资源描述:
《skype流量识别研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Skype流量识别研究18一通信一热=点一不需要对静荷部分的检查.2.1P2P的流量识别根据P2P的连接行为特征,采用两种识别算法结合使用的方法来识~)JP2P流量.2.1.1TCP/UDPIP对大多数P2P软件会在两个通信的lP之间同时使用TCP和UDP传输协议.利用P2P的这种特性,对每个lP对(源IP,目的IP)之间的联系进行统计,若发现某lP对之间同时使用7TCP,UDP两种传输协议,则此lP对之间很可能在进行P2P的应用.在这个方法的使用中,需要考虑将DNS应用排除.DNS应用在通信时也会出现两个IP之
2、间同时使用TCP和UDP传输协议的特征,我们可以根据它的通信双方均使用53端口的特征来加以排除.2.1.2(1P'PORT)对(IP,Port)对的流统计方法,是针对第三代P2P网络结构提出的根据P2P用户连接特性的进行识别的方法:P2P软件在连接网络的过程中,用UDP数据包对外进行连接协商,因此在P2P用户登录过程中,会针对许多不同的目的地址发送UDP数据包.第三代P2P软件普遍采用随机端口,不同的目的地址所对应的目的端口往往不相同.因此我们可以统计0P,Port)对使用UDP包联系的目的地址和目的端口,如果在
3、一定时间内,对外联系的目的地址达到一定数量,且目的地址和目的端口的数量相差比较小,则认为所统计的(IP,Port)对正在进行P2P通信.在实际应用时,我们统计5S内UDP包联系的lP地址和目的端口,如果联系的lP地址达到3个,且所使用的端口不完全相同,则可以初步判断所统计的(1PIPort)对正在进行P2P通信.在(1P,Port)对的识别方法中需要考虑排除MAlL和GAMlNGANDSTREAMlNG的应用.这两种应用在通信时也具有上述(IP,Port)对特征,根据以下各自特征可以口的方法来排除,但是它和同--
4、IP地址通信的数据包长度往往是相同的.2.2Skype的流量识别基于第三代P2P网络结构的Skype协议将用户结点分为普通结点(UserNode)和超级结点(SuperNode).超级节点是Skype网络中具有特殊功能的节点,是普通UN的连接终点,接受并受理普通UN行为请求以及和其他超级节点进行信息交互,同时也具有普通用户客户端的功能.Skype客户端在登录的过程中需要和超级结点SN联系,发送多个长度为18,11和32的UDP数据包与SN进行连接信息协商.我们对这几种长度的数据包出现的频率和时间进行分析后发现,统
5、计长度为18的UDP数据包的个数可以有效的识~)JSkype.实验表明对于已判断为P2P的(1P,Port)对,统计5s内对外联系的长度为18的UDP数据包的个数,如果发现这样的数据包个数超过54",则认为此P2P应用类型为Skype.2.3PC—Phone的流量识别在识别出某0P,Port)E_在进行Skype通信之后,要判断此(1PIPort)对的通话类型,首先要判断此(1PPort)何时开始通话,然后再判断是PC—Phone的还是PC—PC的通话.2.3.1判断0P,Port)对是否在进行Skype通话Sk
6、ype在登录连接后,如果不进行通话,其对外联系的数据包较少,通常只有少量的TCP数据包保持对外连接.而通话开始后,则会发送大量UDP数据包来传输通话内容.因此,在判断0P,Port)对在登录使用Skype的前提下,监测0P,Port)对的对外发送接收UDP数据包的流量情况.在正常Skype通话的情况下,PC-Phone的UDP发送间隔约为0.020ms,PC-PC的UDP发送间隔约为0.014ms.如果监测发现(1P,Port)对外发送接收的UDP数据包->20个,s,则可以判定Skype通话开始.2.3.
7、2判断PC—Phone通话Skype在进行PC—Phone通话,PC-PC通话和文件共2007.8'广东通信技术圆1920通信热点享时虽然都使用UDP来传输信息,但所使用的UDP数据包的长度不同,其分析数据如表1所示.表1Skype不同通信类型数据包长度统计表所以我们只要统计Skype~_话过程中的UDP数据包的平均长度,即可分辨正在进行的通信类型.通过实验检测,我们发现统计时长O.5s内的UDP数据包长度,能快速且有效的判断出通信类型.从而区分PCtoPhone的Skype通话.3Skype的识别算法根据以上方
8、案,制定具体~skype识别的算法.3.1识~]IJP2P先介绍识别过程中需要维护的几个记录集:记录集名记录形式记录集含义IPSset{siP,diP)记录被识别为P2P通信的源目IP对NonlPSset{siP,diP)记录被识别为非P2P通信的源目IP对IPPortset{IP,Port)记录被识别为P2P的(IP,Port)对NonlPPortset{IP,Port