專利名稱::一種基于協(xié)議分析的p2p流量識(shí)別方法
技術(shù)領(lǐng)域:
:本發(fā)明是針對(duì)P2P流量識(shí)別方法的研究,提出了一種基于協(xié)議分析的P2P流量識(shí)別方法。通過(guò)對(duì)P2P應(yīng)用程序中用到的協(xié)議的分析,得到針對(duì)該協(xié)議的特定模式,并將這個(gè)模式設(shè)計(jì)成規(guī)則,補(bǔ)充到IDS中。涉及新一代通信網(wǎng)絡(luò)業(yè)務(wù)識(shí)別
技術(shù)領(lǐng)域:
。
背景技術(shù):
:自上世紀(jì)90年代以來(lái),P2P在網(wǎng)絡(luò)中的應(yīng)用越來(lái)越廣泛,P2P應(yīng)用也開(kāi)始多元化。P2P流量在因特網(wǎng)總流量中占據(jù)了極其重要的地位。而且,對(duì)于P2P應(yīng)用的關(guān)注也越來(lái)越多。因此,在很多情況下,對(duì)P2P流量的檢測(cè)是十分必要的。上世紀(jì)90年代,對(duì)P2P流量檢測(cè)是很容易的,因?yàn)楫?dāng)時(shí)P2P協(xié)議使用特定應(yīng)用的TCP或UDP端口號(hào)。然而,許多P2P應(yīng)用開(kāi)始使用隨機(jī)端口號(hào)來(lái)逃避檢測(cè),如今,P2P應(yīng)用軟件甚至可以通過(guò)偽裝源流量以逃避檢測(cè)。對(duì)P2P流量特征的早期研究主要集中在默認(rèn)網(wǎng)絡(luò)端口的尋址上。有的文獻(xiàn)提出了針對(duì)多數(shù)P2P應(yīng)用的簽名方法。然而,這些研究并沒(méi)有提出它們對(duì)各自簽名的精確性、規(guī)模以及健壯性的評(píng)價(jià),沒(méi)有強(qiáng)調(diào)所采用的方法,也沒(méi)有考慮相關(guān)協(xié)議?;诹髁糠诸?lèi)的簽名主要用在入侵和異常檢測(cè)的網(wǎng)絡(luò)安全環(huán)境中。
發(fā)明內(nèi)容技術(shù)問(wèn)題我們提出了識(shí)別P2P流量的一種方法。該方法基于以下歩驟分析相關(guān)協(xié)議;通過(guò)對(duì)IP包的分析,得到針對(duì)某種P2P協(xié)議的模式;把這種模式編寫(xiě)成可以填充到IDS中的規(guī)則;利用這種有效的IDS對(duì)得到的識(shí)別模式進(jìn)行網(wǎng)絡(luò)檢測(cè)。注意,采用這種類(lèi)IDS方法不會(huì)給網(wǎng)絡(luò)造成任何延遲,只是在它建立位置的監(jiān)測(cè)點(diǎn)上有少量花費(fèi)。另外,此方法也可以加以擴(kuò)展,以便能夠分析那些可以對(duì)流量進(jìn)行加密的P2P協(xié)議。該P(yáng)2P流量檢測(cè)工具已經(jīng)成功配置,現(xiàn)在在一個(gè)局域網(wǎng)中得到應(yīng)用。技術(shù)方案本發(fā)明提出了一種基于協(xié)議分析的P2P流量檢測(cè)方法。該方法適用于0penNap,WPN和FastTrack協(xié)議,應(yīng)用在WinMx和KaZaA中。一旦發(fā)現(xiàn)針對(duì)相關(guān)協(xié)議的特定模式,就能夠?qū)⒑线m的規(guī)則填入IDS中,以識(shí)別這種模式。在我們給出的例子中,我們按照SNORT規(guī)則標(biāo)識(shí)特定模式。以WinMx為例,介紹0penNap的識(shí)別方法。1.協(xié)議分析OpenNap協(xié)議基于一系列中央服務(wù)器所有要加入0penN鄰網(wǎng)絡(luò)的客戶端都要與其中一個(gè)服務(wù)器建立一個(gè)TCP連接。一個(gè)中央服務(wù)器維護(hù)著用戶共享的文件列表,但卻并不存有任何文件。和C/S模式一樣,每個(gè)用戶都可以向服務(wù)器詢問(wèn)哪些端存儲(chǔ)有請(qǐng)求文件,但下載的過(guò)程卻是端與端之間通過(guò)一個(gè)直接的TCP連接完成。以下的操作過(guò)程一步一歩地循環(huán)建立,在客戶端產(chǎn)生一種行為并分析由此產(chǎn)生的流量。(1)客戶一〉服務(wù)器連接和登錄在下載之前,用戶必須指定某些信息,例如用戶名,密碼,特別是中心服務(wù)器列表。要同一個(gè)服務(wù)器建立TCP連接,OpenNap協(xié)議會(huì)發(fā)送一個(gè)登錄信息;該信息包含用戶信息用戶名,密碼,監(jiān)聽(tīng)端口,客戶端類(lèi)型以及連接的線速度。該階段建立的流量包含軟件名和版本。這些信息可以用來(lái)建立adhocIDS規(guī)則(規(guī)則2)(2)服務(wù)器-〉客戶端對(duì)登錄信息的響應(yīng)要響應(yīng)一個(gè)客戶端的的登錄請(qǐng)求,服務(wù)器返回一個(gè)包含有字符串VERSI0N〈ver〉,SERVER〈server-name〉以及其他內(nèi)容(例如字符串Welcome和對(duì)活動(dòng)用戶、共享文件的統(tǒng)計(jì)信息)的信息。該信息通過(guò)多個(gè)包傳遞,因?yàn)橐蕴W(wǎng)上使用的TCP協(xié)議限制MSS為1460字節(jié)?!碫ERSI0Nsw〉〈SERVERname〉〈Welcome〉"statistics"<info>以太網(wǎng)中響應(yīng)信息的第一個(gè)包有著固定的格式,因此可以應(yīng)用在IDS中,來(lái)識(shí)別網(wǎng)絡(luò)中的0penN邵連接。(3)客戶一〉服務(wù)器共享文件目錄收到服務(wù)器的響應(yīng)后,客戶端發(fā)送其自身的共享文件目錄,格式如下<HD:\〉〈Path〉〈Filename〉,此類(lèi)信息也能在IDS規(guī)則中用到,目的是顯示一個(gè)客戶端共享的文件名(規(guī)則4)。(4)客戶端-〉服務(wù)器査詢請(qǐng)求為向服務(wù)器提交請(qǐng)求,用戶必須填寫(xiě)WinMx圖形界面的一個(gè)表格,其中包含幾個(gè)有關(guān)請(qǐng)求文件的關(guān)鍵字服務(wù)器將利用這些關(guān)鍵字査詢目錄。服務(wù)器事實(shí)上是返回文件名中包含這些關(guān)鍵字的文件。其他搜索原則可以指定為像存儲(chǔ)端性能等的信息。客戶端向服務(wù)器發(fā)送的請(qǐng)求格式如下〈FILENAMECONTAINS"criteria-words"〉〈UNESPEED〉〈adjectives〉〈line-type〉這種消息結(jié)構(gòu)也可以用來(lái)書(shū)寫(xiě)檢測(cè)0penNap的IDS規(guī)則(規(guī)則4)。(5)服務(wù)器-〉客戶端査詢響應(yīng)響應(yīng)要返回一個(gè)滿足所有査詢條件的所有文件列表。除了文件名,列表中的元素還要包含存儲(chǔ)端的IP地址,完整的最短路徑,文件的格式,文件大小,還有其他文件類(lèi)型信息(例如比特率,一個(gè)MP3文件的頻率和持續(xù)時(shí)間)。服務(wù)器的響應(yīng)格式如下〈path\filenameXOO..>〈size〉<bitrate>可以發(fā)現(xiàn),服務(wù)器并沒(méi)有對(duì)返回列表進(jìn)行過(guò)濾列表中含有名字中包含查詢字的所有文件。所有的查詢優(yōu)化條件(例如文件類(lèi)型是.iso,.mpe,.doc,)都是由請(qǐng)求端完成的。(6)客戶端-〉服務(wù)器下載通知客戶端收到服務(wù)器響應(yīng)后,WinMx圖形界面上就會(huì)顯示服務(wù)器提供的列表。如果用戶選擇了其中的一個(gè),客戶端就進(jìn)入了對(duì)該文件的下載請(qǐng)求階段。第一個(gè)操作是產(chǎn)生一個(gè)發(fā)往中心服務(wù)器的具有如下格式的信息〈storing_nickname>〈path\filename>(7)服務(wù)器-〉客戶端存儲(chǔ)端完整的IP地址對(duì)下載通知的響應(yīng)是一條能夠唯一識(shí)別存有請(qǐng)求文件的端的完整地址請(qǐng)求端能夠與其建立連接的IP地址和端口號(hào)。完成上面7步,接下來(lái)就進(jìn)入了文件下載階段。當(dāng)一個(gè)存儲(chǔ)端處在一個(gè)有防火墻保護(hù)的網(wǎng)絡(luò)中時(shí),該協(xié)議就與沒(méi)有防火墻保護(hù)時(shí)不同。因此,我們兩種情況都要考慮。一方面,沒(méi)有防火墻保護(hù)的端可以接受任何進(jìn)入的TCP連接。另一方面,如果一個(gè)客戶端被防火墻保護(hù),防火墻可能阻止所有進(jìn)入的TCP連接(包括文件下載)。為解決這個(gè)問(wèn)題,兩端要借助于服務(wù)器。由服務(wù)器通知有防火墻的端與請(qǐng)求端建立TCP連接有防火墻的端向請(qǐng)求端建立"被動(dòng)連接",同時(shí)也是文件的上傳端。TCP連接一旦建立,防火墻就被繞過(guò),也就可以進(jìn)行文件傳輸了。但如果兩端都有防火墻保護(hù),那么文件交換就是不可能的。(1)沒(méi)有防火墻的下載沒(méi)有防火墻,請(qǐng)求端就可以與存儲(chǔ)端建立直接的TCP連接,利用從服務(wù)器傳回來(lái)的IP地址。3次握手以后,存儲(chǔ)端將發(fā)送一個(gè)包含值"1"的字節(jié)。請(qǐng)求端收到這個(gè)字節(jié)以后,將返回一個(gè)包含單詞"GET"的字節(jié)串,其后是請(qǐng)求文件的文件名及下載點(diǎn)的偏移量。這次信息交換后,文件傳輸就開(kāi)始了。如圖1所示。(2)有防火墻的下載包含兩個(gè)階段第一階段TCP連接建立一個(gè)請(qǐng)求端想要下載一個(gè)文件,該文件存儲(chǔ)在另外一個(gè)有防火墻保護(hù)的客戶端中。防火墻的存在阻止了請(qǐng)求端到存儲(chǔ)端的TCP連接的打丌。在啟動(dòng)階段,存儲(chǔ)端就將自己是受防火墻保護(hù)這一信息告知于服務(wù)器。服務(wù)器又將這一信息同存儲(chǔ)端的完整地址一起交付給請(qǐng)求端(圖2(a),messagel和2)。存儲(chǔ)端受防火墻保護(hù)的信息和賦給端口號(hào)0—起編碼(圖2(a),messagel和2)。一旦請(qǐng)求端收到服務(wù)器的消息-一存儲(chǔ)端是受防火墻保護(hù)的,就返回給服務(wù)器一個(gè)收到信息的拷貝(圖2(a),message3)。然后,服務(wù)器返回給存儲(chǔ)端一個(gè)帶有請(qǐng)求端名字即請(qǐng)求文件名的信息(圖2(a),message4)。存儲(chǔ)端返回給服務(wù)器這個(gè)信息的拷貝(圖2(a),message5)。最后,服務(wù)器給存儲(chǔ)端發(fā)送請(qǐng)求端的完整的IP地址?,F(xiàn)在就可以在請(qǐng)求端和存儲(chǔ)端之間建立TCP連接了。第二階段文件傳輸連接建立后,請(qǐng)求端發(fā)送一個(gè)值為1的字節(jié)(圖2(b))。存儲(chǔ)端發(fā)送一個(gè)包含有"SEND"單詞的字節(jié)串作為響應(yīng),字節(jié)串后面是請(qǐng)求文件的名字和大小。請(qǐng)求端接受到該信息以后,發(fā)送文件傳輸起始點(diǎn)的偏移量。之后,文件傳輸丌始。圖2(b)中的兩個(gè)起始信息可以用來(lái)書(shū)寫(xiě)識(shí)別OpenN鄰協(xié)議產(chǎn)生的流量的規(guī)則。2.SNORT規(guī)則前面對(duì)0penNap協(xié)議做了分析,這一部分主要講述SNORT規(guī)則。規(guī)則1_#catchtheserverwelcomeansweralerttcp$H0ME—NETany-〉$EXTERNAL_NETany(content:"VERSION";offset:4;d印th:12;content:"SERVER";offset:ll;depth:18;flow:from—server;flags:A氺PA;msg:,,OpenNapServerConnection,,;classtype:policy-violation;)該規(guī)則可以允許識(shí)別使用OpenN即協(xié)議的所有軟件。IDS只要在從服務(wù)器端發(fā)出的TCP載荷中查找字符串VERSION和SERVER即可。規(guī)則2_Wcatchtheserverwelcomeansweralerttcp$H0ME—NETany-〉$EXTERNAL—NETany(content:WinMx;offset:4;nocase;flow:established;flags:PA;msg:,,WinMxConnectiontoOpenNapServer,,;classtype:policy-violation;)該規(guī)則分析網(wǎng)絡(luò)流量,檢查是否有包含"WinMx"的TCP載荷,同時(shí),試圖捕獲WinMx應(yīng)用中從客戶端發(fā)往服務(wù)器的登陸信息。'規(guī)則3_ftcatchthenameofthefilessharedbytheclientalerttcp$H0ME—NETany-〉$EXTERNAL—NETany(msg:"Sharedfilelist,Client—ServerOpenN鄰,,;flow:established;flags:!S;flags:!SA;content:,,122433a5c|,,;nocase;offset:4;depth:9;tag:host,5,packets,src;)_該規(guī)則從網(wǎng)絡(luò)流量中取出客戶間共享的文件目錄。規(guī)則4_felertonquerysubmitalerttcp$H0ME—NETany-〉$EXTERNAL—NETany(content:"FILENAMECONTAINS";offset:4;depth:18;flow:established:flags:PA;msg:,,Querysubmitting,,;)_該規(guī)則在一個(gè)實(shí)體向中心服務(wù)器發(fā)出請(qǐng)求時(shí)發(fā)出警報(bào)。它能夠在TCP載荷中識(shí)別出單詞"FILENAMECONTA工NS"。規(guī)則5felertondownloadrequestsAlerttcp$H0ME—NETany〈-〉$EXTERNAL—NETany(content:"GET"''offset:0;depth:3;dsize:3;flow:established;flags:PA;msg:,,GETOpenNapDownloading,,;tag:session,2,packets;)該規(guī)則只有在規(guī)則1產(chǎn)生警報(bào)之后才能激發(fā)它能夠捕獲將要存儲(chǔ)的文件名及TCP連接的另一端的地址。規(guī)則6_:_ftalertonuploadrequestsalerttcp$H0ME—NETany<-〉$EXTERNAL—NETany(content:"SEND";offset:0;depth:4;dsize:4;flow:established;flags:PA;msg:"SENDOpenNapDownloading',;tag:session,2,packets;)該規(guī)則與5類(lèi)似它搜尋字符串"SEND",SEND用于一個(gè)請(qǐng)求端向受防火墻保護(hù)的文件存儲(chǔ)端發(fā)送的請(qǐng)求中。如果該規(guī)則滿足,就能夠得到請(qǐng)求文件的名字。圖1是沒(méi)有防火墻的下載過(guò)程。圖2是存儲(chǔ)端被防火墻保護(hù)的下載過(guò)程。權(quán)利要求一、一種基于協(xié)議分析的P2P流量識(shí)別方法,其基本流程為1.協(xié)議分析(1)客戶->服務(wù)器連接和登錄(2)服務(wù)器->客戶端對(duì)登錄信息的響應(yīng)要響應(yīng)一個(gè)客戶端的的登錄請(qǐng)求,服務(wù)器返回一個(gè)包含有字符串VERSION<ver>,SERVER<server-name>以及其他內(nèi)容(例如字符串Welcome和對(duì)活動(dòng)用戶、共享文件的統(tǒng)計(jì)信息)的信息。<VERSIONsw><SERVERname><Welcome>”statistics”<info>(3)客戶->服務(wù)器共享文件目錄收到服務(wù)器的響應(yīng)后,客戶端發(fā)送其自身的共享文件目錄,格式如下<HD:\><Path><Filename>(4)客戶端->服務(wù)器查詢請(qǐng)求客戶端向服務(wù)器發(fā)送的請(qǐng)求格式如下<FILENAMECONTAINS“criteria-words”><LINESPEED><adjectives><line-type>(5)服務(wù)器->客戶端查詢響應(yīng)服務(wù)器的響應(yīng)格式如下<path\filename><00..><size><bitrate><frequency><duration><nickname><ip><line-type>(6)客戶端->服務(wù)器下載通知其中第一個(gè)操作是產(chǎn)生一個(gè)發(fā)往中心服務(wù)器的具有如下格式的信息<storing-nickname><path\filename>(7)服務(wù)器->客戶端存儲(chǔ)端完整的IP地址文件下載(1)沒(méi)有防火墻的下載沒(méi)有防火墻,請(qǐng)求端就可以與存儲(chǔ)端建立直接的TCP連接,利用從服務(wù)器傳回來(lái)的IP地址。3次握手以后,存儲(chǔ)端將發(fā)送一個(gè)包含值“1”的字節(jié)。請(qǐng)求端收到這個(gè)字節(jié)以后,將返回一個(gè)包含單詞“GET”的字節(jié)串,其后是請(qǐng)求文件的文件名及下載點(diǎn)的偏移量。這次信息交換后,文件傳輸就開(kāi)始了。(2)有防火墻的下載包含兩個(gè)階段第一階段TCP連接建立一個(gè)請(qǐng)求端想要下載一個(gè)文件,該文件存儲(chǔ)在另外一個(gè)有防火墻保護(hù)的客戶端中。在啟動(dòng)階段,存儲(chǔ)端就將自己是受防火墻保護(hù)這一信息告知于服務(wù)器。服務(wù)器又將這一信息同存儲(chǔ)端的完整地址一起交付給請(qǐng)求端(圖2(a),message1和2)。存儲(chǔ)端受防火墻保護(hù)的信息和賦給端口號(hào)0一起編碼(圖2(a),message1和2)。請(qǐng)求端收到服務(wù)器的消息,就返回給服務(wù)器一個(gè)收到信息的拷貝(圖2(a),message3)。然后,服務(wù)器返回給存儲(chǔ)端一個(gè)帶有請(qǐng)求端名字即請(qǐng)求文件名的信息(圖2(a),message4)。存儲(chǔ)端返回給服務(wù)器這個(gè)信息的拷貝(圖2(a),message5)。最后,服務(wù)器給存儲(chǔ)端發(fā)送請(qǐng)求端的完整的IP地址?,F(xiàn)在就可以在請(qǐng)求端和存儲(chǔ)端之間建立TCP連接了。第二階段文件傳輸連接建立后,請(qǐng)求端發(fā)送一個(gè)值為1的字節(jié)(圖2(b))。存儲(chǔ)端發(fā)送一個(gè)包含有“SEND”單詞的字節(jié)串作為響應(yīng),字節(jié)串后面是請(qǐng)求文件的名字和大小。請(qǐng)求端接受到該信息以后,發(fā)送文件傳輸起始點(diǎn)的偏移量。之后,文件傳輸開(kāi)始。圖2(b)中的兩個(gè)起始信息可以用來(lái)書(shū)寫(xiě)識(shí)別OpenNap協(xié)議產(chǎn)生的流量的規(guī)則。2.由協(xié)議分析得出的SNORT規(guī)則規(guī)則1<tablesid="tabl0001"num="0001"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#catchtheserverwelcomeansweralerttcp$HOMENET_any->$EXTERNAL_NETany(content:”VERSION”;offset:4;depth:12;content:”SERVER”;offset:11;depth:18;flow:from_server;flags:A*PA;msg:”O(jiān)penNapServerConnection”;classtype:policy-violation;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則可以允許識(shí)別使用OpenNap協(xié)議的所有軟件。規(guī)則2<tablesid="tabl0002"num="0002"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#catchtheserverwelcomeansweralerttcp$HOME_NETany->$EXTERNAL_NETany(content:WinMx;offset:4;nocase;flow:established;flags:PA;msg:”WinMxConnectiontoOpenNapServer”;</entry></column></row></tbody></tgroup></column></row><table></tables><tablesid="tabl0003"num="0003"><table><tgroupcols="1"><colspeccolname="c001"colwidth="99%"/><tbody></column></row><row><column><entrymorerows="1">classtype:policy-violation;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則分析網(wǎng)絡(luò)流量,檢查是否有包含“WinMx”的TCP載荷,同時(shí),試圖捕獲WinMx應(yīng)用中從客戶端發(fā)往服務(wù)器的登陸信息。規(guī)則3<tablesid="tabl0004"num="0004"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#catchthenameofthefilessharedbytheclientalerttcp$HOME_NETany->$EXTERNAL_NETany(msg:“Sharedfilelist,Client→ServerOpenNap”;flow:established;flags:!S;flags:!SA;content:”22433a5c|”;nocase;offset:4;depth:9;tag:host,5,packets,src;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則從網(wǎng)絡(luò)流量中取出客戶間共享的文件目錄。規(guī)則4<tablesid="tabl0005"num="0005"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#alertonquerysubmitalerttcp$HOME_NETany->$EXTERNAL_NETany(content:“FILENAMECONTAINS”;offset:4;depth:18;flow:established:flags:PA;msg:”Querysubmitting”;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則在一個(gè)實(shí)體向中心服務(wù)器發(fā)出請(qǐng)求時(shí)發(fā)出警報(bào)。它能夠在TCP載荷中識(shí)別出單詞“FILENAMECONTAINS”。規(guī)則5<tablesid="tabl0006"num="0006"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#alertondownloadrequestsAlerttcp$HOME_NETany<->$EXTERNAL_NETany(content:”GET”;offset:0;depth:3;dsize:3;flow:established;flags:PA;msg:”GETOpenNapDownloading”;tag:session,2,packets;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則只有在規(guī)則1產(chǎn)生警報(bào)之后才能激發(fā)它能夠捕獲將要存儲(chǔ)的文件名及TCP連接的另一端的地址。規(guī)則6<tablesid="tabl0007"num="0007"><table><tgroupcols="1"><colspeccolname="c001"colwidth="100%"/><tbody></column></row><row><column><entrymorerows="1">#alertonuploadrequestsalerttcp$HOME_NETany<->$EXTERNAL_NETany(content:“SEND”;offset:0;depth:4;dsize:4;flow:established;flags:PA;msg:”SENDOpenNapDownloading”;tag:session,2,packets;)</entry></column></row></tbody></tgroup></column></row><table></tables>該規(guī)則與5類(lèi)似它搜尋字符串“SEND”,SEND用于一個(gè)請(qǐng)求端向受防火墻保護(hù)的文件存儲(chǔ)端發(fā)送的請(qǐng)求中。如果該規(guī)則滿足,就能夠得到請(qǐng)求文件的名字。2.由協(xié)議分析得出的SNORT規(guī)則規(guī)則1_ftcatchtheserverwelcomeansweralerttcp$H0ME—NETany-〉$EXTERNAL—NETany(content:,,VERSION";offset:4;d印th:12;content:"SERVER";offset:ll;depth:18;flow:from—server;flags:A補(bǔ)A;msg:,,OpenN鄰ServerConnection,,;classtype:policy-violation;)該規(guī)則可以允許識(shí)別使用0penNap協(xié)議的所有軟件。規(guī)則2_ftcatchtheserverwelcomeansweralerttcp$H0ME_NETany->$EXTERNAL—NETany(content:WinMx;offset:4;nocase;flow:established;flags:PA;msg:,,WinMxConnectiontoOpenNapServer,,;classtype:policy-violation;)該規(guī)則分析網(wǎng)絡(luò)流量,檢査是否有包含"WinMx"的TCP載荷,同時(shí),試圖捕獲WinMx應(yīng)用中從客戶端發(fā)往服務(wù)器的登陸信息。規(guī)則3_ttcatchthenameofthefilessharedbytheclientalerttcp$H0ME—NETany->$EXTERNAL_NETany(msg:"Sharedfilelist,Client+ServerOpenNap,,;flow:established;flags:!S;flags:!SA;content:,,|22433a5c|,,;nocase;offset:4;depth:9;tag:host,5,packets,six;)該規(guī)則從網(wǎng)絡(luò)流量中取出客戶間共享的文件目錄。規(guī)則4_ftalertonquerysubmitalerttcp$H0ME_NETany-〉$EXTERNAL—NET-any(content:"FILENAMECONTAINS";offset:4;depth:18;flow:established:flags:PA;msg:,,Querysubmitting,,;)該規(guī)則在一個(gè)實(shí)體向中心服務(wù)器發(fā)出請(qǐng)求時(shí)發(fā)出警報(bào)。它能夠在TCP載荷中識(shí)別出單詞"FILENAMECONTAINS"。規(guī)則5_#alertondownloadrequestsAlerttcp$H0ME_NETany〈->$EXTERNAL_NETany(content:,,GET,,;offset:0;depth:3;dsize:3;flow:established;flags:PA;msg:,,GET0penN鄰Downloading,,;tag:session,2,packets;)該規(guī)則只有在規(guī)則1產(chǎn)生警報(bào)之后才能激發(fā)它能夠捕獲將要存儲(chǔ)的文件名及TCP連接的另一端的地址。規(guī)則6_#a_lertonuploadrequestsalerttcp$H0ME—NETany<-〉$EXTERNAL_NETany(content:"SEND";offset:0;depth:4;dsize:4;flow:established;flags:PA;msg:,,SENDOpenNapDownloading,,;tag:session,2,packets;)_該規(guī)則與5類(lèi)似它搜尋字符串"SEND",SEND用于一個(gè)請(qǐng)求端向受防火墻保護(hù)的文件存儲(chǔ)端發(fā)送的請(qǐng)求中。如果該規(guī)則滿足,就能夠得到請(qǐng)求文件的名字。全文摘要本文介紹了一種檢測(cè)P2P流量的方法,它基于對(duì)P2P協(xié)議的分析;通過(guò)對(duì)IP數(shù)據(jù)報(bào)的分析,識(shí)別出P2P協(xié)議所獨(dú)有的特征;根據(jù)這些特征編寫(xiě)IDS規(guī)則。該方法具有很好的可擴(kuò)展性,它既可以識(shí)別標(biāo)準(zhǔn)的P2P協(xié)議,如OpenNap,也可以識(shí)別完全分散化的協(xié)議,如WPN和FastTrack。本文中的結(jié)論和規(guī)則均在局域網(wǎng)中得到了驗(yàn)證。文檔編號(hào)H04L29/08GK101599960SQ20091002729公開(kāi)日2009年12月9日申請(qǐng)日期2009年5月27日優(yōu)先權(quán)日2009年5月27日發(fā)明者丁元彬,張順頤,攀王,顏學(xué)智申請(qǐng)人:南京欣網(wǎng)視訊科技股份有限公司