柴 琦，曹旭東，王洪蕾，王雪鳳（.中國(guó)石油大學(xué)（北京）北京　049；.國(guó)網(wǎng)招遠(yuǎn)市供電公司 山東 招遠(yuǎn)　65400）

P2P流量監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)

柴 琦1，曹旭東1，王洪蕾1，王雪鳳2
（1.中國(guó)石油大學(xué)（北京）北京102249；2.國(guó)網(wǎng)招遠(yuǎn)市供電公司 山東 招遠(yuǎn)265400）

基于提高加密P2P類流量識(shí)別率的目的，本文通過(guò)改進(jìn)流量識(shí)別技術(shù)的方法，提出了一種DPI技術(shù)與DFI技術(shù)相結(jié)的改進(jìn)方案。并對(duì)多種應(yīng)用進(jìn)行反復(fù)測(cè)試，通過(guò)對(duì)前后識(shí)別結(jié)果的比對(duì)，驗(yàn)證該方法的可行性，識(shí)別率提高到95％以上。

P2P；流量識(shí)別與控制；深度報(bào)文檢測(cè)技術(shù)；深度流檢測(cè)技術(shù)

人們的網(wǎng)絡(luò)活動(dòng)由web瀏覽已擴(kuò)展到現(xiàn)在紛繁復(fù)雜的網(wǎng)絡(luò)應(yīng)用，如今視頻通話、在線會(huì)議、遠(yuǎn)程操作等多元化方式已經(jīng)融入人們的生活，截至到2015年6月中國(guó)互聯(lián)網(wǎng)覆蓋率達(dá)到48.8％，網(wǎng)民數(shù)量達(dá)6.68億人次［1］。

傳統(tǒng)網(wǎng)絡(luò)中的信息資源共享是“以服務(wù)器為中心”的工作模式［2］，服務(wù)提供者與服務(wù)使用者之間的界限非常清晰，P2P網(wǎng)絡(luò)則淡化了這一點(diǎn)，所有客戶機(jī)同時(shí)兼具服務(wù)的提供方和使用方兩個(gè)身份，整個(gè)網(wǎng)絡(luò)不依賴于專用的集中式服務(wù)，如即時(shí)通信Yahoo Messenger、MSN等進(jìn)行文件傳輸?shù)却髷?shù)據(jù)量業(yè)務(wù)時(shí)一般都會(huì)使用P2P模式［3］。P2P類的應(yīng)用占用了大量帶寬，影響用戶上網(wǎng)體驗(yàn)，另外運(yùn)營(yíng)商也急需通過(guò)分析和挖掘用戶上網(wǎng)行為和習(xí)慣來(lái)開展一些增值業(yè)務(wù)。

1　相關(guān)技術(shù)的分析

1.1流量識(shí)別技術(shù)

1.1.1基于端口的識(shí)別技術(shù)

早期，根據(jù)互聯(lián)網(wǎng)編號(hào)分配管理署統(tǒng)一分配給網(wǎng)絡(luò)協(xié)議或互聯(lián)網(wǎng)應(yīng)用的固定端口號(hào)，我們可以使用基于端口的識(shí)別技術(shù)［4］對(duì)一些基本應(yīng)用或協(xié)議進(jìn)行識(shí)別。但是，隨著互聯(lián)網(wǎng)應(yīng)用的激增以及網(wǎng)絡(luò)協(xié)議的發(fā)展，一些開發(fā)商為了避開防火墻的過(guò)濾，采用動(dòng)態(tài)端口技術(shù)，使得傳統(tǒng)的基于端口的識(shí)別技術(shù)已經(jīng)無(wú)法滿足市場(chǎng)需求，被網(wǎng)絡(luò)流量識(shí)別系統(tǒng)的開發(fā)人員用作了一種輔助的技術(shù)手段。

針對(duì)這種情況，人們開始轉(zhuǎn)向?qū)W(wǎng)絡(luò)通信協(xié)議的分析，特別是針對(duì)TCP/IP模型中的傳輸層和應(yīng)用層的特點(diǎn)來(lái)識(shí)別網(wǎng)絡(luò)流量。

1.1.2基于應(yīng)用層的識(shí)別技術(shù)

最為常見的就是DPI，即深度報(bào)文檢測(cè)技術(shù)。相對(duì)于傳統(tǒng)端口識(shí)別技術(shù)，它不僅能夠讀取報(bào)文中的五元組信息，包括源地址，目的地址，源端口，目的端口及協(xié)議類型，還可以分析應(yīng)用層的負(fù)載信息，也就是檢查應(yīng)用層TCP或UDP的負(fù)載部分，是否存在所要識(shí)別的應(yīng)用特征。

但是，由于DPI技術(shù)［5］需要讀取應(yīng)用層負(fù)載也就是用戶信息，這樣不僅侵犯用戶的隱私權(quán)，而且對(duì)于一些加密的或者使用UDP協(xié)議的流量無(wú)法進(jìn)行識(shí)別。

1.1.3基于傳輸層的識(shí)別技術(shù)

基于上述情況，對(duì)于這種DPI無(wú)法識(shí)別的，很難提取特定字符串的流量，就可以通過(guò)對(duì)其傳輸層的行為特征的研究進(jìn)行識(shí)別，通常使用DFI的檢測(cè)技術(shù)，即深度流檢測(cè)技術(shù)?；贒FI的檢測(cè)技術(shù)［6］是建立一個(gè)流量行為特征的模型，通過(guò)分析傳輸層協(xié)議類型、上下行流量比例關(guān)系以及數(shù)據(jù)包的包長(zhǎng)范圍、時(shí)間間隔、負(fù)載長(zhǎng)度、連接速率等特征同最初統(tǒng)計(jì)設(shè)置的流量模型相比較，來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的識(shí)別［7］。其中，主要使用了機(jī)器語(yǔ)言學(xué)習(xí)和數(shù)據(jù)挖掘技術(shù)的分類算法對(duì)互聯(lián)網(wǎng)通信傳輸過(guò)程中的特征進(jìn)行統(tǒng)計(jì)［8］。

1.2流量控制技術(shù)

網(wǎng)絡(luò)流量控制就是指利用軟、硬件方式來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量的控制目的?？梢岳斫鉃橐环N流量整形，是一個(gè)網(wǎng)絡(luò)交通管理技術(shù)，通過(guò)延緩部分或所有數(shù)據(jù)包等手段，使之符合人們所需的網(wǎng)絡(luò)交通規(guī)則和速率限制。

一種是TCP窗口整形技術(shù)［9］，主要是接收方根據(jù)自身的數(shù)據(jù)接受能力，通過(guò)滑動(dòng)窗口機(jī)制來(lái)限制發(fā)送方數(shù)據(jù)的傳輸速率。其優(yōu)勢(shì)在于可以對(duì)每個(gè)TCP會(huì)話進(jìn)行監(jiān)控和干擾，有效控制信息源發(fā)送信息量、發(fā)送時(shí)間和頻率。

另一種是旁路干擾技術(shù)，與TCP窗口整形技術(shù)所不同的是其控制設(shè)備是旁路部署在網(wǎng)絡(luò)中，不需要與通信雙方的主機(jī)建立握手過(guò)程。不僅可以通過(guò)偽裝通信雙方發(fā)送干擾數(shù)據(jù)的手段來(lái)實(shí)現(xiàn)TCP重傳，還可以通過(guò)對(duì)應(yīng)用層協(xié)議信令的干擾來(lái)達(dá)到對(duì)UDP流量控制目的［10］。

2　P2P流量監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)與改進(jìn)

2.1模塊的設(shè)計(jì)

如圖1所示，是本文設(shè)計(jì)的互聯(lián)網(wǎng)流量監(jiān)控系統(tǒng)結(jié)構(gòu)圖。

圖1　流量監(jiān)測(cè)系統(tǒng)的結(jié)構(gòu)圖

1）流量識(shí)別模塊是整個(gè)系統(tǒng)的關(guān)鍵模塊，它主要負(fù)責(zé)對(duì)流經(jīng)設(shè)備的所有數(shù)據(jù)流量進(jìn)行準(zhǔn)確識(shí)別和分類，并將結(jié)果發(fā)送給控制模塊。該模塊由兩部分組成：DPI檢測(cè)器和DFI檢測(cè)器。

2）知識(shí)庫(kù)模塊主要包括應(yīng)用特征庫(kù)和應(yīng)用樣本庫(kù)兩部分。對(duì)各類互聯(lián)網(wǎng)應(yīng)用提取應(yīng)用層負(fù)載信息，分析整理成一個(gè)應(yīng)用特征庫(kù)，用于DPI檢測(cè)器的識(shí)別。將數(shù)據(jù)預(yù)處理器統(tǒng)計(jì)的報(bào)文上下行特征、包長(zhǎng)范圍、時(shí)間間隔和負(fù)載長(zhǎng)度等信息匯總成應(yīng)用樣本庫(kù)。

3）數(shù)據(jù)存儲(chǔ)模塊主要負(fù)責(zé)存儲(chǔ)數(shù)據(jù)流五元組信息、流量識(shí)別及阻斷結(jié)果等。

4）流量控制模塊主要負(fù)責(zé)執(zhí)行接收的策略進(jìn)行阻斷和控制。主要有兩個(gè)部分：策略接收器和控制報(bào)文發(fā)送器。如圖2所示，當(dāng)數(shù)據(jù)流經(jīng)過(guò)系統(tǒng)時(shí)，通過(guò)識(shí)別模塊識(shí)別流量類型，將識(shí)別結(jié)果送給控制模塊，同時(shí)根據(jù)下發(fā)的策略信息，對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)或丟棄達(dá)到阻斷或限流的目的。

5）交互模塊其實(shí)就是整個(gè)流量監(jiān)控系統(tǒng)的前臺(tái)控制中心，負(fù)責(zé)與其他各功能模塊的交互通信，它在完成更新知識(shí)庫(kù)、配置阻斷策略等功能的同時(shí)，提供了一個(gè)可視界面，以便用戶實(shí)時(shí)查看識(shí)別及阻斷情況。

2.2P2P流量識(shí)別方案的設(shè)計(jì)與改進(jìn)

由于基于應(yīng)用層識(shí)別的DPI檢測(cè)技術(shù)對(duì)于一些加密的P2P協(xié)議，無(wú)法提出合適的特征字段，所以增加DFI檢測(cè)模塊進(jìn)行輔助識(shí)別［11］。

如圖3所示為識(shí)別模塊的系統(tǒng)流程圖。

圖2　識(shí)別與控制模塊原理圖

圖3　識(shí)別模塊流程圖

因?yàn)镈PI檢測(cè)技術(shù)可以識(shí)別70％-80％的應(yīng)用［12］，為提高檢測(cè)效率，我們首先將數(shù)據(jù)預(yù)處理器得到的數(shù)據(jù)流送入DPI檢測(cè)器，其中的DPI匹配引擎結(jié)合精確字符串匹配算法和正則表達(dá)匹配算法的優(yōu)點(diǎn)，解決了在正則表達(dá)式中精確字符串必須描述成正則表達(dá)式的麻煩，同時(shí)也簡(jiǎn)化了AC引擎中復(fù)雜字符串必須描述成多條規(guī)則才能準(zhǔn)確識(shí)別的工作量。解析出的應(yīng)用層負(fù)載信息，在引擎對(duì)字符串進(jìn)行匹配識(shí)別前首先要對(duì)應(yīng)用特征庫(kù)進(jìn)行編譯，AC算法要把字符串編譯成AC狀態(tài)機(jī)，正則表達(dá)式算法要把字符串編譯成DFA，通過(guò)該優(yōu)化引擎與應(yīng)用特征庫(kù)信息進(jìn)行匹配，即可識(shí)別到相關(guān)應(yīng)用，隨后將結(jié)果遞送給數(shù)據(jù)存儲(chǔ)模塊。

例如，我們?cè)诜治觥鞍俣仍票P”應(yīng)用時(shí)，可以從所抓取的報(bào)文中發(fā)現(xiàn)URL字段開頭為“POST”，同時(shí)Host部分有“pan. baidu.com”的標(biāo)志性字符串，經(jīng)過(guò)對(duì)大量報(bào)文分析從而判定同時(shí)存在這兩段的字符串信息的報(bào)文，為百度云盤上傳文件的流量，如圖4所示。通過(guò)對(duì)報(bào)文細(xì)粒度的分析我們就很容易從百度云流量中細(xì)化出上傳或者下載流量，做到流量精確化識(shí)別。

然后，對(duì)于DPI識(shí)別出的流量采集其報(bào)文上下行特征、包長(zhǎng)范圍、時(shí)間間隔和負(fù)載長(zhǎng)度等特征［13］，送入一個(gè)預(yù)備樣本庫(kù)，利用機(jī)器學(xué)習(xí)［14-15］的方法訓(xùn)練預(yù)備樣本庫(kù)，這樣就可以有效記錄已識(shí)別的流量傳輸特征，根據(jù)采集的信息建立分類模型，將訓(xùn)練后的預(yù)備樣本庫(kù)分類器用于應(yīng)用樣本庫(kù)中，當(dāng)未知流量通過(guò)DFI檢測(cè)器時(shí)，根據(jù)采集的未知流量傳輸特征與應(yīng)用樣本庫(kù)進(jìn)行比對(duì)，就可以有效的識(shí)別到應(yīng)用。

圖4　百度云盤的報(bào)文

3　應(yīng)用場(chǎng)景方案的設(shè)計(jì)與結(jié)果分析

本文設(shè)計(jì)的互聯(lián)網(wǎng)流量監(jiān)測(cè)系統(tǒng)主要部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間。在實(shí)驗(yàn)室搭建了一個(gè)基礎(chǔ)平臺(tái)來(lái)完成互聯(lián)網(wǎng)應(yīng)用的識(shí)別與控制。如圖5所示，內(nèi)、外部網(wǎng)絡(luò)交互的流量會(huì)通過(guò)流量控制設(shè)備的前臺(tái)，管理員通過(guò)流量控制系統(tǒng)的后臺(tái)對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)控。

圖5　應(yīng)用場(chǎng)景網(wǎng)絡(luò)部署圖

可以同時(shí)配置多個(gè)阻斷策略，以Skype為例，接入網(wǎng)絡(luò)添加Skype_VoIP和Skype_IM的阻斷策略后，打開Skype軟件嘗試反復(fù)通信，如下圖6所示，其中default為系統(tǒng)默認(rèn)策略，不影響測(cè)試環(huán)境，分別利用Skype軟件進(jìn)行語(yǔ)音、視頻通話，測(cè)試過(guò)程中阻斷命中協(xié)議Skype_VoIP和Skype_IM，嘗試語(yǔ)音、視頻連線，阻斷連線請(qǐng)求，無(wú)法進(jìn)行通信。

圖6　Skype阻斷測(cè)試后臺(tái)

選取4個(gè)代表性應(yīng)用Skype、酷我音樂(lè)、迅雷、百度云盤分別進(jìn)行測(cè)試。首先配置網(wǎng)絡(luò)環(huán)境，在使用Wireshark軟件抓包前，需將連入網(wǎng)內(nèi)的其他應(yīng)用關(guān)閉，保證抓取報(bào)文的純凈度，保證識(shí)別結(jié)果的準(zhǔn)確性。識(shí)別結(jié)果如表1。

由表1結(jié)果分析可以發(fā)現(xiàn)，所測(cè)試的應(yīng)用軟件識(shí)別率均在95％以上，而誤報(bào)率和漏報(bào)率也在誤差允許范圍內(nèi)，達(dá)到預(yù)期效果。測(cè)試應(yīng)用軟件，配置相應(yīng)策略，反復(fù)通信5次以上，都顯示阻斷成功，符合預(yù)期要求。

4　結(jié)束語(yǔ)

文中通過(guò)對(duì)互聯(lián)網(wǎng)通信現(xiàn)狀的分析，針對(duì)目前流行的網(wǎng)絡(luò)流量特點(diǎn)，提出了一種高?？尚械膶?shí)施方案，改進(jìn)了互聯(lián)網(wǎng)流量識(shí)別的方法，提高了識(shí)別的精確度，同時(shí)解決了DPI技術(shù)的不能識(shí)別P2P加密流量的局限性問(wèn)題。

表1　識(shí)別與測(cè)試結(jié)果

［1］第三十六次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告［R］.北京.中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.2015

［2］雷鳴.網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.天津：天津中國(guó)民航大學(xué)，2014.

［3］Se-Hee Han，James Won-Ki Hong.The Architecture of NGMON：A Passive Network Monitoring System for High-Speed IP Networks［J］.Lecture Notes In Computer Science，2002，2506:16-27.

［4］劉穎秋，李巍，李云春.網(wǎng)絡(luò)流量分類與應(yīng)用識(shí)別的研究［J］.計(jì)算機(jī)應(yīng)用研究，2008（5）:1492-1495.

［5］李天楓，姚欣，王勁松.大規(guī)模網(wǎng)絡(luò)異常流量實(shí)時(shí)云監(jiān)測(cè)平臺(tái)研究［J］.信息網(wǎng)絡(luò)安全，2014（9）:1-5.

［6］張瀚，辛陽(yáng).基于DPI技術(shù)的P2P流量檢測(cè)系統(tǒng)設(shè)計(jì)［J］.信息網(wǎng)絡(luò)安全，2012（10）:36-40.

［7］張峰.基于機(jī)器學(xué)習(xí)的VoIP流量識(shí)別技術(shù)研究［D］.武漢：華中師范大學(xué)，2013.

［8］Sen S，Spatscheck O，Wang D:Accurate，scalable in-network identification of p2p traffic using application signatures. WWW’04［C］//Proceedings of the 13th International Conference on World Wide Web.ACM，New York，2004:512-521.

［9］Cascarano N，Este A，Gringoli F，et al.An experimental evaluation of the computational cost of a DPI traffic classifier［C］//IEEE Global Telecommunications Conference，2009.

［10］肖梅.基于樸素貝葉斯算法的VoIP流量識(shí)別技術(shù)研究［J］.北京：信息網(wǎng)絡(luò)安全，2015（10）:74-79.

［11］米淑云.IP網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.北京：北京郵電大學(xué)，2009.

［12］程博，辛陽(yáng).基于VOIP的語(yǔ)音視頻流量監(jiān)控方案設(shè)計(jì)與實(shí)施［J］.信息網(wǎng)絡(luò)安全，2014（6）:53-58.

［13］馬麗娜.基于機(jī)器學(xué)習(xí)的GTalk流量識(shí)別系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.哈爾濱：哈爾濱工業(yè)大學(xué)，2013.

［14］吳倩.基于DPI與DFI的流量識(shí)別與控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.成都:電子科技大學(xué)，2013.

［15］陳朝暉.一種基于DPI和DFI技術(shù)的應(yīng)用識(shí)別系統(tǒng)［J］.中國(guó)高新技術(shù)企業(yè)，2011（6）:77-80.

The design of the P2P traffic monitoring system

CHAI Qi1，CAO Xu-dong1，WANG Hong-lei1，WANG Xue-feng2
（1.China University of Petroleum-Beijing，Beijing 102249，China；2.State Grid Zhaoyuan Power Supply Company，Zhaoyuan 265400，China）

Based on the purpose of improving the identification of encrypted P2P traffic.By improving the method of traffic identification technology，this paper proposes an improved project that combin DPI and DFI technology.And repeated testing of a variety of applications.The feasibility of the method is verified by comparing the results of pre and post recognition.And the recognition rate is increased to more than 95％.

P2P；traffic identification and control；DPI；DFI

TN919.5

A

1674－6236（2016）11-0064-03

2016-01-23稿件編號(hào)：201601218

國(guó)家發(fā)改委下一代互聯(lián)網(wǎng)技術(shù)在智慧油田的應(yīng)用示范項(xiàng)目（CNGI-12-03-043）

柴 琦（1988—），女，黑龍江安達(dá)人，碩士研究生。研究方向：信號(hào)檢測(cè)預(yù)處理。