譚紅春

摘要：P2P網(wǎng)絡(luò)是一個(gè)分布式網(wǎng)絡(luò)模型，也叫對(duì)等網(wǎng)絡(luò)，網(wǎng)絡(luò)中的節(jié)點(diǎn)都有相同或相近的責(zé)任，其特點(diǎn)就是降低以服務(wù)器為核心的地位，充分整合分布在終端主機(jī)上的資源，如CPU資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源等。跟傳統(tǒng)的C/S模式有著巨大的區(qū)別，也就是說，在對(duì)等網(wǎng)絡(luò)中，各個(gè)節(jié)點(diǎn)的地位是平等的，可以同時(shí)作為服務(wù)端又可以作為客戶端。

關(guān)鍵詞： P2P；結(jié)構(gòu)化； 流量識(shí)別

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）31-7289-04

Abstract：Peer-to-peer is a distributed network， also called point-to-point， the nodes in the etwork have the same or similar duty， Its characteristic is reduced to the servers position， As far as possible to use the terminal host resources， such as CPU resources， networks and storage resources. It has a huge difference with the traditional C/S model.In a peer-to-peer network， all nodes are equal， it can be used as server and also can be used as a client.

Key words： peer-to-peer；structured；traffic identification

P2P（Peer-to-Peer）并非一種全新的技術(shù)，互聯(lián)網(wǎng)最基本的協(xié)議 TCP/IP 并沒有客戶機(jī)和服務(wù)器的概念，所有的設(shè)備都是通訊平等的一端。由于受早期計(jì)算機(jī)性能、資源等因素的限制，大多數(shù)連接到互聯(lián)網(wǎng)上的普通用戶并沒有能力提供網(wǎng)絡(luò)服務(wù)，從而逐步形成了以少數(shù)服務(wù)器為中心的客戶機(jī)/服務(wù)器（Client/Server）模式。但是，隨著互聯(lián)網(wǎng)跟人們生活的聯(lián)系日益緊密和深入，人們需要更直接、更廣泛的信息交流，P2P技術(shù)充分利用互聯(lián)網(wǎng)廣泛分布的資源，擴(kuò)大了資源利用范圍，改變共享方式，提高了資源共享效率，比C/S模式更具穩(wěn)定性和健壯性，去中心化，使其應(yīng)用日益豐富，流量迅速增長(zhǎng)。

1 P2P基本概述

對(duì)等網(wǎng)絡(luò)技術(shù)起源于最早的網(wǎng)絡(luò)互聯(lián)時(shí)代，當(dāng)時(shí)的計(jì)算機(jī)可以不通過服務(wù)器而能直接互相訪問，例如上世紀(jì)70年代的USENET和FidoNet網(wǎng)絡(luò)就是基于資源共享的。隨著計(jì)算機(jī)網(wǎng)絡(luò)化進(jìn)程的不斷前進(jìn)，互聯(lián)網(wǎng)主要以客戶機(jī)/服務(wù)器（C/S）為主體模式，在此應(yīng)用中必須在網(wǎng)絡(luò)中擁有服務(wù)器，信息則是通過服務(wù)器與客戶端進(jìn)行交流。服務(wù)器作為資源的擁有者，對(duì)各個(gè)客戶端提供資源下載，這就是傳統(tǒng)意義上的C/S模式。但是此種模式有一個(gè)共同的弊端：服務(wù)器端的資源有限，伴隨著連接用戶數(shù)的激增，服務(wù)器的性能和服務(wù)器的帶寬將經(jīng)受嚴(yán)重考驗(yàn)，這在一定程度上降低了服務(wù)質(zhì)量，從而制約了客戶數(shù)的增長(zhǎng)。

對(duì)等網(wǎng)絡(luò)的出現(xiàn)打破了傳統(tǒng)C/S模式的概念，它允許各終端與另一個(gè)終端直接進(jìn)行通信，上傳或下載資源，并且隨著加入P2P網(wǎng)絡(luò)的節(jié)點(diǎn)的增多，上傳或下載資源的速度就越快，這就遠(yuǎn)遠(yuǎn)增強(qiáng)了信息傳輸?shù)乃俣群托省Ｋ?，P2P網(wǎng)絡(luò)是一種不通過中繼設(shè)備直接交換資源和服務(wù)的技術(shù)，它允許網(wǎng)絡(luò)用戶直接獲取對(duì)方的文件。所有的用戶都能訪問到別人的電腦資源，并進(jìn)行文件的共享，而不需要鏈接到服務(wù)器上再進(jìn)行瀏覽與下載。

2 P2P體系結(jié)構(gòu)

P2P體系結(jié)構(gòu)大致歸納為兩種，一種是非結(jié)構(gòu)化的P2P，另一種是結(jié)構(gòu)化的P2P [1]。

結(jié)構(gòu)化P2P采用純分布式的消息傳遞機(jī)制和根據(jù)關(guān)鍵詞查找的定位服務(wù)。分布式哈希表（DHT） [2]技術(shù)是如今主要采納的技術(shù)，此類系統(tǒng)代表的有加州大學(xué)伯克利分校的CAN項(xiàng)目和TaPestry項(xiàng)目，麻省理工學(xué)院的Chord項(xiàng)目以及微軟研究院的Pastry[3]項(xiàng)目等。

如今大多數(shù)P2P系統(tǒng)都是采用的非結(jié)構(gòu)化的P2P網(wǎng)絡(luò)，這種非結(jié)構(gòu)化的P2P網(wǎng)絡(luò)總共經(jīng)歷了四代的發(fā)展，現(xiàn)在就此四代的歷程做以簡(jiǎn)述：

第三代混合式的結(jié)構(gòu)。如圖3所示，混合式P2P模型綜合了以上兩種結(jié)構(gòu)的特點(diǎn)，在此模式中，依然去除集中服務(wù)器，只建立超級(jí)節(jié)點(diǎn)，也叫搜索節(jié)點(diǎn)，其他節(jié)點(diǎn)叫普通節(jié)點(diǎn)。搜索節(jié)點(diǎn)用來(lái)處理普通節(jié)點(diǎn)的搜索請(qǐng)求，擁有強(qiáng)大的處理器、硬盤空間、連接速率，和普通節(jié)點(diǎn)相互協(xié)作，共同管理整個(gè)網(wǎng)絡(luò)，它們之間組成了一個(gè)自治的簇。所有的簇就構(gòu)成了一個(gè)混合式的結(jié)構(gòu)。每個(gè)簇內(nèi)結(jié)構(gòu)與集中服務(wù)器結(jié)構(gòu)類似，如果普通節(jié)點(diǎn)要進(jìn)行資源搜索，首先是在本地所在的簇內(nèi)查詢，僅當(dāng)搜索結(jié)果不完全時(shí)，才在其他搜索節(jié)點(diǎn)之間采取有限的廣播，得到查詢的目的后，就可以同時(shí)對(duì)擁有資源的多個(gè)節(jié)點(diǎn)進(jìn)行獲取。這就要判斷資源是否為相同資源，是的話就要對(duì)資源進(jìn)行分片處理。

總的來(lái)說，采用這樣的模式，普通節(jié)點(diǎn)受控于搜索節(jié)點(diǎn)，可以抑制病毒和惡意攻擊等行為，并且可以減少網(wǎng)絡(luò)堵塞，檢索耗時(shí)等負(fù)面影響。

第四代P2P（發(fā)展中的P2P技術(shù)）。在對(duì)等網(wǎng)絡(luò)經(jīng)歷了上面列舉的三代P2P結(jié)構(gòu)以后，在此基礎(chǔ)上，P2P網(wǎng)絡(luò)又出現(xiàn)了很多新的技術(shù)和措施，具體的有以下幾個(gè)方面：

1）隨機(jī)端口技術(shù)。以前的大部分P2P應(yīng)用都使用固定的端口，隨著以端口為檢測(cè)手段的軟件出現(xiàn)，P2P軟件協(xié)議設(shè)計(jì)者開始采取動(dòng)態(tài)選擇隨機(jī)端口進(jìn)行傳輸數(shù)據(jù)，以達(dá)到防檢測(cè)的目的。通常這些動(dòng)態(tài)端口都選擇在1024～4000之間，有可能一些P2P軟件用80端口來(lái)躲避檢測(cè)。這為檢測(cè)軟件帶來(lái)非常大的難度，常規(guī)檢測(cè)手段已經(jīng)不能滿足需求。

2）加密技術(shù)。同樣是為了躲避檢測(cè)，一些P2P軟件開始對(duì)有效荷載部分進(jìn)行加密傳輸，此技術(shù)另外一個(gè)好處就是起到保護(hù)使用者的隱私問題。目前，各大P2P軟件運(yùn)營(yíng)商都非常重視此項(xiàng)技術(shù)。

3）雙向下載。早期的對(duì)等網(wǎng)絡(luò)需要先下載完成后才能將資源共享給其他用戶，而現(xiàn)在一些P2P軟件支持對(duì)文件或文件的一部分，進(jìn)行多路并行下載和上載。文件的分發(fā)速度明顯提高。

3 P2P流量檢測(cè)手段

P2P流量檢測(cè)是當(dāng)前各研究人員重點(diǎn)的方向，通過歷年的技術(shù)發(fā)展，P2P流量識(shí)別大致分為三類，端口識(shí)別、深度數(shù)據(jù)包識(shí)別和基于行為特征的識(shí)別方法。下面我們列出在P2P流量識(shí)別中常用到幾種方法：

3.1 端口識(shí)別

我們所講的端口是傳輸層里的范疇，即TCP或UDP端口?；ヂ?lián)網(wǎng)數(shù)字分配機(jī)構(gòu)將端口分為3種：知名端口、用戶端口和動(dòng)態(tài)端口。通過對(duì)端口的識(shí)別，可以區(qū)分出應(yīng)用層的各種應(yīng)用，其中包括使用固定端口的P2P應(yīng)用，比如BT使用6881- 6889，E-Donkey使用4661和4662端口[5]，表1列出了各種P2P軟件使用的端口。可是隨著P2P技術(shù)的發(fā)展，很多P2P技術(shù)采用非標(biāo)準(zhǔn)的端口，或者采用動(dòng)態(tài)端口進(jìn)行傳輸，達(dá)到躲避被網(wǎng)絡(luò)管理者檢測(cè)的目的。

3.3基于會(huì)話的分類

在數(shù)據(jù)流當(dāng)中，每個(gè)數(shù)據(jù)包都有可能存在TCP/UDP端口，而一些高層協(xié)議的特征代碼，只會(huì)出現(xiàn)在前幾個(gè)數(shù)據(jù)報(bào)中，所以，通過會(huì)話包當(dāng)中的某個(gè)數(shù)據(jù)報(bào)中找到P2P特征代碼時(shí)，此會(huì)話包的其余數(shù)據(jù)報(bào)我們就認(rèn)為是P2P流量，甚至存在有的P2P協(xié)議會(huì)采用幾個(gè)會(huì)話包，因此檢測(cè)軟件在判斷P2P流量時(shí)要能同時(shí)進(jìn)行關(guān)聯(lián)匹配，這樣才能減少漏判率。

3.4 IP pair法識(shí)別

經(jīng)過長(zhǎng)期試驗(yàn)，我們發(fā)現(xiàn)，很大一部分的P2P流量都同時(shí)使用TCP和UDP協(xié)議，可是也不排除一些常規(guī)業(yè)務(wù)像IRC 、NETBIOS 、DNS及影視娛樂業(yè)務(wù)，也同時(shí)使用了上述兩種協(xié)議，并且它們使用的端口是固定的，這些流量我們能根據(jù)端口匹配加以過濾，剩下的同時(shí)使用了TCP和UDP協(xié)議的業(yè)務(wù)，我們就認(rèn)定為P2P流量。

3.5深層數(shù)據(jù)包檢測(cè)技術(shù)（DPI）

DPI即深層數(shù)據(jù)包檢測(cè)技術(shù)，它是基于應(yīng)用層的“特征字”的檢測(cè)方法，通過對(duì)IP 包頭的解析，讀取相應(yīng)的荷載內(nèi)容。此種方式需要維護(hù)一個(gè)payload特征庫(kù)，此特征庫(kù)可以建立在前人的基礎(chǔ)上添加，也可以以人工的方式自動(dòng)提取。表所示就是一些常用的特征庫(kù)。根據(jù)解析出來(lái)的特征碼，再加上適當(dāng)?shù)哪Ｊ狡ヅ渌惴?，?duì)符合的流量就可判斷為P2P流量。典型的DPI技術(shù)有如下幾類：

1）應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)。即信令流關(guān)聯(lián)識(shí)別規(guī)則。在實(shí)際的流量中，不少協(xié)議業(yè)務(wù)流和控制流是分開的。其中的數(shù)據(jù)流是沒有明顯的特征，所有我們只能應(yīng)用網(wǎng)關(guān)識(shí)別技術(shù)。具體的識(shí)別步驟是這樣的：第一步，先識(shí)別出控制流，分別經(jīng)過特殊的應(yīng)用層網(wǎng)關(guān)對(duì)控制流協(xié)議進(jìn)行分析，從分析結(jié)果中獲取對(duì)應(yīng)的數(shù)據(jù)流。

2）基于應(yīng)用層特征字檢測(cè)技術(shù)。根據(jù)每個(gè)應(yīng)用對(duì)應(yīng)每個(gè)協(xié)議的特點(diǎn)，我們分析應(yīng)用層具有標(biāo)識(shí)和行為交互的數(shù)據(jù)包開頭部分的內(nèi)容，這些特征我們定義為指紋，可提取的指紋特征為字符串，固定端口和特定的bit序列。隨著檢測(cè)的深入，我們可以對(duì)指紋信息進(jìn)行更新改造，以適應(yīng)對(duì)新P2P應(yīng)用的檢測(cè)。像對(duì)Bittorrent協(xié)議進(jìn)行反向工程的方式分析，我們發(fā)現(xiàn)從握手報(bào)文開始，以后都是循環(huán)的消息流，其中都有代表消息長(zhǎng)度的數(shù)字，進(jìn)一步分析，我們可以觀察到首先發(fā)送的數(shù)字19，其后是字符串”Bittorrent ProTocol”，于是這個(gè)字符串就是Bittorrent的關(guān)鍵詞。

3）行為模式的識(shí)別技術(shù)。此種識(shí)別模式是根據(jù)節(jié)點(diǎn)目前的動(dòng)作和未來(lái)將采取的動(dòng)作，也就是根據(jù)節(jié)點(diǎn)已經(jīng)實(shí)施的動(dòng)作及行為進(jìn)行判定，一般是通過協(xié)議分析無(wú)法得到結(jié)論的時(shí)候，才采取的識(shí)別技術(shù)。像垃圾郵件業(yè)務(wù)和一般郵件業(yè)務(wù)的區(qū)分，通常從內(nèi)容上看都是一樣的，可是當(dāng)我們通過業(yè)務(wù)行為的分析，才能夠區(qū)分出誰(shuí)是垃圾郵件。

3.6 基于流量特征的檢測(cè)技術(shù)（DFI）

為了彌補(bǔ)深度數(shù)據(jù)包檢測(cè)在加密檢測(cè)、未知的以及復(fù)雜的難以提取特征碼的檢測(cè)的不足，一種新的解決方案被提出，那就是深度流檢測(cè)技術(shù)即DFI，同時(shí)也是為了解決DPI技術(shù)的頻繁升級(jí)和無(wú)法檢測(cè)等一系列難題。深度流檢測(cè)技術(shù)，它是基于數(shù)據(jù)流的行為特征，依據(jù)的檢測(cè)標(biāo)準(zhǔn)是不同的數(shù)據(jù)流具有不同的行為特征，即根據(jù)數(shù)據(jù)流或會(huì)話鏈接上呈現(xiàn)的不同的行為方式。

DFI檢測(cè)的主要步驟分為：首先建立流量特征模型，選取具有代表性的特征；其次根據(jù)會(huì)話的包長(zhǎng)、傳輸字節(jié)的大小、連接速度、包和包發(fā)送的時(shí)間差等，和建立的流量特征模式進(jìn)行對(duì)比，從而達(dá)到檢測(cè)的目的。根據(jù)實(shí)際情況，可以選擇的特征模型也比較多，下面我們列舉一些主要特征：

1）網(wǎng)絡(luò)連接數(shù)量大。這是對(duì)等網(wǎng)絡(luò)最明顯的特征之一，通常處于P2P網(wǎng)絡(luò)中的節(jié)點(diǎn)與其他節(jié)點(diǎn)連接數(shù)比較多，產(chǎn)生的流的數(shù)目也多。相對(duì)于一般的應(yīng)用如Http業(yè)務(wù)，連接數(shù)大就是一個(gè)明顯的區(qū)分條件。

2）流的持續(xù)時(shí)間長(zhǎng)。P2P軟件使用比較多的就是資源共享，并且這些共享資源占用的存儲(chǔ)空間也比較大，像一些影視資源、安裝軟件、游戲、電子資源等，而且一般用戶在下載完畢后，還繼續(xù)保持與其他節(jié)點(diǎn)的連接，在對(duì)等網(wǎng)絡(luò)中共享出已經(jīng)下載好的資源。軟件的設(shè)計(jì)原理就導(dǎo)致了流的持續(xù)時(shí)間長(zhǎng)的特點(diǎn)。

3）上下行流量的比例大小。正常的網(wǎng)絡(luò)應(yīng)用，上下行流量都不對(duì)稱，往往是上行小于下行，除了我們使用Ftp或其他上傳軟件，才會(huì)導(dǎo)致上行大于下行，可是在對(duì)等網(wǎng)絡(luò)中，另一個(gè)明顯的特征就是上下行流量是對(duì)稱，基本上相等的。這也可以作為我們區(qū)分P2P應(yīng)用和常規(guī)應(yīng)用的標(biāo)準(zhǔn)。

4 結(jié)論

P2P應(yīng)用已在互聯(lián)網(wǎng)上已經(jīng)占據(jù)大量資源，如何處理此流量帶來(lái)的負(fù)面影響，已經(jīng)成為亟待解決的問題。該文討論的P2P體系和檢測(cè)技術(shù)，目的都是為檢測(cè)出P2P流量，而且各方法都有各自的優(yōu)缺點(diǎn)。在具體實(shí)施過程中，不同的應(yīng)用對(duì)應(yīng)著不同的檢測(cè)方法，因此我們需要綜合運(yùn)用才能帶來(lái)更好的效果。

參考文獻(xiàn)：

[1] 蔣成.混合式對(duì)等網(wǎng)絡(luò)Kazaa模型結(jié)構(gòu)及其分析研究[J].信息安全與技術(shù)，201（6）：69.

[2] 熊殿華.一種結(jié)構(gòu)化P2P網(wǎng)絡(luò)中的動(dòng)態(tài)協(xié)作緩存策略[J].計(jì)算機(jī)與數(shù)字工程，2010（1） ：58.

[3] 龍坤，陳庶樵. P2P網(wǎng)絡(luò)聚合流量識(shí)別技術(shù)研究[J].通信技術(shù)，2010（1）：142.

[4] 梅紅巖，張玉潔.非結(jié)構(gòu)P2P網(wǎng)絡(luò)受限搜索機(jī)制[J].軟件學(xué)報(bào)，2013（9）：2132.

[5] 李鑫，劉東林.基于統(tǒng)計(jì)特征的P2P流量檢測(cè)方法[J].計(jì)算機(jī)工程，2010（5）：114.