P2P以其獨特的技術優勢在這幾年內迅速發展,其應用不斷增長。據統計,P2P應用已占ISP業務總量的60%~80%,躍然成為網絡帶寬最大的消費者。再加上Internet重要性的日益提高和網絡結構的日益復雜,網絡的安全性、可管理性及傳統應用的可用性受到了挑戰。人們意識到越來越有必要對P2P流量和網絡行為進行深入的了解、分析,為監控與管理P2P提供技術支持。
P2P流量現狀
P2P流量特點
相對于傳統Internet業務流量而言,P2P業務流量表現出以下特點:高速傳輸;數據量大;在線時間長;上下行流量對稱;業務點分布廣泛;有固定的流量特征,大多數的P2P流量都有比較固定的特征,如固定的端口號或者是固定的關鍵字。
P2P流量的影響
隨著P2P技術應用的不斷擴展,特別是基于P2P系統的文件共享業務不斷壯大,P2P系統本身潛在的安全問題和對資源,特別是網絡帶寬資源的濫用,已經受到各個網絡運營商和學校網絡管理者的高度重視。在教育網內部Maze應用非常廣泛。僅從清華大學校園網出口的流量監控來看,Maze的流量早已超過了Web等傳統的業務流量,約占整個流量的15%。如圖1所示是經過網絡測量說明的P2P流量的現狀。P2P流量的增加也會給社會帶來一定的負面影響,如版權和安全等方面。
在其他方面P2P流量的增加也會給社會帶來一定的負面影響,如版權和安全等方面。
管理難點
P2P流量管理作為一個新興的網絡管理內容,其難點主要體現在以下三點。
數據采集分析
要對P2P流量進行管理必須解決在線流量檢測問題。如何能夠設計高效的適于硬件實現的實時算法使得線速檢測和過濾成為一個非常困難的問題。同時,網絡設備存儲和處理能力有限,也使得我們需要關注如何讓算法適應網絡流量的動態變化,使能夠檢測到的信息最大化,過濾的效果最大化。這方面涉及到兩個關鍵的要素:高速數據采集處理和海量數據分析處理(用于離線檢測)。
P2P流量識別
對于P2P流量合理有效地識別應該包含如下內容。第一,對P2P流量的特征必須具有良好的分布和可區分性質;第二,識別P2P流量和整個P2P覆蓋網絡,這樣才可能依此提出新的針對于P2P網絡的積極防御模式和機制。
如今很多P2P協議采用動態端口,增加了P2P流量識別的難度。如何采用新的流量分析模型而不是僅僅停留在一些固定的識別方法來對P2P 流量進行更好的識別和監控,是P2P流量管理的重點也是難點。
P2P應用的快速演化
P2P應用在近兩年內經歷著快速變化的過程,由簡單到復雜,由低級到高級。其網絡結構也經歷了由中心控制到全分布的變化。從流量管理和監控的角度來說,早期的P2P應用都是固定的端口號,容易檢測便于管理。后來逐漸發展到動態隨機端口號,一些傳統的檢測方法失去了作用。近期涌現的新型P2P應用越來越具有反偵察的意識,采用一些加密的手法,偽裝Http協議,傳輸分塊等來逃避識別和檢測。如何針對快速演化的P2P應用,根據其不變傳輸特性建立相應的分析模型,提出新的理論框架是現今一個比較有挑戰性的問題。
流量管理基礎理論
信息論
在P2P流量管理中我們經常用到信息論來分析流量。比如利用一些分布變化情況來衡量流量的某個特征的信息量。這種方法常用來描述流量的特征。比如利用熵理論來分析流量特征的變化。
數據挖掘
在數據采集階段我們需要對采集到的數據進行海量數據分析處理,便于離線的分析。這時候就需要用到數據挖掘方面的理論。
對于流量識別來說我們的輸入是輸出流量的特征向量的熵、平均流量、延遲、端口、payload等,而輸出需要判斷出是哪種類型的流量(如Web、FTP、P2P等)。
機器學習
機器學習是關于理解與研究學習的內在機制,建立能夠通過學習自動提高自身水平的計算機程序的理論方法的學科。
在P2P流量管理中,機器學習主要結合數據挖掘的理論用于基于觀測數據(樣本),發現規律,預測新數據,其中有三種機器學習框架:監督學習,所有訓練樣本都有標記;非監督學習,所有訓練樣本都沒有標記;強化學習,延遲標記。
管理方案介紹
為了實現P2P流量的快速識別與管理,Cisco、P-Cube Caspian、Cachelogic、Allot Packeteer、NetApp等公司紛紛推出相關產品,可以將其分為以下四類。
1.網絡緩存設備:研究表明Internet中10%的熱點文件消耗了90%的P2P流量,這就使得利用本地網緩存設備緩存熱點文件以減少網間流量成為可能。
2.應用層流量管理設備:應用層流量管理設備通過DPI掃描分類出流的應用層協議,標識出具體的P2P業務類型,并利用三層shaping技術實施流量控制。
3.流統計狀態路由器:流統計狀態路由器可以在IP層通過統計流量特征的方式識別P2P流,從而可以提取出經過編譯碼的或者是未知的新型P2P流。
4.智能防火墻:智能防火墻可以為企業網P2P監管提供服務,它利用數字簽名技術識別P2P數據,并阻斷未經授權的P2P流。
Cisco NBAR技術
NBAR可以檢測識別各種應用協議,包括使用靜態端口的、非TCP/UDP的IP層協議、使用動態端口的、偽裝其他端口的(采用深度報文檢查,檢查某些位置的字段,不是全部載荷都檢查,又稱為Application Inspection)。NBAR還支持用戶定義的應用,比如使用某個端口等。這樣也可以識別這些應用。
NBAR能夠檢測識別多種P2P協議,并且支持細粒度的檢測,比如識別檢測某種P2P協議中包含某個文件后綴的流,某種P2P協議中包含特定字符串的流。NBAR還包含一個包描述語言模塊(Packet Description Language Module,PDLM),它使NBAR可以動態調入新的協議描述,進而加強NBAR對新協議的檢測能力。
