技術(shù)領(lǐng)域

本發(fā)明是針對P2P流量識別方法的研究，提出了一種基于協(xié)議分析的P2P 流量識別方法。通過對P2P應(yīng)用程序中用到的協(xié)議的分析，得到針對該協(xié)議的 特定模式，并將這個模式設(shè)計成規(guī)則，補充到IDS中。涉及新一代通信網(wǎng)絡(luò)業(yè) 務(wù)識別技術(shù)領(lǐng)域。

背景技術(shù)

自上世紀(jì)90年代以來，P2P在網(wǎng)絡(luò)中的應(yīng)用越來越廣泛，P2P應(yīng)用也開始多 元化。P2P流量在因特網(wǎng)總流量中占據(jù)了極其重要的地位。而且，對于P2P應(yīng)用 的關(guān)注也越來越多。因此，在很多情況下，對P2P流量的檢測是十分必要的。上 世紀(jì)90年代，對P2P流量檢測是很容易的，因為當(dāng)時P2P協(xié)議使用特定應(yīng)用的 TCP或UDP端口號。然而，許多P2P應(yīng)用開始使用隨機端口號來逃避檢測，如今， P2P應(yīng)用軟件甚至可以通過偽裝源流量以逃避檢測。

對P2P流量特征的早期研究主要集中在默認(rèn)網(wǎng)絡(luò)端口的尋址上。有的文獻(xiàn)提 出了針對多數(shù)P2P應(yīng)用的簽名方法。然而，這些研究并沒有提出它們對各自簽名 的精確性、規(guī)模以及健壯性的評價，沒有強調(diào)所采用的方法，也沒有考慮相關(guān)協(xié) 議。基于流量分類的簽名主要用在入侵和異常檢測的網(wǎng)絡(luò)安全環(huán)境中。

發(fā)明內(nèi)容

技術(shù)問題：我們提出了識別P2P流量的一種方法。該方法基于以下步驟： 分析相關(guān)協(xié)議；通過對IP包的分析，得到針對某種P2P協(xié)議的模式；把這種模 式編寫成可以填充到IDS中的規(guī)則；利用這種有效的IDS對得到的識別模式進(jìn) 行網(wǎng)絡(luò)檢測。注意，采用這種類IDS方法不會給網(wǎng)絡(luò)造成任何延遲，只是在它 建立位置的監(jiān)測點上有少量花費。另外，此方法也可以加以擴展，以便能夠分析 那些可以對流量進(jìn)行加密的P2P協(xié)議。該P2P流量檢測工具已經(jīng)成功配置，現(xiàn) 在在一個局域網(wǎng)中得到應(yīng)用。

技術(shù)方案：本發(fā)明提出了一種基于協(xié)議分析的P2P流量檢測方法。該方法適 用于OpenNap，WPN和FastTrack協(xié)議，應(yīng)用在WinMx和KaZaA中。一旦發(fā)現(xiàn)針對 相關(guān)協(xié)議的特定模式，就能夠?qū)⒑线m的規(guī)則填入IDS中，以識別這種模式。在我 們給出的例子中，我們按照SNORT規(guī)則標(biāo)識特定模式。以WinMx為例，介紹 OpenNap的識別方法。

1.協(xié)議分析：

OpenNap協(xié)議基于一系列中央服務(wù)器：所有要加入OpenNap網(wǎng)絡(luò)的客戶端都 要與其中一個服務(wù)器建立一個TCP連接。一個中央服務(wù)器維護(hù)著用戶共享的文件 列表，但卻并不存有任何文件。和C/S模式一樣，每個用戶都可以向服務(wù)器詢問 哪些端存儲有請求文件，但下載的過程卻是端與端之間通過一個直接的TCP連接 完成。以下的操作過程一步一步地循環(huán)建立，在客戶端產(chǎn)生一種行為并分析由此 產(chǎn)生的流量。

(1)客戶-＞服務(wù)器：連接和登錄

在下載之前，用戶必須指定某些信息，例如用戶名，密碼，特別是中心服務(wù) 器列表。要同一個服務(wù)器建立TCP連接，OpenNap協(xié)議會發(fā)送一個登錄信息；該 信息包含用戶信息：用戶名，密碼，監(jiān)聽端口，客戶端類型以及連接的線速度。 該階段建立的流量包含軟件名和版本。這些信息可以用來建立ad?hoc?IDS規(guī)則 (規(guī)則2)

(2)服務(wù)器-＞客戶端：對登錄信息的響應(yīng)

要響應(yīng)一個客戶端的的登錄請求，服務(wù)器返回一個包含有字符串 VERSION<ver>，SERVER<server-name>以及其他內(nèi)容(例如字符串Welcome和對活 動用戶、共享文件的統(tǒng)計信息)的信息。該信息通過多個包傳遞，因為以太網(wǎng)上 使用的TCP協(xié)議限制MSS為1460字節(jié)。

<VERSION?sw><SERVER?name><Welcome>”statistics”<info>

以太網(wǎng)中響應(yīng)信息的第一個包有著固定的格式，因此可以應(yīng)用在IDS中，來 識別網(wǎng)絡(luò)中的OpenNap連接。

(3)客戶-＞服務(wù)器：共享文件目錄

收到服務(wù)器的響應(yīng)后，客戶端發(fā)送其自身的共享文件目錄，格式如下：

<HD:/><Path><Filename>，此類信息也能在IDS規(guī)則中用到，目的是顯示一 個客戶端共享的文件名(規(guī)則4)。

(4)客戶端-＞服務(wù)器：查詢請求