商可旻, 武小年

?

基于入侵檢測技術的P2P行為檢測研究

商可旻, 武小年

(桂林電子科技大學 信息與通信學院, 廣西 桂林, 541004)

P2P網(wǎng)絡行為檢測技術是近年來網(wǎng)絡安全研究的熱點課題. 分析了P2P行為檢測技術的難點，概述了傳統(tǒng)的P2P檢測技術，并指出了優(yōu)缺點. 通過實驗研究P2P數(shù)據(jù)包中的特征值和指紋信息，從分析檢測的規(guī)則集入手，引入Snort開源入侵檢測系統(tǒng)來進行P2P應用行為檢測，提出了一種基于P2P應用程序行為的檢測方法.

P2P; 入侵檢測; 行為分析

近年來，隨著P2P(Pear-to-Pear)技術的快速發(fā)展和P2P模式在文件共享、網(wǎng)絡通信、VOIP、流媒體等領域的廣泛應用，P2P技術己引起互聯(lián)網(wǎng)應用模式的巨大變革. P2P采用非傳統(tǒng)C/S模式體系架構，其各個節(jié)點(Peer)地位平等，節(jié)點間可以直接共享、檢索和訪問各類資源，并且可以充當客戶端、服務器和應用層路由器的角色，而且可以動態(tài)加入和撤離，因此在互聯(lián)網(wǎng)基礎構建之上組成一個邏輯的P2P網(wǎng)絡，即動態(tài)覆蓋網(wǎng)絡(Overlay). 根據(jù)3Com公司白皮書顯示, P2P流量已經(jīng)占據(jù)Internet上70%的流量, 測量結果表明20%的Peers傳輸90%的P2P流量. P2P使得極少數(shù)人占用絕大部分網(wǎng)絡帶寬資源，造成網(wǎng)絡擁塞，影響了用戶體驗，也給網(wǎng)絡管理帶來了巨大挑戰(zhàn). 因此, 有必要對P2P用戶的行為進行檢測，發(fā)現(xiàn)和控制濫用網(wǎng)絡資源的行為，從而使網(wǎng)絡資源得到合理的利用.

本文分析了P2P行為檢測技術的難點，通過分析P2P數(shù)據(jù)包中的特征值和指紋信息，研究確定檢測P2P應用行為規(guī)則，最后引入完全開源的入侵檢測系統(tǒng)Snort來檢測網(wǎng)絡中的P2P應用行為.

1 P2P檢測技術的難點

傳統(tǒng)的互聯(lián)網(wǎng)應用行為可以通過IANA注冊的已知端口來進行識別，比如HTTP和POP3分別使用80號與110號端口, 盡管一些P2P應用也使用固定的端口，通過這些端口可以將其產(chǎn)生的行為歸類為P2P. 為了躲避網(wǎng)絡監(jiān)控系統(tǒng)的控制，P2P應用引入了動態(tài)協(xié)商端口技術，甚至通過端口偽裝(如http和ftp端口)來進行隱藏和穿透防火墻，因此基于端口來識別P2P濫用行為將在很大程度上漏報和錯報P2P應用[1].

對于采用集中式和混合式模式的P2P應用程序，可以分別通過目錄服務器和擔任分布式中心服務器的節(jié)點IP地址來識別與其通信的P2P流量, 從而識別P2P行為，但是對于節(jié)點之間直接交換產(chǎn)生的流量則無法有效識別.

深度包檢測(DPI，Deep Packet Inspection)進行P2P流量識別是應用比較多的技術，主要原理是通過協(xié)議分析甚至逆向工程的方法來提取P2P應用的Layer 7特征關鍵字符串，并基于五元組流對數(shù)據(jù)包深層掃描不同流之間的關聯(lián)性以實現(xiàn)P2P應用的識別[2-3].

基于DPI技術的P2P應用識別方式的可靠性比較高. 但是，DPI掃描必須對分片數(shù)據(jù)進行重組, 該操作與字串的模式匹配查找都屬于計算昂貴 (Co- mputationally Expensive)類型，因此對計算機性能的要求較高；DPI方式無法識別未知P2P應用的流量, 也無法自動適應P2P演進所產(chǎn)生的協(xié)議版本升級和新應用的大量涌現(xiàn); 越來越多的P2P應用(如eMule, 新版本Bt, 等)開始采用協(xié)議加密或傳輸分塊機制, 這使得分析關鍵字變得十分困難.

為了克服上述技術的不足，需要借助不依賴于掃描數(shù)據(jù)包的P2P識別技術. 基于入侵檢測的P2P應用行為識別技術正是為了彌補上述識別方法的不足而提出的，主要思想是從研究P2P網(wǎng)絡固有的本質(zhì)特征入手，通過分析P2P數(shù)據(jù)包的特征歸納出P2P行為的識別模式和規(guī)則[4].

2 Snort入侵檢測系統(tǒng)

2.1 Snort簡介

Snort是一個開源的網(wǎng)絡入侵檢測系統(tǒng)(NIDS),具有高效率實時捕獲和分析數(shù)據(jù)包的功能. 它可以進行協(xié)議分析、搜索內(nèi)容和匹配，Snort靈活強大的語言能對網(wǎng)絡中的所有數(shù)據(jù)包做充分的分析, 決定如何處理特殊的數(shù)據(jù)包. Snort記錄或報警的方法有很多種, 例如syslog寫入文本、數(shù)據(jù)庫等. 目前Sno- rt已成為網(wǎng)絡安全監(jiān)控行業(yè)事實上的標準[5]. Snort的基本組成模塊如圖1所示.

2.2 選擇Snort檢測網(wǎng)絡中的P2P應用行為的主要原因

a. Snort可以用來對數(shù)據(jù)包進行捕獲和監(jiān)聽，而且具備網(wǎng)絡入侵檢測功能；

b. Snort靈活的語言規(guī)則, 可以對數(shù)據(jù)包進行收集、拒絕或丟棄操作；

圖1 Snort主要部件

c. Snort源代碼是開放的，因此吸引了許多優(yōu)秀的網(wǎng)絡安全技術人員共同完善提升其各項性能，各個項目小組也可以根據(jù)自身需要對源代碼進行修改后使用.

3 對P2P協(xié)議進行分析

任何協(xié)議都具有一些特定性，因此我們可以分析協(xié)議在通信過程中數(shù)據(jù)包結構和內(nèi)容來確定特定協(xié)議. 我們選用2種P2P應用程序來進行分析(見表1). 在網(wǎng)關服務器上使用snort捕獲P2P應用程序的網(wǎng)絡數(shù)據(jù)包, 分析并獲取特定的特征串匹配規(guī)則和指紋(fingerprint)信息. 通過分析P2P應用程序的網(wǎng)絡數(shù)據(jù)包, 可以得到以下結論.

表1 分析的應用程序

3.1 P2P特征串匹配規(guī)則

Biorrent應用程序：在Biorrent包結構中，前4個ASCII碼中有指定樣式“GET”；之后間隔1個ASCII碼有“/announce”，再之后4個偏移位中有“info_hash=”；接著的4個偏移位中有“event= stwrted”.

eMule應用程序：在eMule包結構中，在第2個ASCII碼位置有“|E3|”特征碼，之后會有ASCII地址“/url,ww.technik”，之后的3個偏移位有“class- type: policy”.

3.2 P2P指紋(fingerprint)信息

通過對P2P數(shù)據(jù)包的捕獲分析得到其應用程序的指紋(fingerprint)信息(見表2).

表2 應用程序指紋

4 定義Snort檢測P2P行為規(guī)則

根據(jù)分析P2P協(xié)議得到的特征串匹配規(guī)則和指紋(fingerprint)信息可以定義snort檢測規(guī)則.

P2P.rules

{

alert tcp $HOME_NET any -> $EXTERNAL_NET

any (msg:"P2P BitTorrent announce request";

flow:to_server,established;content:"GET";depth:4;con

tent:"/announce; |426974546f727265de742070726f74

6f636f6c| "; distance:1; content:"info_hash="; offset:4;

content:"event=started"; offset:4; metadata:policy

security-ips drop; classtype:policy-violation; sid:2180;

rev:4;)

alert http $HOME_NET any -> $EXTERNAL_NET

4242 (msg:"P2P eMule transfer";

flow:to_server,established;

content:"|E3|;|486f73743a207777772e7368617265617

a612e636f6dod0a|";depth:1;

metadata:policysecurity-ipsdrop;

reference:url,www.kom.e-technik.tu-darmstadt.de/pub

lications/abstracts/HB02-1.html;

classtype:policy-violation; sid:2586; rev:3;)

}

5 實驗驗證

5.1 測試環(huán)境

系統(tǒng): Microsoft Windows XP Professional Serv- ice Pack 2; 主機: Intel酷睿i3-540 處理器 3.06GHz; 1GB 內(nèi)存; Snort入侵檢測系統(tǒng)：Snort-2.8.6+ mysql- 5.0.22-win32+ idscenter11rc4

5.2 基本架構

2臺計算機連接在同一個局域網(wǎng)內(nèi)并且都可以訪問因特網(wǎng)，1臺安裝本文所研究之P2P文件下載軟件: Biorrent、eMule; 另1臺配置安裝有入侵檢測系統(tǒng)Snort. 實驗檢測Snort能否按照定義的規(guī)則(p2p.rules)，檢測到網(wǎng)絡中存在P2P應用程序行為.

5.3 啟動snort入侵檢測系統(tǒng)開始測試

在控制臺輸入如果下命令使用配置規(guī)則集(p2p. rules)開始檢測(見圖2).

命令：snort –c p2p.rules –I 2 A full –l./log啟動snort入侵檢測系統(tǒng)后，分別用2種待檢測的P2P應用程序從網(wǎng)上下載文件，實驗發(fā)現(xiàn)根據(jù)定義的規(guī)則snort入侵檢測系統(tǒng)能夠準確地檢測網(wǎng)絡中的P2P應用程序行為，而且機器耗費的CPU與內(nèi)存的占用率維持在比較低的水平，進一步我們得到了檢測系統(tǒng)的日志文件：snort.log.1277886362, 內(nèi)容如圖3、4所示：

圖2 啟動檢測系統(tǒng)

圖3 檢測系統(tǒng)日志文件數(shù)據(jù)

圖4 檢測系統(tǒng)日志文件數(shù)據(jù)

6 結論與展望

通過分析P2P協(xié)議得到特征串匹配規(guī)則和指紋(fingerprint)信息，定義了Snort檢測P2P行為的規(guī)則，根據(jù)實驗證明了入侵檢測系統(tǒng)在小型局域網(wǎng)中檢測P2P應用行為的有效性和可行性. 但是在大型局域網(wǎng)和高速主干網(wǎng)中檢測P2P行為還存在很多技術難點，在沒有統(tǒng)一部署P2P網(wǎng)絡行為監(jiān)控設施的情況下，要實現(xiàn)對于P2P應用行為的準確檢測難度較大, 在以后的研究中還需要進一步研究新的理論框架和檢測模型.

[1] Moore A, Papagiannaki K. Toward the Accurate Identifi- cation of Network Applications[A]. Sptinger Berlird Hei- delberg Proc of the Passive and Active Network Measur- ement[C]. MarcW, 2005: 41-54.

[2] 楊岳湘, 王銳, 唐川. 基于雙重特征的P2P流量檢測方法[J]. 通信學報, 2006, 27(11): 134-139.

[3] LIU Gang. Measurements,Modeling and Analysis of Peer-to-Peer Networks[M]. Harbin: Harbin Institute of Technology Press, 2005: 60-65.

[4] 劉嬌蛟, 賀前華. 基于內(nèi)容標記的網(wǎng)絡信息內(nèi)容監(jiān)管方法及實現(xiàn)[J]. 計算機工程與科學, 2006:28(3): 20-23.

[5] 周世杰, 秦志光, 吳春江. 對等網(wǎng)絡流量檢測技術研究[J]. 中興通訊技術, 2007, 13(5): 14-18.

Intrusion detection based on behavior of P2P

SHANG Ke-min ,WU Xiao-nian

(Department of Communnications and Information Engineering, Guilin University of Electronic Technology, Guilin 541004, China)

P2P network behavior detection technology is a hot research in recent years. The difficulties of behavior detection technology for P2P was analyzed and the traditional P2P detection technology was overviewed. Furthermore its advantages and disadvantages were analyzed. By the experiment of P2P packet eigenvalue and fingerprint information, the rule set from the start of testing, and the introduction of open source Snort intrusion detection system to detect P2P application behavior, a detection method based on P2P application behavior was put forward.

P2P; intrusion detection; behavior analysis

TP 311.1

A

1672-6146(2010)03-0070-03

10.3969/j.issn.1672-6146.2010.03.018

2010-07-06

商可旻(1986-)，男，碩士研究生, 研究方向為信息安全.