DFI與DPI技術(shù)在P2P協(xié)議分析中的應(yīng)用

1、dfi與dpi技術(shù)在p2p協(xié)議分析中的應(yīng)用一、基于dfi (深度流檢測)的界常流量檢測1.2攻擊與蠕蟲傳播的流量檢測基于dfi的檢測技術(shù)一個主要優(yōu)勢就是可以高效準(zhǔn)確的檢測出網(wǎng)絡(luò)攻擊和蠕蟲傳播。在這里 列出這個標(biāo)題，是為了論述體系的完整性。因為dfi技術(shù)在這方面的應(yīng)用涉及的問題比較多, 需要單獨成文論述。2.2 p2p流量檢測山于流數(shù)據(jù)(netflow或sflow)是經(jīng)過匯聚的且通常都是抽樣產(chǎn)牛的，數(shù)據(jù)乂僅包含ip層倍 息而沒有應(yīng)用層信息，因此很多人對基于dfi的p2p檢測技術(shù)抱有一定成見，認(rèn)為它不一定 能很準(zhǔn)確的檢測到p2p流量。然而實際情況卻是出乎這些人的意料，df1技術(shù)不僅可以檢測 p2p

2、流量，陽口檢測的準(zhǔn)確度還相當(dāng)高。這是因為p2p流量與其它網(wǎng)絡(luò)應(yīng)用有鮮明的區(qū)別， 針對這些特征進行綜合檢測，便可以準(zhǔn)確的檢測出p2p流量。2.2. 1 p2p流量的統(tǒng)計特征流量大，符合“2/8原則”p2p流量一般都會遠(yuǎn)遠(yuǎn)人于其它皿用類型的流量，統(tǒng)計結(jié)果通常會出現(xiàn)20%的ip地址所相 關(guān)的流量占到全部流量的80%,即符合所謂的“2/8原則”。在有些文獻中認(rèn)為實際測量 的結(jié)果會更加極端，這個比例可以達(dá)到“1/9”的程度。這就人人縮小了定位具有p2p行為 ip地址的范圍。并發(fā)端口數(shù)量在一個終端上運行p2p應(yīng)用程序之詢，用netstat命令檢査網(wǎng)絡(luò)狀態(tài)，可以看到打開的端口 一般在10-15個之間，如果啟

3、動p2p應(yīng)用程序以后，再次檢杳網(wǎng)絡(luò)狀態(tài)，可以看到打開的 端口數(shù)量一下激增到100多個。也就是說，p2p應(yīng)用程序會在終端上同時打開很多端口。這 個現(xiàn)象必然會在流記錄里有所反映。端口變化率由于很多p2pm用程序為了逃避流量控制，會使用端口跳變技術(shù)，動態(tài)的變更通訊端口，因 此造成端口變化率長吋間保持很高的數(shù)值。拓?fù)涮卣髦瞪接趐2p下載的端點都會用一些缺省的端口與其它端點通訊，通過分析流記錄可以找到這些 被高度疑似p2p端點間的拓?fù)潢P(guān)系，并使用一個人工定義的拓?fù)涮卣髦祦砗鈺炦@些拓?fù)潢P(guān) 系。當(dāng)特征值達(dá)到-定水平，即可確認(rèn)該主機為p2p端點。封包字節(jié)數(shù)大為了提高傳輸效率，p2p流量的封包字節(jié)數(shù)都會很大，除

4、了基于p2p的ip語音包，一般p2p 卜-載的數(shù)據(jù)包至少都在1 200字節(jié)左右，這是與其它應(yīng)用另一個明顯的差異。2.2.2 p2p流量的行為模式特征大量空閑連接p2p端點通常都會有很多空閑連接，在流記錄上就表現(xiàn)為很多流量非常少的記錄。udp/tcp 并存有些特殊的應(yīng)用，如dns、netbios. irc,游戲和多媒體業(yè)務(wù)流量等，這些應(yīng)用都有特定的 端口，如135、137、139、445、53、3531等，可以通過端口匹配識別這些流量。除了這幾個特殊的應(yīng)用，一般的網(wǎng)絡(luò)應(yīng)用在相同的源/冃的ip地址z間，只使用單一的通訊 協(xié)議，要么是ldp,要么是tcp,而p2p流量是兩種協(xié)議同時使用，一般丿ijt

5、cp傳輸數(shù)據(jù)， udp傳輸控制信令。同時充當(dāng)客戶端和服務(wù)器（角色分析）通常服務(wù)器的通訊模式是接收資源請求信息，然示提供相應(yīng)的數(shù)據(jù)資源。而數(shù)據(jù)資源的流址 大小一般都遠(yuǎn)遠(yuǎn)大于請求信息的流量。因此，如果一個主機輸送出的數(shù)據(jù)遠(yuǎn)遠(yuǎn)人于接受到的 數(shù)據(jù)，我們就可以判斷這個主機的角色是“服務(wù)器”。反z,則是“客戶端”。p2p端點接 收和發(fā)送的流量兒乎大小相當(dāng)，因此可以看作是同時充當(dāng)“客戶端”和“服務(wù)器”。p2p流量有如下5個特點：1）人流量的主機分布和對有限：通常10%的ip地址的流量占到總流量的90%。這樣 就可以找到p2p通訊的主機范圍2）并發(fā)連接數(shù)高且有突然增大的情況：進行p2p下載的主機，一定會有很高

6、并發(fā)連接 數(shù)3）端口變化率：由于多數(shù)p2p下載軟件使用了 “端口跳躍”技術(shù)，因此在p2p下載過 程中，主機端口會不斷變化4）基于拓?fù)浞治龅奶卣鳎河捎趐2p卜-載的端點都會用一些缺省的端口與具它端點通訊, 通過分析流記錄可以找到這些端點問的拓?fù)潢P(guān)系以及川來確認(rèn)該主機是否為p2p端點的特 杲值，當(dāng)特界值達(dá)到一定水平，即町確認(rèn)該主機為p2p端點5）人量空閑連接：p2p端點通常都會有很多空閑連接，在流記錄上就表現(xiàn)為很多流量 很少的記錄。根據(jù)上述5個特點，我們可以垂點檢測流量排名前10%的tp地址的并發(fā)連接數(shù)以及 ip端口變化率，并把是否有p2p客戶端默認(rèn)端口通訊以及是否有大量的流量很小的連接作 為附加

7、判斷條件。根據(jù)上述5個特點，我們可以重點檢測流量排名前10%的ip地址的并發(fā) 連接數(shù)以及ip端口變化率,并把是否有p2p客戶端默認(rèn)端m通訊以及是否有大量的流量很 小的連接作為附加判斷條件。2.2.3 p2p流量檢測效果釋疑盡管單獨使用某種檢測方法會有不粹確的問題出現(xiàn)，但是這兒種檢測方法聯(lián)合使用，就會達(dá) 到精確檢測的效果?；赿fi的p2p檢測，不像基于dpt檢測那樣對p2p流最進行更細(xì)致的分類，英至可以按照 不同的p2p客戶端軟件進行分類。這看上去似乎是dft技術(shù)的一個缺陷,而實際上并非如此。 原因是有些p2p客戶端軟件，雖然名稱不同，但使用的p2p協(xié)議是相同的，或者軟件的核心 代碼是相同的。

8、所以按照不同的軟件對' p2p協(xié)議進行分類沒有a大意義。另外，檢測p2p 流量目的是控制這些流量，而對流量更詳細(xì)的分類，無助于靈活準(zhǔn)確的控制。2.3異常特征的白動提取基于dfi的檢測技術(shù)，還可以用于提取類型未知的界常流量的特征。在實際流量檢測過程中, 可能會遇到突發(fā)流量激增的情況，但是現(xiàn)有的檢測算法又無法確認(rèn)弄常類烈。這種情況下可 以使用“異常特征提取技術(shù)”，將流量特征提取岀來。人致的步驟如下：1 確定異常流量發(fā)牛的位置（物理端口、ip地址、as號“即白治系統(tǒng)號碼”）2. 聚合維度的選取：聚合z前，首先要確定聚合依據(jù)哪些字段，也就是聚合維度的選取。 一般可供選取的維度包括：源端口、冃的

9、端口、協(xié)議、tos、tcpflag。將每個聚合結(jié)果的 總流量或總包數(shù)求和。3. 聚合結(jié)呆的流量大小排序呈現(xiàn)（按包數(shù)或按字節(jié)數(shù)）4. 把聚合結(jié)果的特征導(dǎo)出二、基于dpi （深度包檢測）的異常流量檢測2. 1應(yīng)用層攻擊檢測由于應(yīng)用層攻擊具冇代價?。◣捳加煤凸糁鳈C性能消耗小）、隱蔽性好、防御難度大三 個特點，它已經(jīng)演變?yōu)榫W(wǎng)絡(luò)攻擊的一個主要形式。我們這里講的應(yīng)用層攻擊，是指完全模仿 應(yīng)用層訪問行為的攻擊。例如cc（http get flooding）攻擊，假人攻擊、dns request flooding 等。應(yīng)用層攻擊很容易與兩個概念混淆，一個是借助應(yīng)用層手段發(fā)起的網(wǎng)絡(luò)層攻擊，例如 dns反射攻

10、擊。從被攻擊者和防護方式的角度來看，后者仍然是流量型的網(wǎng)絡(luò)攻擊。另一個 是網(wǎng)絡(luò)入侵。入侵行為雖然看上去也是流量很小的破壞行為，但是入侵主要是利用系統(tǒng)的漏 洞，以獲取系統(tǒng)的控制權(quán)并竊取數(shù)據(jù)為日的，很少會造成服務(wù)屮斷和性能下降。因為那樣勢 必會眾露入侵行為，而入侵者都希望入侵行為越隱蔽越好。應(yīng)用層攻擊的概念清晰了，下而我們看看如何利用dpi技術(shù)檢測應(yīng)用層攻擊。因為應(yīng)用層攻 擊都是模仿正常的訪問行為，審視單個的訪問行為，往往無法判定是否為攻擊。所以對于攻 擊的檢測，需要對大量數(shù)據(jù)進行統(tǒng)計分析。dpi技術(shù)的優(yōu)勢是可以對應(yīng)用層的信息進行分析， 通常可供分析的內(nèi)容有：特征字段的統(tǒng)計分析v應(yīng)用層協(xié)議消息（sip、http協(xié)議屮的消息）域名或urlv行為統(tǒng)計登錄數(shù)量增率vv連接請求增率連接請求的時間間