[发明专利]一种基于协议分析的P2P流量识别方法

说明书

技术领域

本发明是针对P2P流量识别方法的研究，提出了一种基于协议分析的P2P 流量识别方法。通过对P2P应用程序中用到的协议的分析，得到针对该协议的 特定模式，并将这个模式设计成规则，补充到IDS中。涉及新一代通信网络业 务识别技术领域。

背景技术

自上世纪90年代以来，P2P在网络中的应用越来越广泛，P2P应用也开始多 元化。P2P流量在因特网总流量中占据了极其重要的地位。而且，对于P2P应用 的关注也越来越多。因此，在很多情况下，对P2P流量的检测是十分必要的。上 世纪90年代，对P2P流量检测是很容易的，因为当时P2P协议使用特定应用的 TCP或UDP端口号。然而，许多P2P应用开始使用随机端口号来逃避检测，如今， P2P应用软件甚至可以通过伪装源流量以逃避检测。

对P2P流量特征的早期研究主要集中在默认网络端口的寻址上。有的文献提 出了针对多数P2P应用的签名方法。然而，这些研究并没有提出它们对各自签名 的精确性、规模以及健壮性的评价，没有强调所采用的方法，也没有考虑相关协 议。基于流量分类的签名主要用在入侵和异常检测的网络安全环境中。

发明内容

技术问题：我们提出了识别P2P流量的一种方法。该方法基于以下步骤： 分析相关协议；通过对IP包的分析，得到针对某种P2P协议的模式；把这种模 式编写成可以填充到IDS中的规则；利用这种有效的IDS对得到的识别模式进 行网络检测。注意，采用这种类IDS方法不会给网络造成任何延迟，只是在它 建立位置的监测点上有少量花费。另外，此方法也可以加以扩展，以便能够分析 那些可以对流量进行加密的P2P协议。该P2P流量检测工具已经成功配置，现 在在一个局域网中得到应用。

技术方案：本发明提出了一种基于协议分析的P2P流量检测方法。该方法适 用于OpenNap，WPN和FastTrack协议，应用在WinMx和KaZaA中。一旦发现针对 相关协议的特定模式，就能够将合适的规则填入IDS中，以识别这种模式。在我 们给出的例子中，我们按照SNORT规则标识特定模式。以WinMx为例，介绍 OpenNap的识别方法。

1.协议分析：

OpenNap协议基于一系列中央服务器：所有要加入OpenNap网络的客户端都 要与其中一个服务器建立一个TCP连接。一个中央服务器维护着用户共享的文件 列表，但却并不存有任何文件。和C/S模式一样，每个用户都可以向服务器询问 哪些端存储有请求文件，但下载的过程却是端与端之间通过一个直接的TCP连接 完成。以下的操作过程一步一步地循环建立，在客户端产生一种行为并分析由此 产生的流量。

(1)客户-＞服务器：连接和登录

在下载之前，用户必须指定某些信息，例如用户名，密码，特别是中心服务 器列表。要同一个服务器建立TCP连接，OpenNap协议会发送一个登录信息；该 信息包含用户信息：用户名，密码，监听端口，客户端类型以及连接的线速度。 该阶段建立的流量包含软件名和版本。这些信息可以用来建立ad hoc IDS规则 (规则2)

(2)服务器-＞客户端：对登录信息的响应

要响应一个客户端的的登录请求，服务器返回一个包含有字符串 VERSION<ver>，SERVER<server-name>以及其他内容(例如字符串Welcome和对活 动用户、共享文件的统计信息)的信息。该信息通过多个包传递，因为以太网上 使用的TCP协议限制MSS为1460字节。

<VERSION sw><SERVER name><Welcome>”statistics”<info>

以太网中响应信息的第一个包有着固定的格式，因此可以应用在IDS中，来 识别网络中的OpenNap连接。

(3)客户-＞服务器：共享文件目录

收到服务器的响应后，客户端发送其自身的共享文件目录，格式如下：

<HD:/><Path><Filename>，此类信息也能在IDS规则中用到，目的是显示一 个客户端共享的文件名(规则4)。

(4)客户端-＞服务器：查询请求