到目前为止传统的P2P应用识别与控制方法主要有如下四类:
第一类技术:利用端口进行P2P流量识别即对各种P2P软件的相应流量进行研究,并归纳出常用的一个或多个固定端口(如KuGoo软件通用的商 业端口是7000)。然后在流量检测过程中,一旦发现有流量的端日与已归纳出的端口相同,就可以确定该流量属于P2P流量,并属于某一种P2P软件引。但 是对于利用端口识别P2P流量,现在大多数P2P软件都不再使用固定端口,或使用动态端口,或在软件中设有端口设置功能供用户自行设置端口,甚至有的 P2P软件使用8O等其它业务的固定端口号,以欺骗流量检测设备。
第二类技术:用关键字进行P2P流量识别也是在研究各种P2P软件相应流量的基础上实现的。这时对流量研究的目的不再是归纳特征端口,而是归纳 出流量所有数据包中都含有的或者出现频率最高的特征字符串即关键字,一般关键字的出现位置也是有严格要求的。然后在流量检测过程中,对数据包进行深度检 测。如果关键字匹配成功,就可以确定该流量属于P2P流量及其所属软件类别。但是随着P2P技术的不断发展,上述方法已出现了明显的弊端。对于利用关键字 识别P2P流量,关键字符串的部分或全部字节可能随软件的运行环境、版本等的改变而改变。
第三类技术:就是利用大于1024的TCP/UDP端口数进行P2P识别的技术。但是,该方法无法将P2P业务和端口扫描、DdoS攻击等类型的流量区分开来。
第四类技术:利用IP地址连接的通信对端IP地址的数量进行P2P识别的技术。但是该方法无法区分一个IP地址是否属于一个为众多用户提供服务器的设备,还是一个用户在大量发起P2P连接。
因此综上所述,传统的P2P应用识别技术已经不能应对P2P技术本身的发展和变化了。
1.3 BMC P2P应用识别与控制技术概述
BMC专利技术——<一种基于数学建模技术应用于P2P网络的流量识别与控制的方法>,通过对P2P技术特征的分析,得出典型的P2P流量模型,通过模型特征值的提取,能够非常高效便捷的对它们进行识别。
BMC的P2P专利识别技术提供一种基于数学建模技术应用于P2P网络的流量识别与控制的方法,具体来说:就是对网络中的每一个IP地址的通信 会话进行数学建模,采集该IP地址活动会话所连接的对端IP地址分布、TCP/UDP端口分布和会话状态信息,利用数学建模技术产生数学模型特征值;将数 学模型特征值与预设的P2P流量数学模型参数进行匹配;在与P2P流量数学模型参数匹配的情况下,判定该IP地址当前正在使用P2P技术进行数据传输;根 据预先配置的P2P流量控制策略,对该IP地址的所有符合P2P特征的流量进行控制。
上述预设的P2P流量数学模型参数包括最小IP地址扩散度Cip、最小TCP/UDP端口扩散度Mport、最大会话接通率Cratemax和最小会话接通率Cratemin,上述四个参数被配置到数学模型库中。
本技术优于传统P2P识别技术之处在于:
1、本技术不依赖于对报文的内容进行关键字或者特征码识别,因此,本技术能够对加密的P2P和未知的新出现的P2P流量进行识别;
2、本技术不是仅仅依靠对高于1024的TCP/UDP端口进行统计,识别P2P,它避免了把P2P流量和网络扫描、DdoS攻击等流量混淆起来。因此更精确;
3、本技术不是仅仅依靠对IP地址所连接的对端IP地址数量进行统计,因此避免了把P2P流量和网站服务器的流量混淆。
阅读(1380) | 评论(0) | 转发(0) |
