p2p流量识别.pdf

该【p2p流量识别 】是由【amikiri】上传分享，beplayapp体育下载一共【37】页，该beplayapp体育下载可以免费在线阅读，需要了解更多关于【p2p流量识别 】的内容，可以使用beplayapp体育下载的站内搜索功能，选择自己适合的beplayapp体育下载，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此beplayapp体育下载到您的设备，方便您编辑和打印。:..P2P流量识别:..P2P网络概述Peer-to-peer核心思想:系统的节点处于完全对等的地位,每个节点既是客户机也是服务器。peerpeerpeer:..近年来,随着P2P技术的兴起,P2P流量已经超过了HTTP和FTP流量,整个流量的一半以上,给网络带来了沉重的负担,同时也影响其他网络应用。因此对于P2P流量的识别以及监控逐渐成为人们关心的问题。在此,将介绍四种P2P流量识别技术:*基于端口的识别技术;*深层数据包识别技术(DPI);*基于流量行为特征的识别技术(基于人工神经网络);*基于特征进程的识别技术;:..一、基于端口识别技术:在P2P应用兴起早期,众多P2P数据流都采用固定端口的形式,如BitTorrent采用端口6881-6889,Gnutella采用6665-6669。通过检查数据包头中的端口,与已知的P2P端口对照便可以识别出P2P流量,而且可以进一步识别出是哪种P2P应用程序。优点:简单易行,不需要进行复杂的分组处理即可得出结论,在P2P应用初期十分有效。缺点:随着P2P的发展,一些应用采用随机动态端口甚至是伪端口(为了躲避流量审计与过滤等),这种方法便不再适用。:..常用P2P软件端口:..二、深层数据包识别技术(DPI):基于应用层数据检测的P2P流量识别技术是通过协议分析与还原技术,提取P2P应用层数据(即P2P载荷),通过分析P2P载荷所包含的协议特征值,来判断是否属于P2P应用。在此我们以BitTorrent为例来进行了解。:..……………………连接……………………(seed)piecesPeer(leecher)BPeer(leecher):..1、种子文件传输识别HTTPGET请求用户种子下载服务器HTTP回应在回应的头部会出现种子传输的特征值。Content-Type字段的值是application/x-bittorrent或者是application/bittorrent,则表明该HTTP会话传输的是种子文件。出现漏识:如它的值会为text/plain。:..在HTTP回应的主体部分会传输种子文件。种子文件字典的主键字段可省略类型简单描述announce否字符串追踪器地址info否字典目标文件摘要中creationdate是整数Torrent建立时间createdby是字符串制作Torrent文件的软件comment是字符串目标文件描述:..种子文件:..通过分析发现,种子文件通常以“d8:announce”开始,之后紧跟trackerURL,并且在之后的某位置会出现“info”和“piece”(用于计算文件的HASH校验)。通过扫描以上特征足以精确的发现种子下载的传输过程。:..2、peer和tracker交互识别提交状态报告(HTTPGET请求)peertracker节点列表:..GET/announce?info_hash=E%E9%C6%1D%7EA%CD%EB%97%C8%85%DC%26M4%DB%11%18%1D&peer_id=%00%00%00%00%00%00%00%00%00%00%00%00%17%FE%FA%7E%3B%DE%F9&port=6881&uploaded=0&d一般tracker的URL的路径部分会是“/announce”,但这个特征不是必须的,因此不能作为识别的依据。比较稳妥的办法是对GET请求参数的查询部分中“info_hash”和“peer_id”进行字符串匹配,这样的字符串在一般的HTTP访问中是不会出现的,而只是出现在BitTorrent状态报告中,这个BitTorrent协议规范所规定的。:..3、peer交换数据识别Peer之间的若干种消息交互中,唯一可被用来作为识别依据的是握手消息。0x13BitTorrentprotoclReserved(8)Info_hash(20)Peer_id(20)握手时互发的TCP包分析TCP数据流的第一个包含有效数据的TCP数据包,如果它的TCP负载部分第一个字节是0x13(十进制的19),第2到20字节为字符串“BitTorrentprotocol”,则可以认为此数据包是一个BitTorrent握手消息。:..4、DHT流量识别DHT是BT的一种协议扩展。增强了系统的健壮性。BitTorrent中的DHT采用了RPC机制,由在UDP上发送的bencode编码的字典组成。发送单个请求包,单个包作为回复,没有重试。在DHT协议中有四种查询请求:ping,find_node,get_peers和announce_peer。:..DHT数据包识别关键字消息请求关键字回应关键字find_node“find_node”“nodes”“target”get_peers“find_hash”“token””values”“nodes”announce_pee“Info_hash”_r“token”ping“ping”_:..优点:这种方法的特点是识别率高,根据一次P2P会话的头几条报文检测出该P2P应用,并且能把后续的报文分类到所属的P2P会话。据有关资料表明该方法的识别正确度高达95%。:..缺点:①各种P2P应用程序的关键字随着软件的升级可能会发生变化,必须时刻注意更新。②关键字的获取是通过分析数据包内容获得的,这关系到数据隐私的问题,一旦对数据包内容加密,这种技术就失效了。③关键字的总结需要采集大量数据包,在主干网上对数据包截取或者拷贝,特别是当主干网网速达到10Gbps时,采集效率和对数据包存储容量往往不乐观。④算法检测性能与载荷特征串的复杂度有关,载荷特征越复杂,则检测代价越高,算法性能越差。:..三、基于流量行为特征的识别技术(基于人工神经网络模型):P2P流量和非P2P流量在某些流行为属性上有很大差异,这些属性成为特征。:..现有的基于流量行为特征的代流识别技术,通过给每个核心特征确定其界值,通过综合每个核心特征与界值的大小比较来实现对P2P流的识别。由于每个核心特征在流量类型识别中所起的作用程度不同,同时每个核心特征的界值需要人工总结分析所得,因此纯粹的根据界值大小在识别准确率方面很不稳定。研究表明,核心特征与流量类别之间的关系不是简单的线性关系,而是非线性关系。人工神经网络+基于流量行为特征的识别技术:..人工神经网络有两个与用传统方法进行信息处理完全不同的性质:①神经网络是自适应和可以被训练的,它有自调整即自学****能力,学****输人与输出之间的某种隐藏着的关系,这种关系可能是线性关系也可能是非线性关系,对这种隐藏着的关系的学****表现在对网络权值的不断调整。如果最后的输出不正确,系统可以调整权值加到每个输入上去以产生一个新的结果,如此反复,直至到达所期望的结果。②神经网络结构本身就决定了它是大规模并行机制,由于它是数据驱动的,故其处理速度较传统方法要快得多。:..1、神经网络模型人工神经网络模型示意图由行为特征组成的特征向量(xxx)做为输12。。。n入。流的类别作为期望输出。:..核心思想:将流量表现出来的若干行为特征量化成向量,作为神经网络的输入,经过隐含层的处理,到达输出层节点,输出结果对应着流量的类别。通过对训练样本进行反复学****来调节网络,从而使得网络误差函数取得最小值。:..2、核心特征属性的确定*流行为特征指数据包在传输过程中,在传输层表现出来的特征。(持续时间,平均数据包长度,平均速率)*特征属性:兼顾效率和效果。mn1xL)(=∑∑yxd),(jimni==11j若类间距明显大于类内距,可推断此特征可以有效的将两类分开,即可作为核心特征。:..3、样本整理*样本量化:0同时使用TCP和UDP作为传输层协议UBTC=1未同时使用TCP和UDP流量属性特征取值不同时,P2P流和非P2P流数之比也不同,根据比例的高低,一次对相应取值分级量化。比例越大,说明P2P流量占有率越高,那么量化值就越小。*归一化处理:使数据成高斯分布状,更加有利于训练。:..*训练样本的选取:选取样本应包含各种模式,且各种模式所具有的样本数要平衡。若比例偏低,则网络收敛时间增加,反之,训练完成后的模型对非P2P流的识别能力下降。训练样本的数量偏少,鲁棒性差,泛化能力降低;过多,训练时间增加。:..4、训练过程BP网络训练步骤:(1)初始化权值矩阵;(2)输入训练样本;(3)正向计算隐含层和输出层各节点的输出;(4)反向计算误差梯度;(5)调整权值;(6)重复(3)(4)(5),直到样本平均输出误差m12δ=∑y?σii)(足够小。2mi=1:..优点:具有鲁棒性,泛化性高,自学能力强,人工干预少,效率和准确性可以达到一定的要求。缺点:模型的识别精度有待提高。:..四、基于特征进程的识别:识别原理:*进程*特征进程*进程—网络流量*特征进程—网络流量:..-:..系统总体结构服务器:实现P2P特征进程库的建立和维护以及识别数据的处理等。客户机:完成对自身主机产生的P2P流量的识别。:..关键模块的设计与实现:1、P2P特征进程库的生成:方法一:对于公开的、众所周之的P2P应用程序。P2P当前主机所有应用运行进程程序方法二:对于符合某些P2P特征的一些进程。系统根据可疑进程判断策略确定后,添加到特征进程库中。:..2、客户端P2P特征进程库的更新:客户端通过比较本地特征进程库和服务器上的特征进程库标识的大小,就能判断出是否需要下载更新特征进程库。VoidUpdate_Lib()//获得最新的进程库{longclient_lib_id=get_client_libid();//获得客户端当前进程库版本号Connect_server();Longserver_lib_id=get_server_libid();//获得服务器最新进程库版本号If(client_id

p2p流量识别 来自beplayapp体育下载www.apt-nc.com转载请标明出处.