CN101296224A

CN101296224A - 一种p2p流量识别系统和方法

Info

Publication number: CN101296224A
Application number: CNA2007100986472A
Authority: CN
Inventors: 裘晓峰; 武穆清; 廖青; 靳浩; 赵粮; 张春红; 朱新宁; 马明辉
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2007-04-24
Filing date: 2007-04-24
Publication date: 2008-10-29
Anticipated expiration: 2027-04-24
Also published as: CN101296224B

Abstract

本发明公开了一种P2P流量识别的实现方法，与传统传输层识别方法相比降低了误检，与传统应用层识别方法相比，提高了检测速率，并可在掌握应用层特征字串之前对P2P流量提出预警。该方法包括以下模块：传输层识别模块利用应用层识别模块的识别结果降低传输层识别的误检、标识P2P流量，并利用传输层特征进行识别。经传输层识别模块过滤后的流量输入应用层识别模块，利用应用层特征字串库匹配定位流量是否为P2P应用以及具体P2P应用类别。应用层未能成功识别的数据将被记录，送入应用层特征分析模块，以提取应用层特征字串，提取的应用层特征字串被送入应用层识别模块的应用层特征字串库。

Description

一种P2P流量识别系统和方法

技术领域

本发明涉及网络流量识别和管理，尤指一种P2P流量识别系统和方法。

发明背景

由于对带宽的抢占、对网络安全带来的新问题以及版权纠纷等问题，对P2P应用流量进行识别和管理具有很重要的意义。

当前可见到的P2P流量识别方法有：

(1)传输层识别，只检查数据文的IP头和传输层头，利用P2P连接特性和传输层流量特征识别，这种方法的好处是处理速度快，可利用在网络设备中广为采用的流表处理，因此较易应用于现有的网络设备上，问题是误检率高，且无法识别P2P流量的具体应用类别。端口识别只利用传输层端口号来识别数据流类型，因此也可以归入传输层识别，这种方法的问题是大多数P2P应用采用了动态端口，有些还采用80等通用端口，以便穿越防火墙设备，因此误检和漏检都高。

(2)应用层识别，利用各种P2P应用的应用层特征字串对数据报文进行匹配，这种方法的好处是可识别P2P流量的具体应用类别，问题是处理速度慢，在掌握应用层特征字串之前无法进行识别。

发明内容

有鉴于此，本发明的主要目的在于提供一种P2P流量识别系统和方法，与传统传输层识别方法相比降低了误检，与传统应用层识别方法相比，提高了检测速率，并可在掌握应用层特征字串之前对P2P流量提出预警。

为了达到上述目的，本发明的系统和方法包括如图1中所示的各个模块：传输层识别模块、应用层识别模块和应用层特征分析模块。所述传输层识别模块与所述应用层识别模块在接口A、B上具有交互。

传输层识别模块利用P2P应用的传输层流量特征和应用层识别模块的识别结果，只检查IP头和传输层TCP/UDP头来进行识别，并利用应用层识别模块的识别结果降低传输层识别的误检，传输层识别可标识以下数据流量：

(a)由应用层识别模块识别的易与P2P误检的流量

(b)由传输层流量特征确定不符合P2P流量特征的流量。

(c)已由应用层识别模块识别为P2P应用的流量。

接口A上的数据流为其它流量，将送入应用层识别模块，进一步确认是否为被误检的，如果不是则确认P2P应用类别。传输层识别模块由于只检查数据包的IP头和传输层头，可采用目前已非常成熟的流表、HASH等数据流处理机制，因此可以达到较高的处理速率，经过传输层过滤后可降低应用层识别模块处理数据量，提高检测速率。传输层识别模块还可以在掌握应用层特征字串之前对未知类型的P2P流量提出预警。

应用层特征字串库记录P2P应用特征字串，也记录易与P2P应用误检的其它应用的特征字串，利用所述的应用层特征库可定位P2P应用类别，并可确认数据包是否为传输层识别模块误检的非P2P应用。

应用层识别模块利用应用层特征字串库对经过传输层过滤的数据流进行特征匹配，对可成功匹配的应用，包括确定数据流为某种P2P应用或确定数据流不是P2P应用，可根据匹配结果修改P2P用户记录表，并通过接口B通知传输层识别模块，此数据流为P2P应用或肯定不是P2P应用，传输层识别模块利用应用层识别模块的结果可直接对数据流进行过滤，并可降低误检。对利用应用层特征字串库无法成功匹配的，给出报警提示，此为未知流量，并记录数据流报文，通过接口C送入应用层特征分析模块。

应用层特征分析模块记录应用层识别模块根据当前的应用层特征字库无法识别的数据流，可进一步通过人工和自动的离线分析，进行特征字串提取，并确认是否为P2P应用，经试验确认后将应用层特征字串记入应用层特征字库。

可见，本发明所提供的P2P流量识别系统和方法，具有以下的优点和特点：

(1)可定位数据流的P2P应用类别。

(2)可对未知类型或加密的P2P应用提出预警，并可通过离线的特征提取分析算法分析其特征字串。

(3)通过应用层识别模块，解决了以往传输层识别误检率高的问题。

(4)通过传输层识别模块提高了应用层检测的速率。

(5)结构灵活，可以根据实际组网环境和P2P流理管理策略需求，选择其中的一个或多个模块，以多种形式对P2P流量进行管理，如限定和过滤指定类型的P2P流量带宽、管理用户的P2P应用使用情况、测量和预测网络流量分布情况等

附图说明

图1P2P流量识别系统和方法框图

图2P2P流量识别系统和方法实现实例流程图

具体实施方法

图2为本发明一种实施实例的流程图。数据流先送入传输层识别模块，流处理可利用现已成熟和广泛使用的流表来实现，对之前已识别的数据流，包括P2P和非P2P的流量，可直接进行相关的管理操作，如过滤、带宽限制等，对还未识别的流量则进行传输层特征识别，不符合P2P传输层特性的可以认为是非P2P流量，对符合传输层特性的流量则需送入应用层识别模块。

应用层识别模块利用应用层特征字串库，运行特征字匹配算法，如果可成功匹配，则将结果通知传输层。特征字串匹配可利用现有的多种软硬件字符匹配和查找算法。已经发现，应用层特征字串可能需要连续的几个P2P数据报文，因此连续记录几个数据报文，再进行应用层特征字匹配算法是一个合理的选择。

如果通过特征字串匹配算法不能成功匹配，则说明当前的应用层特征字串库中未记录此数据流的应用类型，此流量可能为未知类型的应用，则记录后续此数据流报文，用于离线的特征字提取。

以上所述的工作流程只是本发明一种实现方式，本发明的特点之一是可灵活根据网络环境和P2P流量管理策略，构建P2P流量管理系统。

Claims

1、一种P2P流量识别系统和方法，其特征在于该方法包括以下的模块：

传输层识别模块、应用层识别模块和应用层特征分析模块。所述传输层识别模块利用P2P应用的传输层流量特征和应用层识别模块的识别结果进行流量标识，所述应用层识别模块利用应用层特征字串识别是否为P2P应用并定位应用类型。所述应用层特征分析模块可提取应用层特征。

2、根据权利要求1所述的传输层识别模块，其特征在于：利用应用层识别模块的识别结果降低传输层识别的误检，可标识以下数据流量：

(a)由应用层识别模块识别的易与P2P误检的流量

(b)由传输层流量特征确定不符合P2P流量特征的流量。

(c)已由应用层识别模块识别为P2P应用的流量。

其它流量将送入应用层识别模块。

3、根据权利要求1所述的应用层识别模块，其特征在于：利用应用层特征字串库识别数据流的应用类型，包括易与P2P传输层流量特征误检的应用和P2P应用。

4、根据权利要求3所述的应用层特征字串库，其特征在于：记录P2P应用特征字串，并记录易与P2P应用误检的其它应用的特征字串，利用所述的应用层特征字串库可定位P2P应用类别，并可确认数据包是否为非P2P应用。

5、根据权利要求1所述的应用层特征分析模块，其特征在于：记录应用层识别模块根据应用层特征字串库无法识别的数据流，包括P2P数据流与易于P2P误检的数据流，可进一步通过人工和自动的离线分析，进行特征字串提取，并确认是否为P2P应用，经试验确认后将应用层特征字串记入应用层特征字串库。