譚紅春，張仁斌

( 1. 合肥工業(yè)大學(xué) 計(jì)算機(jī)與信息學(xué)院,安徽 合肥230009；2. 安徽中醫(yī)學(xué)院 醫(yī)藥信息工程學(xué)院,安徽 合肥230038;)

隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和時(shí)間的推移，從最早出現(xiàn)的USENET和FidoNET[1]這兩個(gè)非常著名的分布式對(duì)等網(wǎng)絡(luò)，到目前我們廣泛使用的P2P(Peer-to-Peer)技術(shù)，對(duì)等網(wǎng)絡(luò)打破了以服務(wù)器為中心的C/S(Client/Server) 傳統(tǒng)模式[2]，充分地利用了網(wǎng)絡(luò)帶寬和分布廣泛的網(wǎng)絡(luò)資源，改變了信息的傳輸方式，減輕了服務(wù)器的負(fù)擔(dān)，比傳統(tǒng)的C/S模型有更強(qiáng)的健壯性、穩(wěn)定性、可擴(kuò)展性,并有較高的性價(jià)比,從而使得P2P的應(yīng)用日益廣泛，流量迅速增長.據(jù)統(tǒng)計(jì)，中國的P2P流量占整個(gè)網(wǎng)絡(luò)流量的比例大約為40%～70%[3].

但是,P2P的大量應(yīng)用也給校園網(wǎng)絡(luò)帶來了不少負(fù)面作用，比如帶寬占用比例不合理、網(wǎng)絡(luò)出口堵塞、網(wǎng)絡(luò)服務(wù)質(zhì)量下降、蠕蟲病毒侵蝕校園網(wǎng)絡(luò)、大量無用的上行流量，這些都嚴(yán)重地影響了校園網(wǎng)絡(luò)中正常業(yè)務(wù)流量的使用和遠(yuǎn)程教學(xué)中關(guān)鍵技術(shù)的普及；再加上目前不少院校尚未實(shí)施相關(guān)的流量管理辦法，所以網(wǎng)絡(luò)管理部門難以有效地控制用戶的網(wǎng)絡(luò)行為和優(yōu)化整個(gè)校園網(wǎng)的流量.

以往的常規(guī)檢測(cè)手段僅采用一種方法，比如早期的基于端口號(hào)[4]的識(shí)別方法和目前廣泛使用的深層數(shù)據(jù)包探測(cè)技術(shù)(DPI)[5]，還有基于流特征[6]的流量識(shí)別技術(shù).本文主要針對(duì)校園網(wǎng)的P2P流量進(jìn)行了研究，提出了一種綜合的、跨層的、分階段的檢測(cè)控制方法，具有良好的擴(kuò)展性和靈活性.實(shí)驗(yàn)證明，這種方法有一定的可行性.

1 P2P流量檢測(cè)與控制技術(shù)

1.1 流量檢測(cè)方法

1.1.1 端口識(shí)別

通過取出數(shù)據(jù)包中源端口或目的端口，對(duì)照常見端口識(shí)別表，識(shí)別出常規(guī)業(yè)務(wù)，然后快速地進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)，這樣做可以減少網(wǎng)絡(luò)延遲、提高轉(zhuǎn)發(fā)速度、降低檢測(cè)帶來的負(fù)面影響.對(duì)識(shí)別不出的數(shù)據(jù)包，則進(jìn)行下面的操作.

1.1.2 DPI技術(shù)

如通過靜態(tài)的端口表無法識(shí)別，則說明這些流量有可能是P2P流量，不同的P2P協(xié)議有著各自的特征字符串，而且這些值都在TCP/UDP載荷開頭的某個(gè)固定位置上，這就需要使用特征字符串來匹配.表1就列出來幾種常見的特征字符串.

表1 常見特征字符串Tab.1 The common feature string

1.1.3 行為檢測(cè)即網(wǎng)絡(luò)直徑分析技術(shù)

通過以上兩種步驟的檢測(cè)，基本上可以檢測(cè)到95%以上的P2P流量，但是對(duì)于采用動(dòng)態(tài)的端口、未知的或加密的P2P報(bào)文[7]，上述兩種方法就無能為力了.那我們就利用P2P節(jié)點(diǎn)既是客戶端又是服務(wù)端的特性，記錄網(wǎng)絡(luò)中的節(jié)點(diǎn)和另外節(jié)點(diǎn)建立連接的情況來計(jì)算其網(wǎng)絡(luò)直徑的大小，與某一預(yù)設(shè)的閾值進(jìn)行數(shù)值判斷，從而來判斷這個(gè)流量是否屬于P2P流量.

1.2 流量控制策略

本文提出的流量控制策略是在網(wǎng)絡(luò)負(fù)載達(dá)到預(yù)設(shè)的上限時(shí)，對(duì)新的P2P請(qǐng)求加以拒絕，而對(duì)于已經(jīng)建立的P2P連接，采用隨機(jī)斷開的策略.對(duì)于所有的P2P應(yīng)用來講，一個(gè)連接請(qǐng)求在一段時(shí)間內(nèi)沒有反應(yīng)則說明連接超時(shí)，P2P軟件就不再跟該目的節(jié)點(diǎn)建立傳輸通道.

設(shè)網(wǎng)關(guān)所最大能承載的P2P傳輸速率為V，這個(gè)速率的取值范圍R∈[0，A]，即我們所允許的P2P流量控制在R內(nèi)，其中A為我們下文配置模塊中的流量上限值.設(shè)網(wǎng)關(guān)對(duì)P2P連接請(qǐng)求的拒絕概率為：

上式中，a為經(jīng)驗(yàn)常量，根據(jù)網(wǎng)絡(luò)狀況可以讓管理員進(jìn)行修改.

當(dāng)前每個(gè)傳輸P2P節(jié)點(diǎn)在之前的Δt時(shí)間內(nèi)累計(jì)流量為Bi(i=1，…，n)，由此計(jì)算出所有節(jié)點(diǎn)累計(jì)流量占總累計(jì)流量的比值Yi：

當(dāng)前每個(gè)節(jié)點(diǎn)P2P速度占總P2P傳輸速度的比值Xi(i=1，…，n)，由此計(jì)算出每個(gè)已經(jīng)建立連接的節(jié)點(diǎn)的斷開概率為Mi：

根據(jù)每個(gè)Mi的值，我們?nèi)〉镁W(wǎng)絡(luò)整形后的隨機(jī)斷開概率pi為：

此數(shù)學(xué)模型描述了兩種情況：首先，對(duì)于新發(fā)起的P2P連接請(qǐng)求，根據(jù)目前的網(wǎng)絡(luò)狀況加以隨機(jī)拒絕，這樣做可以合理地分配各子網(wǎng)的網(wǎng)絡(luò)資源，保障了網(wǎng)絡(luò)的公平性原則.如果單純地加以拒絕，可能會(huì)影響后啟用的P2P應(yīng)用.其次，當(dāng)我們檢測(cè)出的P2P流量達(dá)到預(yù)設(shè)值A(chǔ)時(shí)，不僅對(duì)新的P2P請(qǐng)求加以拒絕，而且對(duì)占用傳輸資源多的P2P通道進(jìn)行強(qiáng)制斷開，從而保證網(wǎng)絡(luò)通暢.

2 算法及現(xiàn)網(wǎng)試驗(yàn)

2.1 流程圖的提出

根據(jù)以上分析，得出流量檢測(cè)及控制流程如圖1所示.

圖1 流量檢測(cè)及控制流程Fig.1 Flow chart of traffic monitoring and controlling

2.2 系統(tǒng)設(shè)計(jì)與討論

本系統(tǒng)涉及數(shù)據(jù)包的采集[8-10]和存儲(chǔ)、流量檢測(cè)、流量控制三個(gè)步驟.系統(tǒng)使用的開發(fā)軟件是PHP+MYSQL，運(yùn)行在Windows平臺(tái)上.本軟件包含兩大模塊內(nèi)容，一是各模塊的初始化數(shù)據(jù)，包括流量上限、常見端口、特征比特串、網(wǎng)絡(luò)直徑閾值和流量控制5個(gè)配置模塊數(shù)據(jù).其中,流量上限模塊的設(shè)置，可根據(jù)校園網(wǎng)的實(shí)際情況進(jìn)行合理設(shè)置其值的大??；常見端口的配置，輸入一些公認(rèn)端口，比如http服務(wù)的80端口，ftp服務(wù)的21端口等；特征比特串的配置，盡可能地輸入所有目前發(fā)現(xiàn)的特征值，比如迅雷的特征值“POST/HTTP/1.1”，BT的特征值“0x13B itTorrent”等一些特征值；其他的設(shè)置可根據(jù)管理員的經(jīng)驗(yàn)和現(xiàn)網(wǎng)試驗(yàn)的方法進(jìn)行配置.二是流量實(shí)時(shí)查看模塊，可以觀察當(dāng)前各用戶的實(shí)時(shí)流量.圖2顯示的是本軟件的實(shí)時(shí)流量監(jiān)控表.

此算法實(shí)現(xiàn)的原理是首先根據(jù)內(nèi)網(wǎng)狀況判斷是否采取控制策略,如果流量達(dá)到配置上限，即先用端口識(shí)別技術(shù)來檢測(cè)出常規(guī)業(yè)務(wù)，進(jìn)行快速轉(zhuǎn)發(fā).其次,對(duì)含有P2P的數(shù)據(jù)流再比對(duì)特征值來加以判別，然后對(duì)于加密的未知的P2P流，再通過節(jié)點(diǎn)的網(wǎng)絡(luò)直徑來判斷.最后，對(duì)檢測(cè)出來的P2P流量進(jìn)行上文提到的流量控制策略.

圖2 軟件系統(tǒng)截圖Fig.2 The system interface

3 實(shí)施策略前后網(wǎng)絡(luò)狀況

一般校園網(wǎng)網(wǎng)絡(luò)的特點(diǎn)是：上網(wǎng)高峰期在早上8點(diǎn)到晚上6點(diǎn)，下午時(shí)間明顯感覺網(wǎng)速緩慢.圖3為校園網(wǎng)實(shí)時(shí)觀測(cè)圖，可看出在上網(wǎng)高峰期這個(gè)時(shí)段，其中P2P流量在80 Mbit/s上下波動(dòng)，占總出口流量的50%以上，這嚴(yán)重影響了其他正常的業(yè)務(wù)流量.在上午10點(diǎn)至下午2點(diǎn)開啟測(cè)試軟件，實(shí)施控制策略,如圖4所示,可以看出，經(jīng)過控制后的P2P流量明顯下降，在25 Mbit/s上下波動(dòng)，占總出口的16%左右，其他業(yè)務(wù)流量明顯增加，總流量在減少，網(wǎng)絡(luò)狀況良好.當(dāng)撤銷策略后，網(wǎng)絡(luò)情況又恢復(fù)到以前的狀態(tài).

圖3 未加控制的流量Fig.3 Flow chart without control

圖4 經(jīng)過控制后的流量Fig.4 Flow chart under control

4 結(jié) 語

目前，P2P流量在校園網(wǎng)網(wǎng)絡(luò)流量中占很大比例，必須采取一定手段加以控制.本文通過P2P應(yīng)用系統(tǒng)的3個(gè)典型特征提出了一種綜合檢測(cè)方法，并加以隨機(jī)拒絕或強(qiáng)制斷開來保障網(wǎng)絡(luò)的服務(wù)質(zhì)量，還可以對(duì)檢測(cè)模塊進(jìn)行升級(jí)，增加新的檢測(cè)引擎以識(shí)別新型業(yè)務(wù).同時(shí)，本系統(tǒng)還存在待研究和擴(kuò)展之處，即沒有分時(shí)間段來控制流量，沒有按用戶級(jí)別來分配流量權(quán)限以及沒有生成評(píng)價(jià)體系等.

參考文獻(xiàn)：

[1] 周文莉,吳曉非. P2P技術(shù)綜述[J].計(jì)算機(jī)工程與設(shè)計(jì),2006(1):57-59.

[2] 余浩,徐明偉. P2P流檢測(cè)技術(shù)研究綜述[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版，2009,49(4):616-620.

[3] 刁文廣,海洋,李蒙. P2P流量監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].洛陽理工學(xué)院學(xué)報(bào)：自然科學(xué)版, 2010,20(2): 40-43.

[4] 顏凱. 校園網(wǎng)P2P流量監(jiān)控技術(shù)分析[J].電信快報(bào), 2010(1):38-42.

[5] 戴強(qiáng),張宏莉,葉麟. 基于行為特征的P2P流量快速識(shí)別[J].微計(jì)算機(jī)信息,2009,25(1):209-210.

[6] 陳亮,龔儉. 江蘇省域網(wǎng) P2P流量現(xiàn)狀與測(cè)量方法[J].中國教育網(wǎng)絡(luò),2008(2):40-41.

[7] 蔣一波,王萬良. 一種基于網(wǎng)絡(luò)測(cè)量的P2P流量智能控制算法[C].中國人工智能學(xué)會(huì)第12屆全國學(xué)術(shù)年會(huì)論文匯編,2007:325-330.

[8] 李峰. 校園網(wǎng)中P2P流量監(jiān)管與控制[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2008(3):75-76.

[9] 張昊. 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)包捕獲技術(shù)淺析[J].合肥學(xué)院學(xué)報(bào)：自然科學(xué)版, 2009,19(2):47-49.

[10] 程燕. 基于Windows系統(tǒng)的數(shù)據(jù)包捕獲技術(shù)研究[J].計(jì)算機(jī)與數(shù)字工程,2009,37(11):99-102.

[11] 魯文斌,楊家海,劉洪波. 基于節(jié)點(diǎn)連接模式的P2P節(jié)點(diǎn)識(shí)別算法[J].清華大學(xué)學(xué)報(bào)：自然科學(xué)版, 2009,49(7):1045-1049.

[12] 陸慶. 對(duì)等網(wǎng)絡(luò)流量檢測(cè)技術(shù)[J].電子科技大學(xué)學(xué)報(bào), 2007,36(6):1333-1337.