摘要：P2P網絡應用快速發展，帶來網絡安全防護漏洞和隱患。如何有效地監控P2P流，進行相關的流識別、流篩選、流控制是流管理中的重要問題。通過分析P2P協議及簽名特征，提出一種基于簽名特征的P2P流分析方法，通過實驗分析相關P2P應用軟件，得到相關軟件的簽名特征，并判斷網絡數據流是否為P2P流。可有效地提高P2P流識別的效率，解決檢測信息過多、過濾信息性能瓶頸等問題。
關鍵詞：P2P網絡；流量檢測；簽名特征

近年來，網絡技術快速發展，特別是對等網的迅速發展已經成為業界關注的焦點之一，基于P2P網絡之上的相關應用正逐漸占據互聯網應用的重要地位，并被視為未來網絡技術發展的主要趨勢，相對于傳統網絡，對等網依靠非中心節點、分布式結構模型，實現對等協作和資源共享，并具有自組織、容錯性強、可擴展以及負載均衡等優點，但P2P是通過組播方式進行通信，它允許單個用戶未經授權或檢驗而任意分發內容，其傳播范圍廣，穿透性強，帶來網絡安全防護漏洞和隱患。如何有效地監控P2P流，進行相關的流識別。流篩選、流控制是流管理中的重要問題。
早期的P2P應用都是固定的端口號，容易檢測便于管理，近年來，該應用逐漸發展到動態隨機端口號，而且近期涌現的新型P2P應用越來越具有反偵察的意識，并采用了一些偽裝或加密的方法，如：偽裝Http協議、加密、傳輸分塊等來逃避識別和檢測，這些技術使得P2P流識別變得更為困難。目前，P2P應用快速發展和變化，新的P2P應用不斷出現，其結構更為復雜，應用領域也更為廣泛，隨著網絡帶寬的不斷拓展，單位時間的流量將更為龐大，而P2P流識別必須解決單位時間內在線監測分析的問題，這將給數據的采集、監測、分析帶來更多困難。如何讓識別算法適應網絡流量的快速發展，使得監測的信息最多，過濾效果最好，也是當前急需解決的問題。

1 P2P流量檢測的識別方法
1．1 端口識別檢測方法
早期，P2P流識別主要采取的是端口識別和數據包檢測方法，Madhukar等對端口識別法的有效性進行了研究，并采用實際數據觀察。研究表明，端口識別法對網絡中的數據流50％～70％無法有效識別。
1．2 統計特征的方法
基于協議和統計特征的方法是一類重要的P2P流識別方法，如Constantinou提出了網絡直徑分析法，通過記錄網絡中每個節點與其他節點建立連接的情況得到鏈接的邏輯拓撲圖，并轉換為網絡直徑，如網絡直徑超過某個門閾值，可認為該網絡為P2P網絡。Thomas Karagiannis等提出了協議和地址端口分析方法，P2P系統通常采用UDP來發送命令等控制信息，TCP協議來傳輸數據。傳統網絡的應用軟件，很少出現同時使用UDP協議和TCP協議，如有同時使用兩種協議可認為是P2P流。
1．3 檢測協議特征的方法
數據包協議特征檢測方法主要用于入侵檢測，根據預定義的協議特征辨別其應用類型，當前許多P2P應用識別方案都基于這種方法。通過TCP／IP層之上的應用層協議分析軟件進行流量分析和特征分析，監控并找出其協議特征碼，以下就是各種不同的P2P網絡協議的特性：