经过长期试验，我们发现，很大一部分的P2P流量都同时使用TCP和UDP协议，可是也不排除一些常规业务像IRC 、NETBIOS 、DNS及影视娱乐业务，也同时使用了上述两种协议，并且它们使用的端口是固定的，这些流量我们能根据端口匹配加以过滤，剩下的同时使用了TCP和UDP协议的业务，我们就认定为P2P流量。

 

　　3.5深层数据包检测技术（DPI）

 

　　DPI即深层数据包检测技术，它是基于应用层的“特征字”的检测方法，通过对IP 包头的解析，读取相应的荷载内容。此种方式需要维护一个payload特征库，此特征库可以建立在前人的基础上添加，也可以以人工的方式自动提取。表所示就是一些常用的特征库。根据解析出来的特征码，再加上适当的模式匹配算法，对符合的流量就可判断为P2P流量。典型的DPI技术有如下几类：

 

　　1）应用层网关识别技术。即信令流关联识别规则。在实际的流量中，不少协议业务流和控制流是分开的。其中的数据流是没有明显的特征，所有我们只能应用网关识别技术。具体的识别步骤是这样的：第一步，先识别出控制流，分别经过特殊的应用层网关对控制流协议进行分析，从分析结果中获取对应的数据流。

 

　　2）基于应用层特征字检测技术。根据每个应用对应每个协议的特点，我们分析应用层具有标识和行为交互的数据包开头部分的内容，这些特征我们定义为指纹，可提取的指纹特征为字符串，固定端口和特定的bit序列。随着检测的深入，我们可以对指纹信息进行更新改造，以适应对新P2P应用的检测。像对Bittorrent协议进行反向工程的方式分析，我们发现从握手报文开始，以后都是循环的消息流，其中都有代表消息长度的数字，进一步分析，我们可以观察到首先发送的数字19，其后是字符串”Bittorrent ProTocol”，于是这个字符串就是Bittorrent的关键词。

 

　　3）行为模式的识别技术。此种识别模式是根据节点目前的动作和未来将采取的动作，也就是根据节点已经实施的动作及行为进行判定，一般是通过协议分析无法得到结论的时候，才采取的识别技术。像垃圾邮件业务和一般邮件业务的区分，通常从内容上看都是一样的，可是当我们通过业务行为的分析，才能够区分出谁是垃圾邮件。

 

　　3.6 基于流量特征的检测技术（DFI）

 

　　为了弥补深度数据包检测在加密检测、未知的以及复杂的难以提取特征码的检测的不足，一种新的解决方案被提出，那就是深度流检测技术即DFI，同时也是为了解决DPI技术的频繁升级和无法检测等一系列难题。深度流检测技术，它是基于数据流的行为特征，依据的检测标准是不同的数据流具有不同的行为特征，即根据数据流或会话链接上呈现的不同的行为方式。

 

　　DFI检测的主要步骤分为：首先建立流量特征模型，选取具有代表性的特征；其次根据会话的包长、传输字节的大小、连接速度、包和包发送的时间差等，和建立的流量特征模式进行对比，从而达到检测的目的。根据实际情况，可以选择的特征模型也比较多，下面我们列举一些主要特征：

 

　　1）网络连接数量大。这是对等网络最明显的特征之一，通常处于P2P网络中的节点与其他节点连接数比较多，产生的流的数目也多。相对于一般的应用如Http业务，连接数大就是一个明显的区分条件。

 

　　2）流的持续时间长。P2P软件使用比较多的就是资源共享，并且这些共享资源占用的存储空间也比较大，像一些影视资源、安装软件、游戏、电子资源等，而且一般用户在下载完毕后，还继续保持与其他节点的连接，在对等网络中共享出已经下载好的资源。软件的设计原理就导致了流的持续时间长的特点。

 

　　3）上下行流量的比例大小。正常的网络应用，上下行流量都不对称，往往是上行小于下行，除了我们使用Ftp或其他上传软件，才会导致上行大于下行，可是在对等网络中，另一个明显的特征就是上下行流量是对称，基本上相等的。这也可以作为我们区分P2P应用和常规应用的标准。

 

　　4 结论

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。