DFI與DPI技術(shù)在P2P協(xié)議分析中的應(yīng)用

1、dfi與dpi技術(shù)在p2p協(xié)議分析中的應(yīng)用一、基于dfi (深度流檢測(cè))的界常流量檢測(cè)1.2攻擊與蠕蟲(chóng)傳播的流量檢測(cè)基于dfi的檢測(cè)技術(shù)一個(gè)主要優(yōu)勢(shì)就是可以高效準(zhǔn)確的檢測(cè)出網(wǎng)絡(luò)攻擊和蠕蟲(chóng)傳播。在這里 列出這個(gè)標(biāo)題，是為了論述體系的完整性。因?yàn)閐fi技術(shù)在這方面的應(yīng)用涉及的問(wèn)題比較多, 需要單獨(dú)成文論述。2.2 p2p流量檢測(cè)山于流數(shù)據(jù)(netflow或sflow)是經(jīng)過(guò)匯聚的且通常都是抽樣產(chǎn)牛的，數(shù)據(jù)乂僅包含ip層倍 息而沒(méi)有應(yīng)用層信息，因此很多人對(duì)基于dfi的p2p檢測(cè)技術(shù)抱有一定成見(jiàn)，認(rèn)為它不一定 能很準(zhǔn)確的檢測(cè)到p2p流量。然而實(shí)際情況卻是出乎這些人的意料，df1技術(shù)不僅可以檢測(cè) p2p

2、流量，陽(yáng)口檢測(cè)的準(zhǔn)確度還相當(dāng)高。這是因?yàn)閜2p流量與其它網(wǎng)絡(luò)應(yīng)用有鮮明的區(qū)別， 針對(duì)這些特征進(jìn)行綜合檢測(cè)，便可以準(zhǔn)確的檢測(cè)出p2p流量。2.2. 1 p2p流量的統(tǒng)計(jì)特征流量大，符合“2/8原則”p2p流量一般都會(huì)遠(yuǎn)遠(yuǎn)人于其它皿用類(lèi)型的流量，統(tǒng)計(jì)結(jié)果通常會(huì)出現(xiàn)20%的ip地址所相 關(guān)的流量占到全部流量的80%,即符合所謂的“2/8原則”。在有些文獻(xiàn)中認(rèn)為實(shí)際測(cè)量 的結(jié)果會(huì)更加極端，這個(gè)比例可以達(dá)到“1/9”的程度。這就人人縮小了定位具有p2p行為 ip地址的范圍。并發(fā)端口數(shù)量在一個(gè)終端上運(yùn)行p2p應(yīng)用程序之詢(xún)，用netstat命令檢査網(wǎng)絡(luò)狀態(tài)，可以看到打開(kāi)的端口 一般在10-15個(gè)之間，如果啟

3、動(dòng)p2p應(yīng)用程序以后，再次檢杳網(wǎng)絡(luò)狀態(tài)，可以看到打開(kāi)的 端口數(shù)量一下激增到100多個(gè)。也就是說(shuō)，p2p應(yīng)用程序會(huì)在終端上同時(shí)打開(kāi)很多端口。這 個(gè)現(xiàn)象必然會(huì)在流記錄里有所反映。端口變化率由于很多p2pm用程序?yàn)榱颂颖芰髁靠刂?，?huì)使用端口跳變技術(shù)，動(dòng)態(tài)的變更通訊端口，因 此造成端口變化率長(zhǎng)吋間保持很高的數(shù)值。拓?fù)涮卣髦瞪接趐2p下載的端點(diǎn)都會(huì)用一些缺省的端口與其它端點(diǎn)通訊，通過(guò)分析流記錄可以找到這些 被高度疑似p2p端點(diǎn)間的拓?fù)潢P(guān)系，并使用一個(gè)人工定義的拓?fù)涮卣髦祦?lái)衡暈這些拓?fù)潢P(guān) 系。當(dāng)特征值達(dá)到-定水平，即可確認(rèn)該主機(jī)為p2p端點(diǎn)。封包字節(jié)數(shù)大為了提高傳輸效率，p2p流量的封包字節(jié)數(shù)都會(huì)很大，除

4、了基于p2p的ip語(yǔ)音包，一般p2p 卜-載的數(shù)據(jù)包至少都在1 200字節(jié)左右，這是與其它應(yīng)用另一個(gè)明顯的差異。2.2.2 p2p流量的行為模式特征大量空閑連接p2p端點(diǎn)通常都會(huì)有很多空閑連接，在流記錄上就表現(xiàn)為很多流量非常少的記錄。udp/tcp 并存有些特殊的應(yīng)用，如dns、netbios. irc,游戲和多媒體業(yè)務(wù)流量等，這些應(yīng)用都有特定的 端口，如135、137、139、445、53、3531等，可以通過(guò)端口匹配識(shí)別這些流量。除了這幾個(gè)特殊的應(yīng)用，一般的網(wǎng)絡(luò)應(yīng)用在相同的源/冃的ip地址z間，只使用單一的通訊 協(xié)議，要么是ldp,要么是tcp,而p2p流量是兩種協(xié)議同時(shí)使用，一般丿ijt

5、cp傳輸數(shù)據(jù)， udp傳輸控制信令。同時(shí)充當(dāng)客戶(hù)端和服務(wù)器（角色分析）通常服務(wù)器的通訊模式是接收資源請(qǐng)求信息，然示提供相應(yīng)的數(shù)據(jù)資源。而數(shù)據(jù)資源的流址 大小一般都遠(yuǎn)遠(yuǎn)大于請(qǐng)求信息的流量。因此，如果一個(gè)主機(jī)輸送出的數(shù)據(jù)遠(yuǎn)遠(yuǎn)人于接受到的 數(shù)據(jù)，我們就可以判斷這個(gè)主機(jī)的角色是“服務(wù)器”。反z,則是“客戶(hù)端”。p2p端點(diǎn)接 收和發(fā)送的流量?jī)汉醮笮∠喈?dāng)，因此可以看作是同時(shí)充當(dāng)“客戶(hù)端”和“服務(wù)器”。p2p流量有如下5個(gè)特點(diǎn)：1）人流量的主機(jī)分布和對(duì)有限：通常10%的ip地址的流量占到總流量的90%。這樣 就可以找到p2p通訊的主機(jī)范圍2）并發(fā)連接數(shù)高且有突然增大的情況：進(jìn)行p2p下載的主機(jī)，一定會(huì)有很高

6、并發(fā)連接 數(shù)3）端口變化率：由于多數(shù)p2p下載軟件使用了 “端口跳躍”技術(shù)，因此在p2p下載過(guò) 程中，主機(jī)端口會(huì)不斷變化4）基于拓?fù)浞治龅奶卣鳎河捎趐2p卜-載的端點(diǎn)都會(huì)用一些缺省的端口與具它端點(diǎn)通訊, 通過(guò)分析流記錄可以找到這些端點(diǎn)問(wèn)的拓?fù)潢P(guān)系以及川來(lái)確認(rèn)該主機(jī)是否為p2p端點(diǎn)的特 杲值，當(dāng)特界值達(dá)到一定水平，即町確認(rèn)該主機(jī)為p2p端點(diǎn)5）人量空閑連接：p2p端點(diǎn)通常都會(huì)有很多空閑連接，在流記錄上就表現(xiàn)為很多流量 很少的記錄。根據(jù)上述5個(gè)特點(diǎn)，我們可以垂點(diǎn)檢測(cè)流量排名前10%的tp地址的并發(fā)連接數(shù)以及 ip端口變化率，并把是否有p2p客戶(hù)端默認(rèn)端口通訊以及是否有大量的流量很小的連接作 為附加

7、判斷條件。根據(jù)上述5個(gè)特點(diǎn)，我們可以重點(diǎn)檢測(cè)流量排名前10%的ip地址的并發(fā) 連接數(shù)以及ip端口變化率,并把是否有p2p客戶(hù)端默認(rèn)端m通訊以及是否有大量的流量很 小的連接作為附加判斷條件。2.2.3 p2p流量檢測(cè)效果釋疑盡管單獨(dú)使用某種檢測(cè)方法會(huì)有不粹確的問(wèn)題出現(xiàn)，但是這兒種檢測(cè)方法聯(lián)合使用，就會(huì)達(dá) 到精確檢測(cè)的效果?；赿fi的p2p檢測(cè)，不像基于dpt檢測(cè)那樣對(duì)p2p流最進(jìn)行更細(xì)致的分類(lèi)，英至可以按照 不同的p2p客戶(hù)端軟件進(jìn)行分類(lèi)。這看上去似乎是dft技術(shù)的一個(gè)缺陷,而實(shí)際上并非如此。 原因是有些p2p客戶(hù)端軟件，雖然名稱(chēng)不同，但使用的p2p協(xié)議是相同的，或者軟件的核心 代碼是相同的。

8、所以按照不同的軟件對(duì)' p2p協(xié)議進(jìn)行分類(lèi)沒(méi)有a大意義。另外，檢測(cè)p2p 流量目的是控制這些流量，而對(duì)流量更詳細(xì)的分類(lèi)，無(wú)助于靈活準(zhǔn)確的控制。2.3異常特征的白動(dòng)提取基于dfi的檢測(cè)技術(shù)，還可以用于提取類(lèi)型未知的界常流量的特征。在實(shí)際流量檢測(cè)過(guò)程中, 可能會(huì)遇到突發(fā)流量激增的情況，但是現(xiàn)有的檢測(cè)算法又無(wú)法確認(rèn)弄常類(lèi)烈。這種情況下可 以使用“異常特征提取技術(shù)”，將流量特征提取岀來(lái)。人致的步驟如下：1 確定異常流量發(fā)牛的位置（物理端口、ip地址、as號(hào)“即白治系統(tǒng)號(hào)碼”）2. 聚合維度的選取：聚合z前，首先要確定聚合依據(jù)哪些字段，也就是聚合維度的選取。 一般可供選取的維度包括：源端口、冃的

9、端口、協(xié)議、tos、tcpflag。將每個(gè)聚合結(jié)果的 總流量或總包數(shù)求和。3. 聚合結(jié)呆的流量大小排序呈現(xiàn)（按包數(shù)或按字節(jié)數(shù)）4. 把聚合結(jié)果的特征導(dǎo)出二、基于dpi （深度包檢測(cè)）的異常流量檢測(cè)2. 1應(yīng)用層攻擊檢測(cè)由于應(yīng)用層攻擊具冇代價(jià)?。◣捳加煤凸糁鳈C(jī)性能消耗?。?、隱蔽性好、防御難度大三 個(gè)特點(diǎn)，它已經(jīng)演變?yōu)榫W(wǎng)絡(luò)攻擊的一個(gè)主要形式。我們這里講的應(yīng)用層攻擊，是指完全模仿 應(yīng)用層訪問(wèn)行為的攻擊。例如cc（http get flooding）攻擊，假人攻擊、dns request flooding 等。應(yīng)用層攻擊很容易與兩個(gè)概念混淆，一個(gè)是借助應(yīng)用層手段發(fā)起的網(wǎng)絡(luò)層攻擊，例如 dns反射攻

10、擊。從被攻擊者和防護(hù)方式的角度來(lái)看，后者仍然是流量型的網(wǎng)絡(luò)攻擊。另一個(gè) 是網(wǎng)絡(luò)入侵。入侵行為雖然看上去也是流量很小的破壞行為，但是入侵主要是利用系統(tǒng)的漏 洞，以獲取系統(tǒng)的控制權(quán)并竊取數(shù)據(jù)為日的，很少會(huì)造成服務(wù)屮斷和性能下降。因?yàn)槟菢觿?shì) 必會(huì)眾露入侵行為，而入侵者都希望入侵行為越隱蔽越好。應(yīng)用層攻擊的概念清晰了，下而我們看看如何利用dpi技術(shù)檢測(cè)應(yīng)用層攻擊。因?yàn)閼?yīng)用層攻 擊都是模仿正常的訪問(wèn)行為，審視單個(gè)的訪問(wèn)行為，往往無(wú)法判定是否為攻擊。所以對(duì)于攻 擊的檢測(cè)，需要對(duì)大量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。dpi技術(shù)的優(yōu)勢(shì)是可以對(duì)應(yīng)用層的信息進(jìn)行分析， 通?？晒┓治龅膬?nèi)容有：特征字段的統(tǒng)計(jì)分析v應(yīng)用層協(xié)議消息（sip、http協(xié)議屮的消息）域名或urlv行為統(tǒng)計(jì)登錄數(shù)量增率vv連接請(qǐng)求增率連接請(qǐng)求的時(shí)間間