心服務器為其他用戶提供服務，任意一個終端即可能是其他終端的服務器也可能是其他終端的客戶機，終端與終端之間是一個對等的關系。P2P網絡將所有加入到該網絡的終端都利用起來，不但起到了負載均衡的功能，也避免了單點故障的問題。因此，P2P被廣泛的應用于資料共享、即時通信與流媒體播放中，甚至還應用于網絡攻擊中。

2.1?? P2P網絡的拓撲結構

P2P網絡在不斷的發展過程中，網絡拓撲結構在也在不斷的變化，經歷了中心式、分布式和混合式三個階段。中心式P2P網絡結構主要以Napster為代表，該拓撲結構中存在一個中心服務器，但服務器并不為Peer節點提供資源下載，服務器上主要提供了資源索引、Peer管理等服務，網絡的運行需要中心服務器的支持，因此存在單點故障問題。分布式拓撲結構取消了服務器的中心服務器，P2P網絡由Peer結點組成，這樣避免了單點故障問題，但產生了搜索資源慢的問題。目前被廣泛使用是混合式拓撲結構，該結構綜合了中心式和分布式結構中優點，網絡中存在多個中心服務器為Peer結點提供資源索引的服務，即提高了資源搜索的速度，也避免了單點故障的問題。

2.2?? P2P的通信原理

通過對P2P網絡拓撲結構的分析，針對當前基于混合式的P2P網絡主要的連接有三種：普通節點與服務器之間、普通節點之間和服務器之間。而在網絡中占總通信量比較多的是普通節點與服務器之間和普通節點之間，這也是本文研究的重點。P2P協議運行于應用層，并且在不同的應用環境中，有些數據在傳輸層通過TCP協議封裝，有些通過UDP協議封裝，以TCP為例，P2P通信原理如表1所示。

表1 P2P通信原理

Tab.1 Communication principle

3?? P2P流量識別（P2P traffic identification）

由上分析可知，為了能夠對P2P流量進行識別，首先分析該通信的過程與原理，找出其中一些可用于識別的數據包，這些數據包所具有的特征即可成為DPI識別的流量特征。通

過P2P數據的抓包并進行分析后發現，當前的P2P通信數據包的特征主要有兩類：特征字段和PDU格式。特征字段出現在數據包數據部分的開始位置，例如BitTorrent流量中特征為0×13BitTorrent Protocol。PDU格式表示數據包的結構，不同的P2P應用采用自己特有的結構。因此，根據特征的不同，可以將P2P應用分為基于特征字段的流量特征和基于PDU的流量特征，如表2所示。

表2 P2P應用分類

Tab.2 P2P application field

具有固定PDU格式的P2P協議?PPS、SoulSeek、迅雷、PPLive、eDonkey、youku、迅雷看看

具有特征字段的P2P協議?MSN、BitTorrent、GnuTella

通過對大量P2P應用的研究，絕大多數的P2P應用主要用于資源的分布式共享，因此為了數據傳輸的快速與方便，并沒有對數據加密的處理，例如：PPS、PPLive、迅雷、eDonkey、BitTorrent等。對于這些P2P應用，可以采用特征字段和PDU格式的方式進行流量的識別，通過實驗獲取各P2P應用的對應的特征字段或PDU格式，采用DPI方式去匹配通過的數據流的特征字段或PDU格式實現流量的識別。

對于部分對數據進行加密的P2P應用，通信的Peer對等端在通信的過程中對數據進行了加解密處理，使得通信的數據不存在具有標識特性的特征碼或PDU格式，因此無法通過DPI方式識別此種類型的流量。因此對于此種類型的P2P應用，首先采用DPI方式檢測出部分能夠識別的流量，找出此部分流量的流量特征并進行過濾。

4?? 結論（Conclusion）

本文針對基于P2P技術的應用被廣泛使用，且流量如何有效識別的問題進行了深入的研究，最后得出兩種識別方法：基于特征字段和基于固定的PDU格式，這兩種方式能有效的識別大多的P2P應用，但卻無法識別對數據進行了加密處理的P2P應用，針對進行了加密處理的P2P應用的流量識別問題將是本題課下一步所要做的工作。

參考文獻（References）

[1] 劉瓊，等.P2P流媒體網絡電視通信機制研究[J].電信科學，

2009，（6）：61-64.

[2] 趙瑞.基于特征串的P2P流量識別研究與實現[D].成都：電子

科技大學，2009.

[3] 王一.P2P流媒體監控平臺的設計與實現[D].上海：上海交通

大學，2008.

作者簡介：

張玉輝（1983-），男，碩士，講師.研究領域：計算機網絡.

王冬霞（1983-），女，碩士，講師.研究領域：嵌入式系統.endprint

摘? 要：隨著P2P技術的廣泛使用，P2P應用雖然豐富了人們的生活，但部分P2P應用嚴重的影響了企事業單位的正常辦公，并且為不良信息的廣泛傳播提供了便利。如何有效的識別并控制P2P流量已成為當前Internet技術中越來越重要一項研究，本文對P2P流量的識別進行了深入的研究，并提出了字段特征與PDU格式兩種有效的識別方法。

關鍵詞：P2P；流量識別；字段特征

中圖分類號：TP311.1?????????? 文獻標識碼：A

1 引言（Introduction）

隨著計算機網絡技術的不斷發展，因特網應用也越來越豐富，它給人們的生活提供了便利的同時，也給計算機網絡的管理增加了難度，特別是當前應用比較廣泛的P2P服務，不但占用了絕大多數的帶寬，影響了企事業單位的正常辦公，還給一些不良信息的傳播提供了便利，因此針對P2P流量識別與過濾的研究已成為當前一項重要的研究，本文研究了基于DPI（Deep Packet Inspection，深度包檢測）的P2P流量識別技術。

2?? P2P技術（Peer-to-peer technology）

針對于傳統的C/S結構，有一個中心服務器（Server）為所有的用戶（Client）提供服務，P2P結構的網絡沒有一個具體的中心服務器，整個網絡由所有連入P2P網絡的終端組成，不存在一個中心服務器為其他用戶提供服務，任意一個終端即可能是其他終端的服務器也可能是其他終端的客戶機，終端與終端之間是一個對等的關系。P2P網絡將所有加入到該網絡的終端都利用起來，不但起到了負載均衡的功能，也避免了單點故障的問題。因此，P2P被廣泛的應用于資料共享、即時通信與流媒體播放中，甚至還應用于網絡攻擊中。

2.1?? P2P網絡的拓撲結構

P2P網絡在不斷的發展過程中，網絡拓撲結構在也在不斷的變化，經歷了中心式、分布式和混合式三個階段。中心式P2P網絡結構主要以Napster為代表，該拓撲結構中存在一個中心服務器，但服務器并不為Peer節點提供資源下載，服務器上主要提供了資源索引、Peer管理等服務，網絡的運行需要中心服務器的支持，因此存在單點故障問題。分布式拓撲結構取消了服務器的中心服務器，P2P網絡由Peer結點組成，這樣避免了單點故障問題，但產生了搜索資源慢的問題。目前被廣泛使用是混合式拓撲結構，該結構綜合了中心式和分布式結構中優點，網絡中存在多個中心服務器為Peer結點提供資源索引的服務，即提高了資源搜索的速度，也避免了單點故障的問題。

2.2?? P2P的通信原理

通過對P2P網絡拓撲結構的分析，針對當前基于混合式的P2P網絡主要的連接有三種：普通節點與服務器之間、普通節點之間和服務器之間。而在網絡中占總通信量比較多的是普通節點與服務器之間和普通節點之間，這也是本文研究的重點。P2P協議運行于應用層，并且在不同的應用環境中，有些數據在傳輸層通過TCP協議封裝，有些通過UDP協議封裝，以TCP為例，P2P通信原理如表1所示。

表1 P2P通信原理

Tab.1 Communication principle

3?? P2P流量識別（P2P traffic identification）

由上分析可知，為了能夠對P2P流量進行識別，首先分析該通信的過程與原理，找出其中一些可用于識別的數據包，這些數據包所具有的特征即可成為DPI識別的流量特征。通

過P2P數據的抓包并進行分析后發現，當前的P2P通信數據包的特征主要有兩類：特征字段和PDU格式。特征字段出現在數據包數據部分的開始位置，例如BitTorrent流量中特征為0×13BitTorrent Protocol。PDU格式表示數據包的結構，不同的P2P應用采用自己特有的結構。因此，根據特征的不同，可以將P2P應用分為基于特征字段的流量特征和基于PDU的流量特征，如表2所示。

表2 P2P應用分類

Tab.2 P2P application field

具有固定PDU格式的P2P協議?PPS、SoulSeek、迅雷、PPLive、eDonkey、youku、迅雷看看

具有特征字段的P2P協議?MSN、BitTorrent、GnuTella

通過對大量P2P應用的研究，絕大多數的P2P應用主要用于資源的分布式共享，因此為了數據傳輸的快速與方便，并沒有對數據加密的處理，例如：PPS、PPLive、迅雷、eDonkey、BitTorrent等。對于這些P2P應用，可以采用特征字段和PDU格式的方式進行流量的識別，通過實驗獲取各P2P應用的對應的特征字段或PDU格式，采用DPI方式去匹配通過的數據流的特征字段或PDU格式實現流量的識別。

對于部分對數據進行加密的P2P應用，通信的Peer對等端在通信的過程中對數據進行了加解密處理，使得通信的數據不存在具有標識特性的特征碼或PDU格式，因此無法通過DPI方式識別此種類型的流量。因此對于此種類型的P2P應用，首先采用DPI方式檢測出部分能夠識別的流量，找出此部分流量的流量特征并進行過濾。

4?? 結論（Conclusion）

本文針對基于P2P技術的應用被廣泛使用，且流量如何有效識別的問題進行了深入的研究，最后得出兩種識別方法：基于特征字段和基于固定的PDU格式，這兩種方式能有效的識別大多的P2P應用，但卻無法識別對數據進行了加密處理的P2P應用，針對進行了加密處理的P2P應用的流量識別問題將是本題課下一步所要做的工作。

參考文獻（References）

[1] 劉瓊，等.P2P流媒體網絡電視通信機制研究[J].電信科學，

2009，（6）：61-64.

[2] 趙瑞.基于特征串的P2P流量識別研究與實現[D].成都：電子

科技大學，2009.

[3] 王一.P2P流媒體監控平臺的設計與實現[D].上海：上海交通

大學，2008.

作者簡介：

張玉輝（1983-），男，碩士，講師.研究領域：計算機網絡.

王冬霞（1983-），女，碩士，講師.研究領域：嵌入式系統.endprint