收藏
下载资源 加入VIP免费专享

Skype流量识别研究.doc

上传人:scccc 文档编号:11181596 上传时间:2021-07-10 格式:DOC 页数:11 大小:34KB
返回 下载 相关 举报
Skype流量识别研究.doc_第1页
第1页 / 共11页
Skype流量识别研究.doc_第2页
第2页 / 共11页
Skype流量识别研究.doc_第3页
第3页 / 共11页
Skype流量识别研究.doc_第4页
第4页 / 共11页
Skype流量识别研究.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

《Skype流量识别研究.doc》由会员分享,可在线阅读,更多相关《Skype流量识别研究.doc(11页珍藏版)》请在三一文库上搜索。

1、Skype流量识别研究18一通信一热=点一不需要对静荷部分的检查.2.1P2P的流量识别根据P2P的连接行为特征,采用两种识别算法结合使用的方法来识)JP2P流量.2.1.1TCP/UDPIP对大多数P2P软件会在两个通信的lP之间同时使用TCP和UDP传输协议.利用P2P的这种特性,对每个lP对(源IP,目的IP)之间的联系进行统计,若发现某lP对之间同时使用7TCP,UDP两种传输协议,则此lP对之间很可能在进行P2P的应用.在这个方法的使用中,需要考虑将DNS应用排除.DNS应用在通信时也会出现两个IP之间同时使用TCP和UDP传输协议的特征,我们可以根据它的通信双方均使用53端口的特征

2、来加以排除.2.1.2(1PPORT)对(IP,Port)对的流统计方法,是针对第三代P2P网络结构提出的根据P2P用户连接特性的进行识别的方法:P2P软件在连接网络的过程中,用UDP数据包对外进行连接协商,因此在P2P用户登录过程中,会针对许多不同的目的地址发送UDP数据包.第三代P2P软件普遍采用随机端口,不同的目的地址所对应的目的端口往往不相同.因此我们可以统计0P,Port)对使用UDP包联系的目的地址和目的端口,如果在一定时间内,对外联系的目的地址达到一定数量,且目的地址和目的端口的数量相差比较小,则认为所统计的(IP,Port)对正在进行P2P通信.在实际应用时,我们统计5S内UD

3、P包联系的lP地址和目的端口,如果联系的lP地址达到3个,且所使用的端口不完全相同,则可以初步判断所统计的(1PIPort)对正在进行P2P通信.在(1P,Port)对的识别方法中需要考虑排除MAlL和GAMlNGANDSTREAMlNG的应用.这两种应用在通信时也具有上述(IP,Port)对特征,根据以下各自特征可以口的方法来排除,但是它和同-IP地址通信的数据包长度往往是相同的.2.2Skype的流量识别基于第三代P2P网络结构的Skype协议将用户结点分为普通结点(UserNode)和超级结点(SuperNode).超级节点是Skype网络中具有特殊功能的节点,是普通UN的连接终点,接受

4、并受理普通UN行为请求以及和其他超级节点进行信息交互,同时也具有普通用户客户端的功能.Skype客户端在登录的过程中需要和超级结点SN联系,发送多个长度为18,11和32的UDP数据包与SN进行连接信息协商.我们对这几种长度的数据包出现的频率和时间进行分析后发现,统计长度为18的UDP数据包的个数可以有效的识)JSkype.实验表明对于已判断为P2P的(1P,Port)对,统计5s内对外联系的长度为18的UDP数据包的个数,如果发现这样的数据包个数超过54,则认为此P2P应用类型为Skype.2.3PCPhone的流量识别在识别出某0P,Port)E_在进行Skype通信之后,要判断此(1PI

5、Port)对的通话类型,首先要判断此(1PPort)何时开始通话,然后再判断是PCPhone的还是PCPC的通话.2.3.1判断0P,Port)对是否在进行Skype通话Skype在登录连接后,如果不进行通话,其对外联系的数据包较少,通常只有少量的TCP数据包保持对外连接.而通话开始后,则会发送大量UDP数据包来传输通话内容.因此,在判断0P,Port)对在登录使用Skype的前提下,监测0P,Port)对的对外发送接收UDP数据包的流量情况.在正常Skype通话的情况下,PC-Phone的UDP发送间隔约为0.020ms,PC-PC的UDP发送间隔约为0.014ms.如果监测发现(1P,Po

6、rt)对外发送接收的UDP数据包->20个,s,则可以判定Skype通话开始.2.3.2判断PCPhone通话Skype在进行PCPhone通话,PC-PC通话和文件共2007.8广东通信技术圆1920通信热点享时虽然都使用UDP来传输信息,但所使用的UDP数据包的长度不同,其分析数据如表1所示.表1Skype不同通信类型数据包长度统计表所以我们只要统计Skype_话过程中的UDP数据包的平均长度,即可分辨正在进行的通信类型.通过实验检测,我们发现统计时长O.5s内的UDP数据包长度,能快速且有效的判断出通信类型.从而区分PCtoPhone的Skype通话.3Skype的识别算法根据以上

7、方案,制定具体skype识别的算法.3.1识IJP2P先介绍识别过程中需要维护的几个记录集:记录集名记录形式记录集含义IPSsetsiP,diP)记录被识别为P2P通信的源目IP对NonlPSsetsiP,diP)记录被识别为非P2P通信的源目IP对IPPortsetIP,Port)记录被识别为P2P的(IP,Port)对NonlPPortsetIP,Port)记录被识别为非P2P通信的(IP,Port)对MailServerListiP)记录被识别为MailServer的IP地址for(allpackets)r先用TCP/UDPIP对法判断,if(siP,diP)在IPSset确认为P2P应

8、用returnTRUE;elself(1sDNs=TRuE)r检查源目端口号,排除DNS的应用,将(siP,sPort)和(dIdPort)加至NonIPPortsetreturnFALSE;elseif(siP,diP)在NonlPSsetreturnFALSE;else统计其siP,diP之间使用协议信息if(slP,dlP)_闻同时使用?TCP,UDP将(sIPdIP)加至IPsset中将所对应的所有(IP,Port)对J!:lJlPPortsetReturnTRUE;else继续统计(siP,diP)%间的协议使用信息,并使用IP/Port法继续判断r用(IP,Port)对法判断,if

9、(siP或diP在MailServerList)returnFALSE:if(siP,sPort)或(dlP,dPort)在IPPortset将(siP,sPort)和(dlP,dPort)均加至IPP0rtset中将(sIdIP)加至IPsset中returnTRUE;elseif(siP,sPort)或(dlP,dPort)在NonlPPortset将(siP,sPort)和(dlP,dPort)均加至NonIPPortset中将(sIdIP)加至NonIPsset中returnFALSE:else统计(siP,sPort)和(dlP,dPort)5sl的对外连接IP和Port的情况if(

10、对外连接IP数>=3)并AIdlPs-dPortsl<2if(IsMailserver=TRUE)r检查源目端1:3号,排除MailServer应用,将IP加至MailServerList;returnFALSE;elself(1sMa1ware=TRUE)检查统计数据包的长度,排除Malware应用,将(sIP,sPort)和其所连接的所有(dIP,dPort)均加至NonlPPortsetreturnFALSE;else,确认为P2P通信,将IP,Port及所有连接的dIdPort加至IPPortset中将slP,dlPJ至IPSset中returnTRUE:elseif(对外

11、连接IP数>:3)并AIdlPs-dPortsl>=2将slEsPo及所有dIP,dPort加至NonIPPortset中将slP,dlP17至NonlPSset中returnFALSE;else继续统计连接IP和Port的信息)3.2识lJSkype识别过程中需要维护的几个记录集:记录集名记录形式记录集含义SIPPortsetIPort)记录识别为skype应用!(IP,Port)对SNonIPPortsetIP,Port)记录识别为非skype应用!(IP,Port)对if(sIPsPort)或(dlP,dPort)在SIPPortset将(siP,sPort)和(dlP,dP

12、ort)均加至sIPPortset固圆困困skype流量识别研究lreturnTRUE;if(TCP/UDP法识别出的P2P)if(siP或diP使用同-TCP/UDP端口)将slP,sUDPPort和dIPdUDPPort加至SIPPortsetreturnTRUE:else将sfPsUDPPort和dIPdUDPPort加至SNonIPPortsetreturnFALSE;elseif(IP/PORT法识别出的P2P)统计5sl(IP,Port)对外联系的长度为18的数据包个数_f(个数>=5)IPPort加至SIPPortsetreturnTRUE:elseif(统计时间超过20s

13、仍未判断是Skype)则认为此应用为Skype,将(IPPort)加至SNonIPPortsetreturnFALSE=else继续统计数据包:returnFALSE:3.3识IJPC-Phone通话的算法统计0.5Slskype通话过程中IP,Port对的UDP数据包长度,并计算平均数据包长._f(平均数据包长<45)为PCPhone通话returnTRUE:elseif(平均数据包长<300)为PCPC通话returnFALSE;else为文件传输returnFALSE;4Skype识别方法的实验验证为了验证本文提出的识别模型,我们设计了一个验证系统,利用RAW_SOCKET截

14、获流经本机的所有IP数据包,将所有IP数据包报头基本信息写入数据库,为了便于验证识别结果的正确性,将部分静荷信息也写入数据库,按本文提出的基于流统计特征的Skype-层识别策略,实现Skype及PCPhonenPCPC流量的识别,从而对本文提出的算法进行了验证.(1)测试环境本地测试环境,WindowsXP操作系统,实验室局域网环境,使用验证系统进行流量分析,除网络中正常应用外,运行Skype,Emule,Kazza几种P2P软件.由于检测速度的原因,本实验系统采用非实时检测,先将捕获到的数据包信息存储至数据库中,再对数据库中的记录进行检测识别.为了方便统计数据,只保存对实验室局域网内IP地址

15、的统计数据.其中Skype的电话是局域网内两个主机之间的通话.在其中一台主机上同时运行Kazza?Emule软件,用以区分识fJP2P协议.(2)测试结果分析正确识别率(precision)在Skype软件应用中被验证系统正确识别出的Skype通信数据所占的比率.在局域网环境下,单独运行Skype软件并模拟网络行为进行多次登录,拨号及通话来检测此验证系统对Skype流量的正确识别率,约为86%,测试数据如表2所示.表2Skype正确识别率测试数据负误lJ(falsenegative)在Skype软件应用中未被验证系统正确识别出来的Skype通信数据所占的比率.实验检测结果约为14%,被验证系统

16、丢失的Skype通信的数据主要为连接过程中的数据包,测试数据如表3所示.表3Skype负误判测试数据炎,统计数捌时TO1AIN【7266lI906151,1SKYPENUM62525l9061882O,SKYPFMl0l36l906,t6i5正误lJ(falsepositive)其它i:ESkype软件应用被验证系统误判为Skype的通信数据所占比率.测试时只运行除了Skype以外的其它网络软件,包括Skype,Emule,KaZZa,BT,迅雷,MSN,QQ,快车FIashGet,Gnutella等软件,并模拟网络行为进行多次登录,通讯和下载来检测验证系统的负误判,约为2.5%,测试数据如表

17、4所示.表4Skype正误判测试数据类犁统计数据TOTALNUM2l6003SKYPENUM5406国圆圆固I212007.8广东通信技术I固圈困圆通信热点识别时间:从某(IP,Port)对开QSkype的连接通信到检测出此(IPIPort)为Skype应用的时间约为400ms,测试数据如表5所示.表5Skype识别时间测试数据PC-Phone通话类型的识别率:在正确识USkype的情况下,验证系统对PC-Phone通信类型区分的正确率约为90%,测试数据如表6所示.表6SkypePC-Phone通话识别率测试数据类型SKYPENUMPCPH0NENUM统计数据1371265结束语本文分析P2

18、P流量的识别,针对Skype的通信机制提出了一个基于流统计特征的分析方法模型来识USkype,并设计验证系统对本文提出的模型进行了实验验证.此实验模型不仅能有效地识别P2P应用,并且能很快识别出Skype的应用,对Skype的通话类型进行区分,以便可以采取措施对PCtoPhone的VOIP通话进行控制或者计费.有助于P2P网络技术以及P2P网络流量识别与管理的研究.对于P2P网络技术研究人员,可以更好地提高P2P网络的可靠性以及资源利用的合理分配,提供用户满意的P2PfjE务;对于网络管理人员可以有助于其对P2P网络流量进行有效的管理与控制;对于传统电信运营商,可以对Skype应用进行有效的控

19、制.另外,本文所提出的Skype识别模型具有很好的可扩展性,如在第一层识JP2P流量时,对_P2P流量可根据其通信特征进行网络应用类型的区分.在现有模型中只对DNS,Mail,Gaming等流量作出了区分;在第二层识USkype流量时,对其它_Skype的P2P流量,可分析其协议特征并加以区分.本实验模型利用Skype的传输层特征进行识别,虽然算法比较简单可行,但其识别率还不能达到在网络中实际应用的要求,需要进一步研究与其它方法结合的算法来提高识别率.参考文献1ThomasKaragiannis.AndreBroido,MichalisFaloutsos,andkcclaffy.Transpo

20、rtLayerIdentificationofP2PTraffic.InternationalMeasurementConference,Taormina,Italy,0ct.2004.2YimingGong.P2P报文辨识与分析3BasetSA,SchrulzrinneH.AnanalysisoftheSkypepeer-to-peerInternettelephonyprotocolR.NewYork:ColumbiaUniversityTechnicalReportCUCS-039-04,2004.4SSen,O.Spatscheck,andD.Wang.Accurate,scalabl

21、ein-networkidentificationofp2ptrafficusingapplicationsignatures.ProceedingsofWorldWideWebConference,NY,USA,May2004.5Mong-FongHorng;Chun-WeiChen;Chin-ShunChuang;Cheng-YuLin.IdentificationandAnalysisofP2PTraffic-AnExampleofBitTorrent.InnovativeComputing,InformationandControl,2006IClClC06.FirstInternationalConferenceonVolume230-O1Aug.2006Page(s):266-269.6Constantinou,F:Mavrommatis,PIdentifyingKnownandUnknownPeer-to-PeerTrafficNetworkComputingandApplications,2006.NCA2006.FifthIEEEInternatioalSymposiumon24-26July2006Page(s):93-1O27SkypeExplained.http:Hw,A,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 社会民生


经营许可证编号:宁ICP备18001539号-1