企业P2P通信网络检测与防护技术发展

第二阶段：针对批量数据传输流的启发式检测方法

对于灰名单流列表，采用精心设计的启发式方识别该流量是否为批量数据传输或非批量数据传输。通过这样深入分析灰，从而排除所有不需要进行流量整形的交互式会话或低带宽流量。研究人员采用的部分启发式方法包括查找：

• 大容量数据传输流量 —高效的 P2P 技术的设计使得服务器节点可容纳的最小的非完整文件"块"也至少具有数百 Kb(BitTorrent 中的每个块为 256 Kb)。因此，这一技术会关注那些已传输某一预设最小数据量的流量(例如，数百 Kb 的数据)，而忽略那些不那么高效的数据流——总是只传输少量数据。

• 含有数据流量，而非交互式会话的流量 — 交互式会话一般会不时地有双向交换的带有较小载荷的数据包。而数据传输往往是数据包的单向流动，数据包的大小与网络的物理特性或协商好的会话最大分段大小 (MSS) 相当。例如，如果网络流量在服务器-客户端方向有上百个数据包，且大部分数据包为 1412 字节，则流量很有可能属于服务器-客户端批量数据传输，这里1412 字节则是网络路由的最大传输单元 (MTU) 或是对等双方协商好的 MSS。

• 不可打印/二进制响应 — 经过混淆或加密处理的协议自然会包含不可打印(非 ASCII)字符。由于传统的流量整形技术通常会在网络流量的起始处查找签名，而逃避的 P2P 协议通常会在流量开始传输时便对字节进行加密或混淆处理，因此，研究人员在网络流量开始传输时即查找二进制字符。

通过上述第一和第二阶段，McAfee的研究人员可非常精准地明确识别灰名单/未知、不可打印/二进制、长时间(无小数据包)和非交互式/数据流量，并将它们标记为采用了逃避技术的文件传输协议。研究人员将所有类似的网络流量定义为名为"批量数据"的协议族。此时即可选择对上述标记的流量进行速率限制，使其优先级低于"已知良好"协议的指定速率，但高于"已知有害"协议。例如，HTTP 可能被明确归入白名单，Emule这一 P2P 协议则可能被明确归入黑名单。基于速率限制优先级的方案中，"批量数据"这类流量的优先级将低于 HTTP，但高于 Emule。这一算法使网络管理员能够根据网络流量是被列入白名单、黑名单还是灰名单(对于传统检测技术而言"不可见")，来有区别地加以处理。

第三阶段：对于一段时间内多个采用逃避技术的批量数据流的关联检测

本阶段针对 P2P 技术的分散特性。最新的 P2P 技术将文件分成多个块。任何时间点都有多个不同的 P2P 节点正在进行下载和/或共享这些块。出于分散的目的，P2P技术设计为需要一个文件的 P2P 客户端将向不同节点请求不同的块。这一过程显示为某一请求节点针对一批随机目标节点发起一系列网络流量。由于 P2P技术设计为逃避防火墙和流量整形器，则源 IP 地址是为这些流的唯一通用参数。目的 IP、目的端口、源端口等将全部显示为随机参数。同时，流的内容本身也将被混淆或加密。

由于那些批量数据流的混淆特性，McAfee研究人员的检测算法的第一和第二阶段可以轻松捕获它们。而算法的第三阶段，则可对这些"组件"检测基于时间进行关联：

• 基于源的关联 — 通过算法第一和第二阶段识别出的多种流量(未知流量、二进制流量、长时间流量、数据流)，这些流量都来自相同的源 IP。

• 扫描特性/多个不同目的地 — 该算法将从一个给定源 IP 连接到同一目的地的多个流视为一个流。这样可以避免误报，如某一源节点频繁连接同一目标节点(例如，HTTP 浏览器会话、HTTP/ FTP 站点镜像等)。

• 可配置的扫描阈值 — 网络管理员可以对此类流量进行定义，一个源在指定时间段 (P) 内连接多个不同目标发起的流的阈值 (N)，以确定是否属于 P2P 文件传输块请求的离散。也就是说，如果离散点在 (P) 时间段内超过 (N)，则可以将该来源标记为 P2P 文件共享节点。

• 在由第一和第二阶段标记的所有流量如果在第三阶段仍被算法进行标记，该数据流无疑是 P2P 文件传输。对于对这些流量可进行更严格的速率限制。

算法的第三阶段为网络管理员提供了一种可配置阈值的方法，用于识别 P2P 离散点并进一步深入到 P2P 文件共享源。此外，还提供对属于第一阶段和第二阶段确定的灰色区域的协议更加细化的速率限制。

新P2P检测和防护技术的实践

McAfee的研究人员已将该技术集成在入侵防护系统(IPS)产品中，并在已在大型真实网络(企业和开放式大学网络环境)中对这一新技术进行了测试。研究人员首先基于快速人工检查，挑出一些明显属于不可识别的批量数据传输的网络流量。然后使用算法重试了所有这些流量，发现这些流量被百分之百捕获。这实质上验证了此算法实施的正确性 — 它能够检测到所有与"逃避性、长时间批量数据传输"定义相符的流量。研究人员并且集中分析了算法第三阶段捕获的源主机。通过详细的取证分析，确定所有这些源主机都存在涉及使用目前协议识别器并未涵盖的协议的 P2P 活动(准确率 100% 或误报率为 0%)。研究人员同时发现了大量地采用逃避技术的批量数据传输活动 — 根据算法第一和第二阶段，在这些灰色流量中，40% 至 50% 被识别为"采用了逃避技术的批量数据"。换句话说，在大型真实网络网络中，大约有一半的P2P文件传输由于采用了逃避技术使得以往完全不可见得以成为漏网之鱼。研究人员还进行了另一项实验——挑选了包括 BitTorrent、eMule 在内的几种 P2P 协议。在协议识别引擎中不加载针对这些协议的解析，而仅采用新算法进行检测，使用算法的第一和第二阶段，在对 P2P协议不进行识别的情况下，捕获了其中约 84% 至 92% 的长时间批量数据流量。由于BitTorrent、eMule 是最具有代表性的 P2P 技术，这一结果表明，该算法能够捕获 84% 至 92% 以前对设备无法通过签名技术识别从而完全不可见的 P2P 批量数据传输流量。

对于企业而言，结合了网络行为分析的灰名单方法将成为检测和管理 P2P 流量最行之有效的方法。通过上面的介绍，已经说明了这一方法所带来的出色的成效。这种技术使得以往难以检测的却又最占带宽的P2P网络流量无所遁形，为网络管理者提供了亟需的的P2P流量监控和防护功能。