■卢慧1,2 李华1,2 吴承勇1,2
随着Internet的飞速发展,网络应用层出不穷,除了传统的Web、FTP、Email外,出现了高清晰音视频传输和交流,电影、游戏、音乐下载等数据流量剧增的各种P2P应用。P2P共享软件以其独特的优势为用户提供更为快捷的资源共享方式,因此受到广大用户的喜爱,但随着其用户数量的急剧增加,也给校园网络带宽带来了巨大的压力,并对校园网络流量产生了根本影响。
1.校园网络出口的上行流量远大于下行流量:对于传统的网络应用,校园网络出口流量必然是下行大于上行。对于P2P应用,由于该网络中逻辑相邻节点的地理位置可能相隔甚远,而参与P2P网络的节点数量又非常大,这就直接导致在校园网网络出口的上行流量明显大于下行流量,尤其是外网流量,因用户访问教育网外网站较多,使得上行流量远大于下行流量。
2.流量内容发生改变:随着P2P应用的普及,校园网络出口流量的内容也发生了一系列改变。比如传统网络应用所占比例减少,P2P应用明显增加;80端口的流量明显高于其他端口,其次是P2P软件的常见端口(4662、16881、8000、8080),其他使用较频繁端口的流量在总流量中所占比例很小,但剩余端口的流量和占TCP总流量较大比例,这是近年来大量P2P软件使用动态端口造成的;流量中主要是1400字节以上的大包,其次是通常用于TCP同步的40字节、48字节的小包,其他长度包长的流量分布较散。
3.网络流量不可预知性:为提高数据交换效率,P2P软件在启动时会建立大量的连接,使得网络流量突然增加,并在相当长的一段时间内维持较大的网络流量。然而在P2P网络中,不同节点对病毒的抵御能力是不同的,某个感染病毒节点会通过内部共享和通信机制将病毒扩散给其邻节点,甚至可以在短时间内造成网络拥塞甚至瘫痪。因此,随着P2P应用的迅速普及,如何对校园网络流量进行有效地管理,阻止突发流量对网络带宽的过多消耗,防止路由器队列延迟、抖动和丢包,已成为校园网络管理者研究的重要课题。
基于流量和payload双重特征识别P2P流量的方法
目前P2P流量的识别方法很多,典型的有IP地址识、端口匹配、流统计特性法、基于会话的分类、TCP/UDP IP Pair法、(IP,Port)Pair法、双向识别、拓扑特性识别、应用协议分析、业务特性识别、深层数据包检测技术。可以把如上的P2P流量识别技术归结为两类:深层数据包检测(DPI)技术和深度流行为检测(DFI)识别技术,它们存在明显的优缺点,表1对它们进行了比较。
本文在现有P2P流量识别技术的基础上设计了一种基于流量和payload双重特征识别P2P流量的方法。
识别流程
在识别流量的过程中,首先获得一个待检测报文,然后用端口匹配法过滤掉使用常用端口的流量,接着使用流量特征匹配确认该报文是否符合P2P流量特征,如果符合,再进行payload匹配以判断其应用类型。识别流程如图1所示。
本文基于payload特征的识别采用参考文献的方法,这里不再赘述。下面详细介绍基于流量特征(flow_match())的识别方法。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。