基于P2P流量检测的签名特征匹配研究
Gnutella命令特征:负载最后以“\r\n”结尾,而且起始数据为:“GET/get/”
Vagaa协议分析:Vagaa和Emule/EDonkey一样也是一种较为流行的P2P软件。它的协议分析如下:
发送请求数据包特征:16进制表示为:78 01 7B DC C9 C0 C0 3F 90 B8 6E 97 E6 35 3E A6 92 73 F3 A5 64 1B 14 F2 77
确认数据包特征:16进制表示:DE AD BE EF
PPLive协议:作为一款流行的P2P在线视频播放软件,通过对PPLive流量的抓取分析,发现PPLive的UDP数据包具有的签名特征,如表5所示。
BitTorrent协议:BitTorrent是非常流行的文档下载软件,通过对BitTorrent的TCP握手信息进行分析,发现其签名特征,如表6所示。
BitTorrent在下载过程中与Tracker服务器进行通信,它采用HTTP协议,通过分析其HTTP流,发现其签名特征:
UDP包特征:UDP长度24字节(含UDP头),起始8个字节为:00 00 04 17 27 10 19 80
TCP包特征:第一字节为0x13,后续数据为:“BitTorrentprotocol”
3 结束语
文中通过对各时期P2P流量检测技术回顾,阐述了流量检测技术的进展,提出一种基于协议签名特征的P2P流识别方法。首先,通过Snif fer软件对数据包进行抓取,并进行特征分析、关键字分析,进行预判;然后,再进行深度扫描,对数据流进行较精确判决,根据流的协议特征和行为特征判决方法,判决规则简单,有利于工程应用,通过实验室小数据测试,实验证明本文提出的识别方式可行。下一步工作,可对签名特征较为分散的数据流进行重组,提取更为准确的签名特征,进行精确判别;另外,随着网络带宽的快速发展,大流量、实时的检测数据流,需要进一步提升抓包、筛选效率和签名特征多模式匹配算法效率。
加入微信
获取电子行业最新资讯
搜索微信公众号:EEPW
或用微信扫描左侧二维码
