技術領域

本發明屬于互聯網技術領域，具體涉及一種P2P檢測方法。

背景技術

隨著Internet的迅速發展，對等網絡技術(Peer-to-Peer，P2P) 已成為Internet上重要的應用之一。傳統文件下載或流媒體服務都是 客戶端/服務器(C/S)模式，即用戶連接服務器，然后服務器以單播 方式把數據推送給用戶。如果采用上述模式，所有的客戶端全部連接 到同一臺服務器上，則服務器的壓力會非常大，會影響用戶的視聽效 果。內容分發網絡(Content?Delivery?Network，CDN)技術雖然可以 在一定程度上加速數據傳輸，但其核心仍然是基于集中服務器的架 構，在高峰時期對突發流量的適應性、容錯性等方面仍然存在一定缺 陷。P2P技術的引入帶來了新的機遇。在P2P方式下，每個對等實體 (peer)既是服務的提供者，又是服務的享用者。通過將服務器的負 載分散到眾多peer中，從而有效地減輕服務器的負載和網絡帶寬占 用。基于P2P方式的數據傳輸的研究也逐步引起了人們的重視，相關 技術或原型系統不斷出現，如BitTorrent，EMule，PPStream、PPLive 等。在風險投資的推動下，已有多個商用系統投入運營，2006中央 電視臺春節聯歡晚會也開始使用P2P流媒體技術對全球直播，使用 P2P技術已經成為網絡應用發展的趨勢。

然而，P2P技術在給人們帶來娛樂和方便的同時，也帶來了隱憂。 因為眾多peer代替了原有的集中服務器提供服務，這就給管理部門 的監管帶來了巨大的困難；同時隨著P2P應用所產生的流量日益增 大，占據了大量的互聯網帶寬，對其它應用的服務質量也形成了威脅， 因此識別P2P應用并對其進行監控成為亟待解決的問題。

通過對國際上各種P2P流量檢測技術的調查發現，各種P2P流量 檢測技術都可以歸結為如下三類檢測技術：基于端口的檢測技術(Port? based?Identification)，深層數據包檢測技術(DPI，Deep?Packet?Inspection) 和基于流量行為特征的檢測技術(Traffic?Behavior?based? Identification)。

基于端口的檢測技術就是根據使用的端口號來判斷應用類別的 技術。其弊端是，如果P2P應用通過動態變化的端口來傳輸數據，那 么基于端口的方法檢測就無能為力了，因此這種方法雖然效率比較 高，但準確性太差，并沒有被廣泛的應用。

深層數據包檢測技術主要是通過對數據包的應用層數據進行特 征匹配來識別P2P流量。目前深層數據包檢測技術已經發展得非常成 熟。Subhabrata?Sen等人于2004年初提出基于應用簽名的P2P流量 檢測方法，實際上是深層數據包檢測方法的一種，該方法把負載 (Payload)特征分為固定偏移量(fixed?offset)特征和變化偏移量 (variable?offset)特征，第一步檢查固定偏移量，第二步檢查變化偏移 量，在性能和精度上都取得了令人滿意的效果。但是對于采用了內容 加密的P2P應用，基于深層數據包檢測技術就變得無能為力了。另外， 基于深層數據包檢測不能適用于大流量的環境。

基于流量行為特征的檢測技術就是利用流量特征(如IP地址，端 口等)信息進行P2P檢測的技術，該技術不需要任何關于應用層協議 的信息，主要針對網絡流量在一段時間內的某些統計特征進行檢測和 分析，以此為基礎檢測P2P。Thomas?Karagiannis等人在仔細研究了 P2P流量的傳輸層特征后于2004年提出一種基于傳輸層特征的P2P 流量檢測方法，該方法以P2P流量在傳輸層所表現出來的兩種一般性 特征為依據，結合傳統的端口檢測技術，能夠有效地檢測到新的P2P 應用和加密的P2P應用，但是該方法過于復雜且不能適用于國內的 P2P應用環境。在國內，雖然目前對于P2P技術的研究和應用都進 行得如火如荼，但是提出的檢測方法基本上主要也是基于深層數據包 檢測技術。國內部分網絡設備生產商已經推出了P2P流量監控的相 關產品，如華為的SecPath?1800F防火墻和Eudemon500/1000防火墻 以及國都興業(CAPTECH)的網絡管理軟件——網絡慧眼。這些產品 采用的都是深層數據包檢測技術。