返回
dfi与dpi技术在p2p协议分析中的应用

dfi与dpi技术在p2p协议分析中的应用

ID:36229105

大小:26.50 KB

页数:4页

时间:2019-05-07

dfi与dpi技术在p2p协议分析中的应用_第1页
dfi与dpi技术在p2p协议分析中的应用_第2页
dfi与dpi技术在p2p协议分析中的应用_第3页
dfi与dpi技术在p2p协议分析中的应用_第4页
资源描述:

《dfi与dpi技术在p2p协议分析中的应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、DFI与DPI技术在P2P协议分析中的应用一、基于DFI(深度流检测)的异常流量检测1.2  攻击与蠕虫传播的流量检测基于DFI的检测技术一个主要优势就是可以高效准确的检测出网络攻击和蠕虫传播。在这里列出这个标题,是为了论述体系的完整性。因为DFI技术在这方面的应用涉及的问题比较多,需要单独成文论述。2.2  P2P流量检测由于流数据(Netflow或sFlow)是经过汇聚的且通常都是抽样产生的,数据又仅包含IP层信息而没有应用层信息,因此很多人对基于DFI的P2P检测技术抱有一定成见,认为它不一定能很准确的检测到P2P流量。然而实际情况却是出

2、乎这些人的意料,DFI技术不仅可以检测P2P流量,而且检测的准确度还相当高。这是因为P2P流量与其它网络应用有鲜明的区别,针对这些特征进行综合检测,便可以准确的检测出P2P流量。2.2.1  P2P流量的统计特征流量大,符合“2/8原则”P2P流量一般都会远远大于其它应用类型的流量,统计结果通常会出现20%的IP地址所相关的流量占到全部流量的80%,即符合所谓的“2/8原则”。在有些文献中认为实际测量的结果会更加极端,这个比例可以达到“1/9”的程度。这就大大缩小了定位具有P2P行为IP地址的范围。并发端口数量在一个终端上运行P2P应用程序之前

3、,用netstat命令检查网络状态,可以看到打开的端口一般在10—15个之间,如果启动P2P应用程序以后,再次检查网络状态,可以看到打开的端口数量一下激增到100多个。也就是说,P2P应用程序会在终端上同时打开很多端口。这个现象必然会在流记录里有所反映。端口变化率由于很多P2P应用程序为了逃避流量控制,会使用端口跳变技术,动态的变更通讯端口,因此造成端口变化率长时间保持很高的数值。拓扑特征值由于P2P下载的端点都会用一些缺省的端口与其它端点通讯,通过分析流记录可以找到这些被高度疑似P2P端点间的拓扑关系,并使用一个人工定义的拓扑特征值来衡量这些

4、拓扑关系。当特征值达到一定水平,即可确认该主机为P2P端点。封包字节数大为了提高传输效率,P2P流量的封包字节数都会很大,除了基于P2P的IP语音包,一般P2P下载的数据包至少都在1200字节左右,这是与其它应用另一个明显的差异。2.2.2  P2P流量的行为模式特征大量空闲连接P2P端点通常都会有很多空闲连接,在流记录上就表现为很多流量非常少的记录。UDP/TCP并存有些特殊的应用,如DNS、NETBIOS、IRC,游戏和多媒体业务流量等,这些应用都有特定的端口,如135、137、139、445、53、3531等,可以通过端口匹配识别这些流量

5、。除了这几个特殊的应用,一般的网络应用在相同的源/目的IP地址之间,只使用单一的通讯协议,要么是UDP,要么是TCP,而P2P流量是两种协议同时使用,一般用TCP传输数据,UDP传输控制信令。同时充当客户端和服务器(角色分析)通常服务器的通讯模式是接收资源请求信息,然后提供相应的数据资源。而数据资源的流量大小一般都远远大于请求信息的流量。因此,如果一个主机输送出的数据远远大于接受到的数据,我们就可以判断这个主机的角色是“服务器”。反之,则是“客户端”。P2P端点接收和发送的流量几乎大小相当,因此可以看作是同时充当“客户端”和“服务器”。P2P流

6、量有如下5个特点:    1)大流量的主机分布相对有限:通常10%的IP地址的流量占到总流量的90%。这样就可以找到P2P通讯的主机范围    2)并发连接数高且有突然增大的情况:进行P2P下载的主机,一定会有很高并发连接数    3)端口变化率:由于多数P2P下载软件使用了“端口跳跃”技术,因此在P2P下载过程中,主机端口会不断变化    4)基于拓扑分析的特征:由于P2P下载的端点都会用一些缺省的端口与其它端点通讯,通过分析流记录可以找到这些端点问的拓扑关系以及用来确认该主机是否为P2P端点的特异值,当特异值达到一定水平,即可确认该主机为P

7、2P端点    5)大量空闲连接:P2P端点通常都会有很多空闲连接,在流记录上就表现为很多流量很少的记录。    根据上述5个特点,我们可以重点检测流量排名前10%的IP地址的并发连接数以及IP端口变化率,并把是否有P2P客户端默认端口通讯以及是否有大量的流量很小的连接作为附加判断条件。根据上述5个特点,我们可以重点检测流量排名前10%的IP地址的并发连接数以及IP端口变化率,并把是否有P2P客户端默认端口通讯以及是否有大量的流量很小的连接作为附加判断条件。2.2.3  P2P流量检测效果释疑尽管单独使用某种检测方法会有不精确的问题出现,但是这

8、几种检测方法联合使用,就会达到精确检测的效果。基于DFI的P2P检测,不像基于DPI检测那样对P2P流量进行更细致的分类,甚至可以按照不同的P2P客户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。