摘  要： 分析了幾類主要的P2P業(yè)務(wù)識別方法，重點分析了基于流的內(nèi)在特征的各種識別方法，并對其優(yōu)缺點作出評價，指出了P2P識別技術(shù)進(jìn)一步的發(fā)展方向。
關(guān)鍵詞： P2P；識別技術(shù)；網(wǎng)絡(luò)流的內(nèi)在特征

　　當(dāng)前P2P業(yè)務(wù)已占到網(wǎng)絡(luò)業(yè)務(wù)的60%~70%，成為網(wǎng)絡(luò)帶寬主要的使用者，而且P2P應(yīng)用呈現(xiàn)快速增長的趨勢。P2P的飛速發(fā)展，一方面給用戶帶來方便，提供了多種類的業(yè)務(wù)，但另一方面也帶來了許多負(fù)面的問題。如：P2P文件共享過程中的版權(quán)問題；應(yīng)用中大量占用網(wǎng)絡(luò)帶寬的問題；流量模式對傳統(tǒng)網(wǎng)絡(luò)設(shè)計帶來的挑戰(zhàn)等。因此，如何有效地識別P2P業(yè)務(wù)并進(jìn)一步對其進(jìn)行管理，對互聯(lián)網(wǎng)業(yè)務(wù)提供者或運營商(ISP)及企業(yè)用戶等已成為迫切需要解決的問題。
　　P2P(Peer-to-Peer)即點對點技術(shù)。該技術(shù)與傳統(tǒng)網(wǎng)絡(luò)技術(shù)顯著的不同點在于其結(jié)構(gòu)模式的不同。傳統(tǒng)技術(shù)采用客戶機/服務(wù)器(C/S)結(jié)構(gòu)，而P2P從總體上來說是一種分布式網(wǎng)絡(luò)模型。C/S模式中，1臺計算機想獲取服務(wù)，需向存儲大量數(shù)據(jù)的服務(wù)器提出請求才能獲得服務(wù)，這種模式存在著明顯的主從關(guān)系，當(dāng)服務(wù)器過載時，服務(wù)器就變成了網(wǎng)絡(luò)中的瓶頸。而在P2P中，成千上萬臺彼此連接的計算機都處于對等地位，整個網(wǎng)絡(luò)一般不依賴于專用中央服務(wù)器， 每個結(jié)點既是資源提供者(Server)，又是資源獲取者(Client)[1]。正是這種結(jié)構(gòu)促使P2P業(yè)務(wù)能充分利用各臺主機的資源，包括帶寬、存儲空間和計算能力而得到了快速發(fā)展。
　　目前P2P的應(yīng)用主要有如下幾個方面[2]：文件共享類、視頻點播類和即時通信類等。文件共享類包括迅雷，BT、電驢等，視頻點播類包括PPlive等，即時通信類包括QQ、MSN、SKYPE等。此外，P2P還應(yīng)用于分布式計算、協(xié)同工作等領(lǐng)域。
　　P2P業(yè)務(wù)在給網(wǎng)絡(luò)用戶帶來便利的同時也產(chǎn)生了一些問題。據(jù)估計，在現(xiàn)今互聯(lián)網(wǎng)帶寬中，P2P業(yè)務(wù)已占據(jù)大部分，且P2P用戶經(jīng)常是長時間占用帶寬。因為大量占用帶寬，從而影響了用戶正常的網(wǎng)絡(luò)使用業(yè)務(wù)，如瀏覽網(wǎng)頁、收發(fā)郵件等。同時還帶來了一些其他的問題，如安全、版權(quán)問題等，同時P2P的結(jié)構(gòu)模式對現(xiàn)有網(wǎng)絡(luò)設(shè)計規(guī)劃也帶來影響。因此，就需要對P2P業(yè)務(wù)進(jìn)行有效的管理，而識別P2P業(yè)務(wù)是進(jìn)行管理的前提。
1 早期P2P業(yè)務(wù)識別技術(shù)
1.1 端口法
　　最早出現(xiàn)的P2P業(yè)務(wù)具有固定的默認(rèn)端口，因此用端口識別法能很容易地將P2P業(yè)務(wù)識別出來，但不能適應(yīng)業(yè)務(wù)發(fā)展的要求，準(zhǔn)確率也低。
1.2 簽名匹配法[3]
　　這種方法的出發(fā)點是在P2P的各種協(xié)議中具有特定的報文信息，可根據(jù)這些特定的報文信息來識別每種具體的P2P應(yīng)用。其識別準(zhǔn)確率高，尤其是能識別具體的應(yīng)用。但只能對已有的業(yè)務(wù)進(jìn)行識別，對加密的業(yè)務(wù)不能識別，會涉及到隱私問題，效率不高。
　　以上2種識別方法對新業(yè)務(wù)的適應(yīng)性都不是很好，若能提取P2P業(yè)務(wù)內(nèi)在的固有的特征，則有可能從根本上解決問題，這也是目前研究的方向。
2 基于各種內(nèi)在特征的P2P業(yè)務(wù)識別方法
2.1 利用傳輸層信息
　　傳輸層連接模式特征識別法[4]是基于P2P網(wǎng)絡(luò)的連接模式，而不是基于分組內(nèi)容。因此，不依賴于P2P協(xié)議具體的數(shù)據(jù)內(nèi)容就能進(jìn)行識別，而且也能識別出以前未知的P2P協(xié)議。此法只統(tǒng)計用戶分組的首部信息，即源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口，這是因為P2P業(yè)務(wù)所用的傳輸協(xié)議及其連接的{IP，Port}對其獨有的、有別于其他業(yè)務(wù)的特征可以來識別P2P業(yè)務(wù)。以此為基礎(chǔ)，Thomas Karagiannis等人給出了如下兩種啟發(fā)式方法：
　　(1)TCP/UDP混用
　　識別出那些同時使用TCP和UDP進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用。P2P節(jié)點一般在初始連接階段采用UDP來發(fā)送控制信息，而采用TCP來傳輸數(shù)據(jù)。通常的應(yīng)用極少同時使用UDP和TCP。因此，可以利用這個特征來識別P2P流。研究表明，大約2/3的P2P協(xié)議同時使用TCP和UDP協(xié)議，而其他應(yīng)用中，同時使用2種協(xié)議的只有NetBIOS、游戲、視頻等少量應(yīng)用，而這些應(yīng)用通常有固定的使用端口，因此能很容易將其區(qū)分出來。如果某個應(yīng)用同時使用TCP和UDP作為傳輸協(xié)議，那么可以認(rèn)為這個應(yīng)用很有可能就是P2P應(yīng)用。
    　(2){IP，Port}對的連接模式
    　P2P網(wǎng)絡(luò)是分布式或混合式的，根據(jù)不同的網(wǎng)絡(luò)，P2P節(jié)點可能會存儲網(wǎng)絡(luò)中其他節(jié)點、服務(wù)器或超級節(jié)點的IP地址。這一方法的基本依據(jù)是：在混合式P2P 結(jié)構(gòu)中，存在著超級節(jié)點，這種節(jié)點存儲了其所在組內(nèi)的其他節(jié)點的信息，既防止了組內(nèi)某網(wǎng)絡(luò)節(jié)點突然斷開時造成的信息丟失，也方便了新的節(jié)點的加入。當(dāng)1個新的主機A加入P2P系統(tǒng)后，它將通知超級節(jié)點其IP地址以及接受連接的端口號Port。超級節(jié)點查詢緩存中滿足A請求的節(jié)點，并將滿足條件的節(jié)點信息返回給A節(jié)點，A節(jié)點收到返回的信息后將直接與滿足條件的節(jié)點建立連接、傳送數(shù)據(jù)。這樣，對端口Port而言，與其建立連接的IP地址數(shù)目就等于與其建立連接的不同端口數(shù)目(因為不同主機選擇同一端口與主機A建立連接的可能性是很低的，完全可以忽略不計)。而其他一些應(yīng)用如Web，1個主機通常使用多個端口并行接收對象，這樣建立連接的IP地址數(shù)目將遠(yuǎn)小于端口數(shù)目。但是另外一些應(yīng)用，如MAIL、DNS等，也具有類似的屬性，因此，使用這種方法在實際識別過程中需要將它們區(qū)分出來。
2.2 根據(jù)P2P流統(tǒng)計特征
2.2.1基于連接流量特征的識別方法[5]
   　 此方法的出發(fā)點是在P2P網(wǎng)絡(luò)中節(jié)點既可作為客戶機也可作為服務(wù)器，即既能接受其他節(jié)點的服務(wù)也能向其他節(jié)點提供服務(wù)，以此過程中表現(xiàn)出的特征作為識別的依據(jù)。本文給出了2個啟發(fā)式算法：
   　 (1)連出連接數(shù)與連入連接數(shù)之比。參與P2P的節(jié)點既有大量的連入連接也有大量的連出連接，而非P2P節(jié)點要么有大量的連出連接，要么有大量連入連接，它們的出入連接必定是不平衡的。因此，統(tǒng)計在某段時間內(nèi)某節(jié)點連入連接與連出連接之比，并與使用傳統(tǒng)網(wǎng)絡(luò)應(yīng)用的主機的經(jīng)驗觀測值作比較，就可以判斷此節(jié)點是否參與P2P。
    　(2)上行流量與下行流量之比。P2P節(jié)點不僅從其他節(jié)點處獲得數(shù)據(jù)，同時也為其他節(jié)點提供數(shù)據(jù)，因此，它的節(jié)點流量更多體現(xiàn)為上行下行基本對稱的特點，而且對于2個節(jié)點A、B之間建立的同一個連接，可能A既在下載B的數(shù)據(jù)，也在給B上傳數(shù)據(jù)。在整個過程中，每個節(jié)點的上行流量與下行流量都是大體對稱的。而對于傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用，如HTTP等，一般都是客戶發(fā)送1個請求(幾千字節(jié)到幾百萬字節(jié))，然后服務(wù)器返回客戶機所需要的數(shù)據(jù)(幾千字節(jié)Kb、幾兆字節(jié)或更多)。在這種網(wǎng)絡(luò)結(jié)構(gòu)中，上行流量與下行流量是不平衡的。但是一些服務(wù)器主機，如FTP服務(wù)器，同時提供用戶的上傳與下載，其流量特征與P2P主機類似，因而要依據(jù)端口將這些特殊的服務(wù)器排除。該方法實現(xiàn)簡單，只是不同的閾值選取識別結(jié)果不同，需根據(jù)具體情況選取。
2.2.2 根據(jù)P2P流的內(nèi)在統(tǒng)計特征進(jìn)行識別的方法
　　流量模式識別法，這是在Caspian路由器中實現(xiàn)的一種功能。該路由器記錄經(jīng)過它的每條流的信息，因此可以實現(xiàn)基于流的流量識別和控制功能，以一種新的方式對P2P流量進(jìn)行識別和控制。幾種常見IP服務(wù)的流量特征如表1所示。

    　由表1可以看出，P2P應(yīng)用的特點是持續(xù)時間長、平均速率較高以及總的傳輸字節(jié)數(shù)高。這與文件傳輸如FTP 等應(yīng)用有些類似。但是該類應(yīng)用可以很方便地通過端口號識別出來，而且由于這些應(yīng)用與用戶的交互性不如Web、視頻等應(yīng)用高，因此，出現(xiàn)一定的誤判對它們的流量限制不會造成大的問題。另外，根據(jù)流所包含的字節(jié)數(shù)，可以很容易將普通Web流量同P2P文件共享流量區(qū)分開。
　　通過分析不同應(yīng)用的流量模式，可以實現(xiàn)識別P2P流量的目的。而且這一方法不需要對分組內(nèi)部用戶數(shù)據(jù)進(jìn)行檢查，因此不受數(shù)據(jù)是否加密的限制，擴(kuò)大了其適用范圍。
　　除了流量模式特征外，P2P業(yè)務(wù)一些其他的內(nèi)在特征，如持續(xù)時間、分組數(shù)量、平均到達(dá)間隔時間[6-7]等，也可以作為識別的依據(jù)，同時也可對這些特征進(jìn)行分析，進(jìn)一步提取新的特征[8]。參考文獻(xiàn)[8]提出了1個新的參數(shù)：分組大小變換頻率。在這些特征的基礎(chǔ)上可應(yīng)用各種機器學(xué)習(xí)(ML)算法等對P2P業(yè)務(wù)進(jìn)行識別[9-12]，算法識別的精確性很高，其中C4.5識別的精確性可達(dá)99 %以上，但算法的選擇、特征的選取、訓(xùn)練數(shù)據(jù)的數(shù)量，對識別結(jié)果的精確性、識別時間等有影響，不易實現(xiàn)實時識別，且不能實現(xiàn)具體識別。
2.3 根據(jù)P2P協(xié)議特征
2.3.1 從數(shù)據(jù)信號和信令信號的特征的不同對P2P業(yè)務(wù)進(jìn)行區(qū)分
    　參考文獻(xiàn)[13]更多的是從網(wǎng)絡(luò)的角度對P2P業(yè)務(wù)進(jìn)行特征提取，如對P2P業(yè)務(wù)的數(shù)據(jù)下載和信令會話階段的行為，包括傳送內(nèi)容大小、會話到達(dá)間隔時間以及時長等進(jìn)行進(jìn)一步深入的分析，提取出不同的特征。一般可以用3個不同的流特征來描述流的長度：分組數(shù)量、有效載荷字節(jié)數(shù)量、頭部和有效負(fù)載字節(jié)數(shù)，但參考文獻(xiàn)[13]只采用有效負(fù)載字節(jié)數(shù)作為流的長度。
    　該方法識別的依據(jù)是：在文件下載期間，1個節(jié)點一般接收到的分組數(shù)據(jù)是很大的，會達(dá)到MTU值，對接收到的數(shù)據(jù)進(jìn)行確認(rèn)，這時向發(fā)送節(jié)點發(fā)送的確認(rèn)分組數(shù)量就會很少，即使節(jié)點向其他節(jié)點交換1個文件的片段，在這個過程中其會話是平衡的，平均有效負(fù)載一般也會達(dá)到MSS(最大段大小)。相反，在信令會話過程中具有平穩(wěn)的特征，在這個過程中交換的字節(jié)和分組數(shù)量都更加地均衡。可以用1個閾值來區(qū)分這2種不同的業(yè)務(wù)，如果1個會話CTI(內(nèi)容轉(zhuǎn)變索引)值超過這個閾值即為數(shù)據(jù)下載業(yè)務(wù)；反之則為信令業(yè)務(wù)。可根據(jù)這一特征對不同的網(wǎng)絡(luò)行為進(jìn)行識別。
2.3.2 根據(jù)P2P協(xié)議內(nèi)容重新分配特征
    　每個節(jié)點既是服務(wù)器也是客戶機[14]，因此，節(jié)點會重新分配從其他節(jié)點收到的內(nèi)容，依據(jù)這個過程中表現(xiàn)出來的行為特征作為識別的依據(jù)。此方法在識別PPlive方面能達(dá)到99 %的精確率。
2.3.3 利用P2P協(xié)議的基本特征
    　P2P協(xié)議的基本特征是：較大的網(wǎng)絡(luò)直徑、絕大多數(shù)節(jié)點既作為服務(wù)器又作為客戶機，利用這一特征對P2P業(yè)務(wù)進(jìn)行識別[15]。
2.4 基于網(wǎng)絡(luò)中最大流的識別[16]
    　基于此方法的識別思想是網(wǎng)絡(luò)中一小部分流量產(chǎn)生了網(wǎng)絡(luò)中大部分的分組和字節(jié)，將網(wǎng)絡(luò)中這一部分流量識別出來以后再對其業(yè)務(wù)類型進(jìn)行分析。參考文獻(xiàn)[16]主要識別5種業(yè)務(wù)：P2P文件共享類業(yè)務(wù)、P2P流類業(yè)務(wù)、掃描行為、蠕蟲病毒行為、DOS攻擊行為。所提出的各種識別的特征依據(jù)是：如短時間內(nèi)連接數(shù)或業(yè)務(wù)數(shù)據(jù)的大小、時長、節(jié)點分布等，根據(jù)不同業(yè)務(wù)具有的不同的特征可將其識別出來，如P2P文件共享類業(yè)務(wù)具有連接數(shù)量大、快速傳送大量業(yè)務(wù)數(shù)據(jù)、時間周期短、端口分布規(guī)律、大量節(jié)點參與業(yè)務(wù)等特征。
　　這種方法可解決重量級P2P 協(xié)議流量識別問題， 還可以識別出殺手級用戶和熱點文件的特征， 在解決實際問題方面有重要的意義。
2.5 BLINC方法
    　參考文獻(xiàn)[17]提出的BLINC方法，按照主機的行為模式作為識別依據(jù)，對節(jié)點在社會、功能、應(yīng)用等3個層面進(jìn)行分析，得出P2P節(jié)點行為特征，利用這些特征，識別出P2P節(jié)點。(1)社會層面：1臺主機與其他主機的互動。首先是檢查這臺主機的活躍性，其次識別與這臺主機通信的節(jié)點。(2)功能層面：捕獲主機的行為特征，分析看其在網(wǎng)絡(luò)中扮演的角色是業(yè)務(wù)提供者還是業(yè)務(wù)接收者或者兩者兼有。例如，若1臺主機用1個端口與其他多臺主機通信，那么這臺主機在這個端口上應(yīng)是一個業(yè)務(wù)提供者的角色。(3)應(yīng)用層面：捕獲特定主機的特定端口傳輸層之間的互動識別業(yè)務(wù)的發(fā)起方。
    　實驗結(jié)果表明，BLINC方法能夠?qū)W(wǎng)絡(luò)中的80%~90%的流量進(jìn)行識別，識別的準(zhǔn)確率達(dá)95%。但這種方法難以做到實時檢測，且復(fù)雜度高，易將P2P文件共享業(yè)務(wù)流與DOS攻擊流混淆。
    　以上各種基于P2P業(yè)務(wù)內(nèi)在特征的方法可直接應(yīng)用，也可作為啟發(fā)式算法與其他業(yè)務(wù)結(jié)合應(yīng)用或作為ML算法的訓(xùn)練數(shù)據(jù)應(yīng)用，能解決數(shù)據(jù)加密等問題，可以識別出未知的P2P業(yè)務(wù)，但不能具體識別出P2P業(yè)務(wù)。
　　根據(jù)對各種技術(shù)優(yōu)缺點的分析，預(yù)測P2P識別技術(shù)未來的發(fā)展方向是：(1)將基于P2P內(nèi)在特征的技術(shù)與以前的技術(shù)相結(jié)合，根據(jù)不同的環(huán)境、不同的要求，綜合運用各種識別方法，以實現(xiàn)更加有效、具體的識別；(2)深入挖掘P2P業(yè)務(wù)獨有的業(yè)務(wù)特征，并從已有的特征中分析出其有決定作用的核心特征，進(jìn)行具體分析，發(fā)現(xiàn)各種主流P2P業(yè)務(wù)其各自獨有的特征，以實現(xiàn)具體的識別。
參考文獻(xiàn)
[1] 暴勵.P2P技術(shù)的應(yīng)用與研究[J].電腦開發(fā)與應(yīng)用，2009(2)：67-69.
[2] 董振江.P2P發(fā)展現(xiàn)狀與運營方案[J].中興通訊技術(shù)，2008(2)：49-53.
[3] SUBHABRATA S， OLIVER S， DONGMEI W. Accurate， scalable in-network identification of P2P traffic using application signatures. WWW2004， NewYork， New York，ACM 1-58113-844-X/04/0005，2004：512-521.
[4] THOMAS K， ANDRE B.Transport layer identification of P2P traffic[C]. IMC’04， October 25-27， 2004， Taormina， Sicily， Italy. Copyright 2004 ACM 1-58113-821-0/04/0010 2004：121-134.
[5] 柳斌，李之棠，李佳.一種基于流特征的P2P流量實時識別方法[J].廈門大學(xué)學(xué)報(自然科學(xué)版)，2007，46(2)：132-135.
[6] CLAFFY K C， BRAUN H W. Internet traffic profiling.1-25.Caida， San diego supercomputer Center，http：//www.caida.org/outreach/papers/1994/itf/，1994.
[7] LAN K C，HEIDEMANN J. A measurement study of correlations of Internet flow characteristics[J]. Computer Network，2006，50：46-62.
[8] 周豐谷.P2P flow identidication[D].臺灣科技大學(xué)，2006.
[9] ARLITT J E M， MAHANTI A.Traffic classification using clustering algorithms. in Proceedings of the 2006 SIGCOMM Workshop on Mining Network Data(MineNet06)，2006.
[10] MOORE A W， ZUEV D. Internet traffic classification using Bayesian analysis techniques. in ACM Sigmetrics， 2005：50-60.
[11] AULD A W M T， GULL S F. Bayesian neural networks for internet traffic classification. IEEE Transactions on Neural Networks，2007，18：223-239.
[12] SCHMIDT S E G， SOYSAL M. An intrusion detection based approach for the scalable detection of P2P traffic in the national academic network backbone[R]. in 7th International Symposium On Computer Networks(ISCN06)， 2006.
[13] RAFFAELE B， MARCO C， RICCARDO R.Characterizing the network behavior of P2P traffic[EB]. IT-NEWS 2008， 978-1-4244-1845-9/08，IEEE，2008：14-19.
[14] LU Xing， DUAN Hai xin，LI Xing. Identification of P2P traffic based on the content redistribution Characteristic[M]. ISCIT 2007， IEEE， 1-4244-0977-2/07/：596-601.
[15] FIVOS C， PANAYIOTIS M. Identifying known and unknown Peer-to-Peer traffic[R]. Fifth IEEE International Symposium on Network Computing and Applications(NCA′06)，0-7695-2640-3/06，2006.
[16] WANG Jiao， ZHOU Ya Jian， YANG Yi Xian.Classify the majority of the total bytes on the Internet[R]. 2008 International Symposiums on Information Processing， 978-0-7695-3151-9/08 IEEE，2008：68-72.
[17] KARAGIANNIS T， PAPAGIANNAKI K， FALOUTSO S M. Blinc： multilevel traffic classification in the dark. Proceeding of the 2005 Conference on Applications， Technologies， Architectures， and Protocols for Computer Communications[C]. Los Angeles： ACM Press，2005：229-240.