33558 www.it.com.cn/f/network/0711/23/512650.htm
P2P以其独特的技术优势在近几年发展迅速,其应用不断增加。 据统计,P2P APP应用已占ISP业务总量的60%~80%,成为网络带宽最大的消费者。 随着internet重要性的提高和网络结构的复杂化,网络安全性、可管理性和传统APP应用程序的可用性也成为了难题。 人们越来越了解和分析P2P流量和网络行为,认识到需要为P2P的监测和管理提供技术支持。
P2P流量现状
P2P流量的特征
相对于传统互联网业务,P2P业务表现出以下特征:高速传输; 数据量大; 在线时间长; 上下流量对称; 业务点分布广泛,具有固定的流量特性,许多P2P流量具有相对固定的特点,如固定的端口号和固定的关键字。
P2P流量的影响
随着P2P技术应用的不断扩大,特别是基于P2P系统的文件共享业务不断拓展,P2P系统自身潜在的安全问题和资源,特别是网络带宽资源的滥用,受到各网络运营商和学校网络管理者的高度重视。 Maze在教育网络内部的应用非常广泛。 仅从清华大学校园网出口流量监测来看,Maze的流量已经超过了网络等传统业务流量,约占整体流量的15%。 图1显示了网络测量所描述的P2P流量的现状。 P2P流量的增加会对社会产生负面影响,如版权和安全。
在其他方面,P2P流量的增加也会对版权和安全等社会产生负面影响。
管理难点
P2P流量管理作为一种新型的网络管理内容,其难点主要在于以下三个方面:
数据收集分析
要管理P2P流量,必须解决在线流量检测问题。 如何设计适合硬件实现的高效实时算法,是一个线速检测和过滤非常困难的问题。 也需要注意的是,由于网络设备的存储和处理能力有限,需要将算法适应于网络业务的动态变化,最大化能够发现的信息,最大化过滤的效果。 这涉及两个重要因素:高速数据收集处理和海量数据分析处理(用于脱机检测)。
P2P流量识别
为了合理有效地识别P2P业务,应当包括以下内容: 第一,对P2P流量特征要有良好的分布和可区分的性质; 第二,识别P2P业务和整个P2P覆盖网络,由此提出新的P2P网络的主动防御模式和机制。
目前,许多P2P协议都采用动态端口,这使得P2P流量难以识别。 不仅是固定的识别方法,采用新的流量分析模型更好地识别和监测P2P流量,也是P2P流量管理的重点和难点。
P2P APP应用的快速发展
P2P APP应用在过去两年经历了快速变化,从简单到复杂,从低级到高级。 其网络结构也经历了从中心控制到全分布的变化。 从流量管理和监控的角度看,所有早期的P2P APP应用都是固定端口号,易于发现和管理。 此后逐渐发展为动态随机端口号,一些传统的检测方法失灵。 最近出现的新型P2P APP应用越来越具有反对侦察的意识,采用多种加密方法,通过伪装Http协议、传输块等方式逃避识别和检测。 如何针对快速发展的P2P APP应用,根据其不变传输特性建立相应的分析模型,提出新的理论框架是目前比较具有挑战性的问题。
流量管理基础理论
信息论
在P2P流量管理中,经常使用信息论分析流量。 例如,利用一些分布的变化情况,测量具有流量的特征的信息量。 这种方法经常被用来表达流量的特点。 例如用熵理论分析流量特性的变化。
数据挖掘
在数据收集阶段,需要对收集到的数据进行大量的数据分析处理,便于离线分析。 此时,需要数据挖掘的理论。
对于流量识别来说,我们的输入是输出流量的特征向量的熵、平均流量、延迟、端口、payload等,需要判断输出是什么类型的流量(例如Web、FTP、P2P等)。
机器学习
机器学习是一门能够理解和研究学习的内在机制,通过学习自动提高自身水平的计算机程序理论方法的学科。
在P2P流量管理中,机器学习主要结合数据挖掘理论,用于基于观测数据(样本),发现规律,预测新数据,其中三种机器学习框架:监督学习,所有训练样本不是监督学习,所有训练样本都没有标记; 加强学习,延缓标记。
管理方案介绍
为了实现P2P流量的快速识别和管理,思科、P-Cube Caspian、Cachelogic、Allot Packeteer、NetApp等公司相继推出相关产品,可分为以下四类:
1 .网络缓存设备:研究显示,10%的互联网热点文件占用了90%的P2P流量。 这允许使用本地网络缓存设备缓存热点文件以减少互联网通信量。
2.APP应用层流量管理设备: APP应用层流量管理设备通过DPI扫描对流的APP应用层协议进行分类,识别具体的P2P业务类型,利用三层shaping技术实施流量控制。
3 .流统计状态路由
器:流统计状态路由器可以在IP层通过统计流量特征的方式识别P2P流,从而可以提取出经过编译码的或者是未知的新型P2P流。4.智能防火墙:智能防火墙可以为企业网P2P监管提供服务,它利用数字签名技术识别P2P数据,并阻断未经授权的P2P流。
Cisco NBAR技术
NBAR可以检测识别各种应用协议,包括使用静态端口的、非TCP/UDP的IP层协议、使用动态端口的、伪装其他端口的(采用深度报文检查,检查某些位置的字段,不是全部载荷都检查,又称为Application Inspection)。NBAR还支持用户定义的应用,比如使用某个端口等。这样也可以识别这些应用。
NBAR能够检测识别多种P2P协议,并且支持细粒度的检测,比如识别检测某种P2P协议中包含某个文件后缀的流,某种P2P协议中包含特定字符串的流。NBAR还包含一个包描述语言模块(Packet Description Language Module,PDLM),它使NBAR可以动态调入新的协议描述,进而加强NBAR对新协议的检测能力。