论文部分内容阅读
近年来随着P2P应用种类和用户规模迅速增长,互联网所面临的网络拥塞、难于保障QoS等问题显得更加突出。以CERNET天津结点(天津教育城域网)为例,由于大多数终端用户使用静态IP地址和高带宽接入,并且作为用户主体的学生经常使用P2P进行文件下载、流媒体观看、即时通信等,使得P2P流量的影响尤为明显,峰值时会占到整个流量的90%,经常引起链路拥塞,严重影响了其它应用的QoS。有效地检测和控制P2P业务流是合理分配网络带宽和满足非P2P业务QoS要求的基础。本文以天津教育城域网为对象,研究在不改变网络结构、不增加特殊监控设备和尽可能减少对实际通信系统影响的前提下,大规模超高速网络环境中P2P流量的检测与控制的方法及应用的关键技术。本文的主要创新点如下:
(1)针对目前对于大规模城域网P2P流量监控实施成本过高,难于实现10Gbps链路流量检测与控制等问题,提出了一种分布式多粒度P2P流量检测与控制(Distributed Multi-Granularity P2P Traffic Identifying and Controlling,DMGPTIC)方法。在控制方面DMGPTIC根据检测结果通过动态分发控制策略,利用路由器QoS和ACL机制实现对P2P流量的限制。实验证明该方法能够动态地将特定IP地址的流量控制在预定的范围内。在检测方面DMGPTIC通过分析来自路由器的符合IPFIX标准的流测量数据,实现了P2P流量粗粒度检测。利用粗粒度的检测结果能够将需要通过基于载荷特征值检测方法进一步处理的数据从整个链路的流量缩减为由五元组或主机IP地址限定的流量。实验结果表明DMGPTIC方法能够将1Gbps链路需要处理的数据量减少到原来1%~10%。该方法能够用于10Gbps高速网络的P2P流量的检测。
(2)针对目前基于流特征的P2P流量检测方法存在实用性差的问题,提出了基于流特征的P2P流量多粒度检测方法。在粗粒度检测方面,提出了基于NetFlow TCP Flag的P2P流检测(NetFlow TCP Flag based P2P Traffic Identifying,NTFPTI)方法,将流量分为P2P流量和非P2P流量,实验证明该方法可以有效地将检测出约80%的P2P流量。在细粒度检测方面,通过对BitTorrent协议的深入研究,提出了结合流特征提取与SVM技术实现特定P2P应用协议检测的方法,实验证明该方法能够检测出网络中的BitTorrent应用流量。该多粒度检测方法对于大规模网络的P2P流量检测具有较高的实用性,检测结果能够直接应用于流量控制。
(3)基于载荷特征值的P2P流量检测系统保持较高识别率的关键是及时准确地更新特征值库。目前特征值库更新主要通过厂商升级和网络管理员添加两种方式,而厂商升级严重滞后和管理员采用手工方式分析P2P载荷特征值带来的低效率,造成系统识别率持续下降。针对该问题,本文提出了一种基于固定偏移量特征值提取(Fixed Offset Signature Mining,FOSM)方法。该方法通过深度分析P2P数据包应用载荷中出现频率较高的字符串来寻找候选特征值。通过与Allot NetEnforcer同步检测实验结果的对比,证明FOSM能够从P2P流量中提取出了20种主要P2P应用的40多个特征值,同时利用FOSM方法发现了3种Allot未能识别的P2P应用。该方法能够有效地提高载荷特征值库的更新效率,使基于载荷特征值的P2P流量检测系统保持较高识别率。
论文研究的分布式多粒度P2P流量检测与控制DMGPTIC方法已经成功应用于天津教育城域网,并取得了预期的效果。该研究成果可应用于大中型宽带城域网络的P2P流量检测与控制。