基于P2P流量检测的签名特征匹配研究

BitTorrent在下载过程中与Tracker服务器进行通信，它采用HTTP协议，通过分析其HTTP流，发现其签名特征：

UDP包特征：UDP长度24字节(含UDP头)，起始8个字节为：00 00 04 17 27 10 19 80
TCP包特征：第一字节为0x13，后续数据为："BitTorrentprotocol"

3 结束语
文中通过对各时期P2P流量检测技术回顾，阐述了流量检测技术的进展，提出一种基于协议签名特征的P2P流识别方法。首先，通过Snif fer软件对数据包进行抓取，并进行特征分析、关键字分析，进行预判；然后，再进行深度扫描，对数据流进行较精确判决，根据流的协议特征和行为特征判决方法，判决规则简单，有利于工程应用，通过实验室小数据测试，实验证明本文提出的识别方式可行。下一步工作，可对签名特征较为分散的数据流进行重组，提取更为准确的签名特征，进行精确判别；另外，随着网络带宽的快速发展，大流量、实时的检测数据流，需要进一步提升抓包、筛选效率和签名特征多模式匹配算法效率。