《DFI与DPI技术在P2P协议分析中的应用.doc》由会员分享,可在线阅读,更多相关《DFI与DPI技术在P2P协议分析中的应用.doc(4页珍藏版)》请在金锄头文库上搜索。
1、DFI与DPI技术在P2P协议分析中的应用一、基于DFI(深度流检测)的异常流量检测1.2攻击与蠕虫传播的流量检测基于DFI的检测技术一个主要优势就是可以高效准确的检测出网络攻击和蠕虫传播。在这里列出这个标题,是为了论述体系的完整性。因为DFI技术在这方面的应用涉及的问题比较多,需要单独成文论述。2.2P2P流量检测由于流数据(Netflow或sFlow)是经过汇聚的且通常都是抽样产生的,数据又仅包含IP层信息而没有应用层信息,因此很多人对基于DFI的P2P检测技术抱有一定成见,认为它不一定能很准确的检测到P2P流量。然而实际情况却是出乎这些人的意料,DFI技术不仅可以检测P2P流量,而且检测
2、的准确度还相当高。这是因为P2P流量与其它网络应用有鲜明的区别,针对这些特征进行综合检测,便可以准确的检测出P2P流量。2.2.1P2P流量的统计特征流量大,符合“28原则”P2P流量一般都会远远大于其它应用类型的流量,统计结果通常会出现20的IP地址所相关的流量占到全部流量的80,即符合所谓的“28原则”。在有些文献中认为实际测量的结果会更加极端,这个比例可以达到“19”的程度。这就大大缩小了定位具有P2P行为IP地址的范围。并发端口数量在一个终端上运行P2P应用程序之前,用netstat命令检查网络状态,可以看到打开的端口一般在1015个之间,如果启动P2P应用程序以后,再次检查网络状态,
3、可以看到打开的端口数量一下激增到100多个。也就是说,P2P应用程序会在终端上同时打开很多端口。这个现象必然会在流记录里有所反映。端口变化率 由于很多P2P应用程序为了逃避流量控制,会使用端口跳变技术,动态的变更通讯端口,因此造成端口变化率长时间保持很高的数值。拓扑特征值由于P2P下载的端点都会用一些缺省的端口与其它端点通讯,通过分析流记录可以找到这些被高度疑似P2P端点间的拓扑关系,并使用一个人工定义的拓扑特征值来衡量这些拓扑关系。当特征值达到一定水平,即可确认该主机为P2P端点。封包字节数大为了提高传输效率,P2P流量的封包字节数都会很大,除了基于P2P的IP语音包,一般P2P下载的数据包
4、至少都在1 200字节左右,这是与其它应用另一个明显的差异。2.2.2P2P流量的行为模式特征大量空闲连接P2P端点通常都会有很多空闲连接,在流记录上就表现为很多流量非常少的记录。UDP/TCP并存有些特殊的应用,如DNS、NETBIOS、IRC,游戏和多媒体业务流量等,这些应用都有特定的端口,如135、137、139、445、53、3531等,可以通过端口匹配识别这些流量。除了这几个特殊的应用,一般的网络应用在相同的源/目的IP地址之间,只使用单一的通讯协议,要么是UDP,要么是TCP,而P2P流量是两种协议同时使用,一般用TCP传输数据,UDP传输控制信令。同时充当客户端和服务器(角色分析
5、)通常服务器的通讯模式是接收资源请求信息,然后提供相应的数据资源。而数据资源的流量大小一般都远远大于请求信息的流量。因此,如果一个主机输送出的数据远远大于接受到的数据,我们就可以判断这个主机的角色是“服务器”。反之,则是“客户端”。P2P端点接收和发送的流量几乎大小相当,因此可以看作是同时充当“客户端”和“服务器”。P2P流量有如下5个特点: 1)大流量的主机分布相对有限:通常10的IP地址的流量占到总流量的90。这样就可以找到P2P通讯的主机范围 2)并发连接数高且有突然增大的情况:进行P2P下载的主机,一定会有很高并发连接数 3)端口变化率:由于多数P2P下载软件使用了“端口跳跃”技术,因
6、此在P2P下载过程中,主机端口会不断变化 4)基于拓扑分析的特征:由于P2P下载的端点都会用一些缺省的端口与其它端点通讯,通过分析流记录可以找到这些端点问的拓扑关系以及用来确认该主机是否为P2P端点的特异值,当特异值达到一定水平,即可确认该主机为P2P端点 5)大量空闲连接:P2P端点通常都会有很多空闲连接,在流记录上就表现为很多流量很少的记录。 根据上述5个特点,我们可以重点检测流量排名前10的IP地址的并发连接数以及IP端口变化率,并把是否有P2P客户端默认端口通讯以及是否有大量的流量很小的连接作为附加判断条件。根据上述5个特点,我们可以重点检测流量排名前10的IP地址的并发连接数以及IP
7、端口变化率,并把是否有P2P客户端默认端口通讯以及是否有大量的流量很小的连接作为附加判断条件。2.2.3 P2P流量检测效果释疑尽管单独使用某种检测方法会有不精确的问题出现,但是这几种检测方法联合使用,就会达到精确检测的效果。基于DFI的P2P检测,不像基于DPI检测那样对P2P流量进行更细致的分类,甚至可以按照不同的P2P客户端软件进行分类。这看上去似乎是DFI技术的一个缺陷,而实际上并非如此。原因是有些P2P客户端软件,虽然名称不同,但使用的P2P协议是相同的,或者软件的核心代码是相同的。所以按照不同的软件对P2P协议进行分类没有太大意义。另外,检测P2P流量目的是控制这些流量,而对流量更
8、详细的分类,无助于灵活准确的控制。2.3 异常特征的自动提取基于DFI的检测技术,还可以用于提取类型未知的异常流量的特征。在实际流量检测过程中,可能会遇到突发流量激增的情况,但是现有的检测算法又无法确认异常类型。这种情况下可以使用“异常特征提取技术”,将流量特征提取出来。大致的步骤如下:1确定异常流量发生的位置(物理端口、IP地址、AS号“即自治系统号码”)2聚合维度的选取:聚合之前,首先要确定聚合依据哪些字段,也就是聚合维度的选取。一般可供选取的维度包括:源端口、目的端口、协议、TOS、TCPFlag。将每个聚合结果的总流量或总包数求和。3聚合结果的流量大小排序呈现(按包数或按字节数)4把聚
9、合结果的特征导出二、基于DPI(深度包检测)的异常流量检测2.1 应用层攻击检测由于应用层攻击具有代价小(带宽占用和攻击主机性能消耗小)、隐蔽性好、防御难度大三个特点,它已经演变为网络攻击的一个主要形式。我们这里讲的应用层攻击,是指完全模仿应用层访问行为的攻击。例如CC(Http Get Flooding)攻击,假人攻击、DNS Request Flooding等。应用层攻击很容易与两个概念混淆,一个是借助应用层手段发起的网络层攻击,例如DNS反射攻击。从被攻击者和防护方式的角度来看,后者仍然是流量型的网络攻击。另一个是网络入侵。入侵行为虽然看上去也是流量很小的破坏行为,但是入侵主要是利用系统
10、的漏洞,以获取系统的控制权并窃取数据为目的,很少会造成服务中断和性能下降。因为那样势必会暴露入侵行为,而入侵者都希望入侵行为越隐蔽越好。应用层攻击的概念清晰了,下面我们看看如何利用DPI技术检测应用层攻击。因为应用层攻击都是模仿正常的访问行为,审视单个的访问行为,往往无法判定是否为攻击。所以对于攻击的检测,需要对大量数据进行统计分析。DPI技术的优势是可以对应用层的信息进行分析,通常可供分析的内容有:特征字段的统计分析n 应用层协议消息(SIP、HTTP协议中的消息) 域名或URLn行为统计 登录数量增率nn 连接请求增率 连接请求的时间间隔n2.2 非法业务的识别非法业务是指影响运营商业务收入或降低网络收益的那些行为,通常包括P2P流量、非法VOIP、宽带私接等。特征字段的统计分析n 应用层协议消息 MAC地址n 端口信息n 协议类型n 数据包校验和n n 操作系统和应用程序(浏览器、MSN等)版本及特征字符串信息 IP包的扩展属性n行为统计 端口增长率n n 流量增长率
