P2P流量識別與審計

趙東卓， 劉棣華， 丁 斌

（長春工業大學 計算機科學與工程學院，吉林 長春 130012）

0 引 言

跨入21世紀以來，網絡的迅猛發展逐漸地改變了人們的生活方式，各種通訊、信息傳遞、文件傳輸越來越依靠網絡數據的傳輸，網絡數據的爆炸式增長已不可避免。在此契機下，各個網絡公司都在努力挖掘這個網絡蛋糕，而網民應用最廣泛的就是文件傳輸（主要是P2P下載）和網絡視頻（主要是P2PIPTV）。據統計，P2P流量已成為互聯網的主宰流量，約占全部流量的60%以上，但產生P2P流量的應用卻占總應用的很少一部分，P2P流量與非P2P流量有著明顯的區別。因此，對P2P流量的限制主要采用兩種思路：

1）通過區別P2P流量與非P2P流量的不同特點來確定P2P流量，從而阻斷P2P流量，已達到降低網絡負載的目的；

2）通過對具體P2P應用流量的識別來降低網絡負載；

3）對網絡應用進行審計，可以得到每個應用的使用時間高峰期以及地域特征來更好地利用網絡。

1 區別P2P流量與非P2P流量

目前的P2P流量的主要特征有流量數特征、網絡架構特征、RTT的異構分布。

1.1 流量數特征

P2P業務為了提高數據率應用的方法是：啟用多個TCP連接，同時從多個P2P節點進行雙向數據傳輸。因此，單位時間內，如果目的地址有大量的TCP流，那么說明可能是P2P流量（也有可能是基于TCP協議的網絡攻擊）。

1.2 架構特征

在P2P網絡中，P2P節點之間進行的數據傳輸打破了傳統的C／S模式。在P2P網絡中，每個節點都是對等的，具備客戶端和服務器端雙重特征，可以同時作為服務使用者和服務提供者，使得數據存儲轉變為內容邊緣模式。因此，P2P的每個節點都有數據流比較大的特征。

1.3 RTT的異構分布

TCP機制對于不同的RTT流存在不公平性，RTT較小的連接將得到更高的吞吐量。在傳統的C／S架構中，客戶端和服務器之間僅存在一條路徑，即使有多個連接，傳播時延也是確定的，當網絡擁塞時，流將在網絡瓶頸點排隊，導致RTT增大，從而降低了網絡的吞吐量，而P2P用戶和節點之間存在多條路徑，每條路徑存在不同的傳播時延。RTT小的流會盡其最大能力傳輸數據，從而提高P2P數據流總的吞吐量。如果某個網絡瓶頸點發生擁塞，導致RTT小的流會盡其最大能力傳輸數據，從而提高P2P流的總吞吐量，因此，P2P流量中RTT平均值比較小。

根據以上P2P流量的特征，可以提取的特征信息有：單個流內數據包大小、數據包到達的間隔時間、數據包比率（單位時間內傳輸數據包的個數）、RTT平均時間等特點，對抓取的數據包進行建模，然后通過機器學習算法來區分P2P流量與非P2P流量。路遙［1］等提出了基于復合特征的P2P流媒體識別技術；陳偉［2］等提出了基于端點特征的P2P流媒體識別方法；Teufl［3］等指出音頻流的包到達間隔時間非常相似；Yang［4］等統計包長度、包到達時間間隔和包的字節數等特征，對Bittorrent、pplive、skype和MSN流量的識別準確性在91%～95%。Este［5］等研究了數據包特征的時空穩定性，發現數據包大小受到網絡時空環境變化的影響相對較小，而且每個TCP連接成功后的第1個數據包大小對分類的貢獻最大。他們僅分析了TCP協議下的數據包特征穩定性，對于UDP協議下的特征穩定性還可以進一步研究。文獻［6］利用數據包大小和數據包方向分類網絡流，對Bittorrent的識別準確率為96.8%。

2 識別具體的P2P應用流量

據統計，P2P應用流量主要是由一些核心的P2P應用組成的，例如，P2P下載的主要有BitTorrent、迅雷看看、QQ旋風、eMule等；P2P視頻類主要有PPLive、QQLive、PPStream、MSN視頻、風行等。針對這些應用的識別并且加以流量控制，可以大大地降低網絡負載。流量特征提取的方法以及匹配規則的規范如下：

1）抓包獲取相關應用的數據包（推薦使用wireshark）；

2）通過數據流的載荷信息，提取相關特征；

3）構造特征規則（推薦使用snort規則）；

4）構造引擎，識別規則。

這里關鍵的4個地方是：純凈流的獲取、特征提取、規則的構建格式、引擎的設計。

2.1 純凈流獲取方法

1）抓包前只啟用相關應用；

2）基于進程抓包主要針對單進程應用更有效；

3）通過多次對比確定指定應用的數據流。

2.2 特征提取

應用DPI技術提取數據包載荷部分的數據，特征信息可以是明文的特征字符或者是固定不變的且獨有的字段。國內已有網絡安全研究人員進行了自動化特征提取的研究，劉興彬［7］等提出了基于Apriori算法的流量識別特征自動提取方法。

2.3 規則構建

按照snort規則［8］書寫格式構造如下：

alert ip＄EXTERNAL＿NET any－＞＄HOME＿NET any（msg："BAD－TRAFFIC ip reserved bit set"；fragbits：R；classtype：misc－activity；sid：523；rev：5；）

具體的字段解析可以參照snort的幫助文檔。

2.4 規則引擎的實現算法

現在主要的算法是BM算法［9］、Wu－Manber算法［10］。

通過以上信息，可以很好地確定每個應用的流量使用情況，這樣可以建立一個比較完善的日志統計信息，文中關鍵點是通過日志信息來建立模型，分析出每種P2P應用的使用動態流量表，以及所有P2P應用的使用動態流量表，通過分析來制定策略，達到流量控制的目的。

3 分析日志獲取P2P流量信息

3.1 定義日志信息的格式

格式如下：

時間，具體應用，類型，動作，源地址，源端口，目的地址，目的端口，協議類型。

時間信息：記錄每條數據流的開始使用時間和結束時間。

類型：每個具體的分類，比如P2P下載、P2P視頻等。

動作：上線，下線，下載。

五元組：（源地址，目的地址，源端口，目的端口，協議類型），五元組可以唯一確定一條流的信息。

3.2 記錄P2P應用的日志信息

文中通過網御星云的Power V設備的日志統計功能，得到P2P應用的統計信息，該設備放在網絡出口處，通過旁路干擾控制組網模式，得到某公司的P2P應用使用情況，如圖1所示。

圖1 流控設備布局拓撲

得到的日志信息如圖2所示。

圖2 日志信息

3.3 得到P2P應用的餅狀圖

我們記錄的日志格式為：時間，類型，動作，源地址，源端口，目的地址，目的端口，協議類型。要得到每條日志信息的具體分類，可以提取數據結構中的類型字段，統計得到每個分類的統計信息，如圖3所示。

圖3 流量分類

圖3 得到的餅狀圖是對日志中統計的所有應用的匯總，由圖中可以知道P2P應用占用了絕大多數的流量。

3.4 分析得到具體P2P應用

在日志信息中有具體應用這一字段，可以在大分類的基礎上對具體應用進行統計，能高效地統計出具體應用所占的比重。

具體算法如下：

1）將每個類型分類錄入hash表中；

2）將每個分類下的具體應用以樹結構存儲在所屬分類的每個hash單元中；

3）將每個hash單元下的樹結構調整為二叉樹；

4）查詢二叉樹結構得到統計信息。

這里主要應用的數據結構是hash結構、樹結構、二叉樹結構。

應用分類如圖4所示。

圖4 應用分類

從圖4可以看到每個具體應用的使用情況，通過上面的統計信息，能更好地制定策略，使網絡環境的流量吞吐量增強。

3.5 制定策略，實施部署

策略配置如圖5所示。

圖5 策略配置

通過圖5配置策略，可以配置禁止優酷網流量通過防火墻來實現網絡流量的控制，實現及時對網絡流量調控的目的。

4 結 語

在這個信息時代，網絡應用越來越重要，而P2P應用占到了舉足輕重的作用，能否利用好P2P這把“網絡雙刃劍”，對網絡的合理利用至關重要。文中主要討論是對P2P流量的識別以及建立日志系統，對日志信息進行建模，然后得到策略信息，來完成更有效的P2P流量控制。但是，需要比較大的人力來完成特征信息的提取，因此，自動化提取特征信息是急需解決的問題。由于許多應用的數據包采用加密的方式進行傳輸，給自動化的特征提取帶來了比較大的困難，可以作為進一步的研究方向。

［1］ 路遙.基于復合特征的P2P流媒體識別技術研究［D］.重慶：重慶大學，2010.

［2］ 陳偉，蘭巨龍，張建輝.基于端點特征的P2P流媒體識別方法［J］.計算機應用研究，2012，29（7）：2601－2606.

［3］ Teufl P，Payer U，Amling M，et al.InFeCT－Network traffic classification［C］／／Proc.of the 7th Int＇l Conf.on Networking.Cancun：IEEE Computer Society，2008：439－444.

［4］ Yang A M，Jiang S Y，Deng H.A P2Pnetwork traffic classification method using SVM［C］／／Proc.of the 9th Int＇l Conf.for Young Computer Scientists.［S.l.］：IEEE Computer Society，2008：398－403.

［5］ Este A，Gringoli F，Salgarelli L.On the stability of the information carried by traffic flow features at the packet level［J］.ACM Sigcomm Computer Communication Review，2009，39（3）：13－18.

［6］ Este A，Gringoli F，Salgarelli L.Support vector machines for TCP traffic classification［J］.Computer Networks，2009，53（14）：2476－2490.

［7］ 劉興彬，楊建華，謝高崗.基于Apriori算法的流量識別特征自動提取方法［J］.通信學報，2009，29（12）：51－59.

［8］ 孫立媛，朱亦寧，孫銳軒.Snort規則的分析與實現［J］.計算機安全，2009（9）：151－159.

［9］ 吳小花，何曉報，趙東卓.基于頻繁IP地址的DDOS檢測［J］.長春工業大學學報：自然科學版，2012，33（6）：625－628.

［10］ 莫德敏，劉耀軍.對串匹配技術中的Wu－Manber算法的研究［D］.太原：太原科技大學，2009.