深层数据包检测技术易于理解、升级方便、维护简单,是目前运用最普遍的P2P流量识别方法。其主要优点包括:准确性高、健壮性好、具有分类功能等。准确性高是由于该方法执行精确特征匹配,因此极少存在误判问题。健壮性好是由于可以处理数据包丢失、重组等,因此能适应复杂的P2P应用。具有分类功能是由于深层数据包检测技术可以依据不同P2P应用的载荷特征来准确分类P2P应用,因此可以为实施P2P流量监管策略提供准确的信息。
但是,深层数据包检测技术的缺点包括可扩展性差、缺乏加密数据分析功能、性能低等。可扩展性差是由于该方法对新P2P应用的流量识别具有滞后性,即在未升级特征库前无法检测新的P2P应用,必须找到新应用的载荷特征后,才能对该应用实施有效检测。缺乏加密数据分析功能是由于P2P载荷加密,隐藏了P2P应用的协议和数据特征,因此深层数据包检测技术对加密P2P应用的检测能力非常有限。性能低是由于需要完成协议解析还原和特征匹配等操作,因此计算和存储开销大,流量检测算法性能低。载荷特征越复杂,检测代价越高,算法性能也越差。各种P2P流量识别算法的比较如表2所示,其中,基于流量特征的P2P流量识别技术包括端口分析、网络直径分析、节点角色分析、协议对分析和地址端口对分析等。
5 结束语
基于流量特征和基于应用数据分析技术是目前主要的P2P流量识别方法。从P2P流量识别的技术现状来看,基于应用数据分析技术的深层数据分析方法DPI由于具有准确性高、健壮性好、具有分类功能,且过去的P2P系大都未加密,因此是P2P流量识别的主要方法。但是,基于DPI技术也面临诸如如何提供检测算法的性能、如何支持对加密数据的分析、如何更新P2P应用特征库等问题。同样,基于流量特征的P2P流量识别方法虽然具有性能高、可扩展性好的有点,但由于准确性差,因此在实际应用中也面临诸多困难。此外,现有方法都以离线数据分析为主,缺乏P2P流量的实时识别能力。从本质来看,基于流量特征的检测属于启发式方法,而深层数据分析属于精确匹配方法。如果能够结合这两种方法的优点,就有可能设计出一个准确、高效的P2P流量实时识别算法来。为此,研究启发式深层数据分析实时识别算法将是进一步研究的主要内容。
6 参考文献
[1]CiscoSystemsInc. NetFlow services solutions guide [EB/OL].
http:∥www.cisco.com/,2007.
[2]AllotCommunicationsLtd [EB/OL].
http://www.allot.com,2007.
[3]CacheLogic[EB/OL].http ://www.cachelogic.com, 2007.
[4]VersoTechnologies[EB/OL]. http ://www.verso.com/, 2007.
[5]SENS,WANG J. Analyzing peer-to-peer traffic across large networks [J]. IEEE/ACM Transactions on Networking, 2004,12(2):219-232.
[6]CONSTANTINOUF,MAVROMMATIS P Identifying known and unknown peer-to-peer traffic [C]// Proceedings of Fifth IEEE International Symposium on Network Computing and Applications, Jul 24-26,2006, Cambridge, MA, USA. Los Alamitos, CA,USA: IEEE Computer Society, 2006: 93-102.
[7]KARAGIANNIST,BROIDO A, FALOUTSOS M, et al. Transport layer identification of P2P traffic [C]// Proceedings of the 4th ACM SIGCOMM Conference on Internet Measurement, Oct 25-27, 2004, Taormina, Italy. New York, NY, USA: ACM, 2004:121-134.
[8]HORNGMong-Fong,CHEN Chun-Wei, Chuang Chin-Shun, et al. Identification and analysis of P2P traffic- an example of bit torrent [C]//Proceedings of International Conference on Innovative Computing, Information and Control (ICICIC2006):Vol. 2, Aug 30 - Sep 1, 2006, Beijing, China.2006:266-269.
[9]ZHOULijuan,LI Zhitong, LIU Bin. P2P traffic identification by TCP flow analysis [C]// Proceedings of International Workshop on Networking, Architecture, and Storages, Sep,2006, Shenyang, China. Los Alamitos, CA, USA: IEEE Computer Society, 2006.
[10]SUHK,FIGUEIREDO D R, KUROSE J, et al. Characterizing and detecting skype-relayed traffic [C]// Proceedings of IEEE Conference on Computer Communications (INFOCOM 2006), Apr 26, 2006, Barcelona, Spain .2006:1-12.
[11]SENS,SPATSCHECK O, WANG Dongmei. Accurate, scalable in-network identification of P2P traffic using application signatures [C]//Proceedings of the 13th International Conference on World Wide Web, May 17-20, 2004, New York, NY,USA .New York, NY,USA: ACM, 2004:512-521.
[12]WANGRui,LIU Yang, YANG Yuexiang, et al. Solving the app-level classification problem of P2P traffic via optimized support vector machines [C]// Proceedings of Sixth International Conference on Intelligent Systems Design and Applications (ISDA '06): Vol 2, Oct 16-18, 2006, Jinan, China. Los Alamitos, CA, USA: IEEE Computer Society, 2006:534-539.
