CN101296224B - 一种p2p流量识别系统和方法 - Google Patents
一种p2p流量识别系统和方法 Download PDFInfo
- Publication number
- CN101296224B CN101296224B CN2007100986472A CN200710098647A CN101296224B CN 101296224 B CN101296224 B CN 101296224B CN 2007100986472 A CN2007100986472 A CN 2007100986472A CN 200710098647 A CN200710098647 A CN 200710098647A CN 101296224 B CN101296224 B CN 101296224B
- Authority
- CN
- China
- Prior art keywords
- application layer
- identification module
- flow
- character string
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种P2P流量识别的实现方法,与传统传输层识别方法相比降低了误检,与传统应用层识别方法相比,提高了检测速率,并可在掌握应用层特征字串之前对P2P流量提出预警。该方法包括以下模块:传输层识别模块利用应用层识别模块的识别结果降低传输层识别的误检、标识P2P流量,并利用传输层特征进行识别。经传输层识别模块过滤后的流量输入应用层识别模块,利用应用层特征字串库匹配定位流量是否为P2P应用以及具体P2P应用类别。应用层未能成功识别的数据将被记录,送入应用层特征分析模块,以提取应用层特征字串,提取的应用层特征字串被送入应用层识别模块的应用层特征字串库。
Description
技术领域
本发明涉及网络流量识别和管理,尤指一种P2P流量识别系统和方法。
发明背景
由于对带宽的抢占、对网络安全带来的新问题以及版权纠纷等问题,对P2P应用流量进行识别和管理具有很重要的意义。
当前可见到的P2P流量识别方法有:
(1)传输层识别,只检查数据文的IP头和传输层头,利用P2P连接特性和传输层流量特征识别,这种方法的好处是处理速度快,可利用在网络设备中广为采用的流表处理,因此较易应用于现有的网络设备上,问题是误检率高,且无法识别P2P流量的具体应用类别。端口识别只利用传输层端口号来识别数据流类型,因此也可以归入传输层识别,这种方法的问题是大多数P2P应用采用了动态端口,有些还采用80等通用端口,以便穿越防火墙设备,因此误检和漏检都高。
(2)应用层识别,利用各种P2P应用的应用层特征字串对数据报文进行匹配,这种方法的好处是可识别P2P流量的具体应用类别,问题是处理速度慢,在掌握应用层特征字串之前无法进行识别。
发明内容
有鉴于此,本发明的主要目的在于提供一种P2P流量识别系统和方法,与传统传输层识别方法相比降低了误检,与传统应用层识别方法相比,提高了检测速率,并可在掌握应用层特征字串之前对P2P流量提出预警。
为了达到上述目的,本发明的系统和方法包括如图1中所示的各个模块:传输层识别模块、应用层识别模块和应用层特征分析模块。所述传输层识别模块与所述应用层识别模块在接口A、B上具有交互。
传输层识别模块利用P2P应用的传输层流量特征和应用层识别模块的识别结果,只检查IP头和传输层TCP/UDP头来进行识别,并利用应用层识别模块的识别结果降低传输层识别的误检,传输层识别可标识以下数据流量:
(a)由应用层识别模块识别的易与P2P误检的流量
(b)由传输层流量特征确定不符合P2P流量特征的流量。
(c)已由应用层识别模块识别为P2P应用的流量。
接口A上的数据流为其它流量,将送入应用层识别模块,进一步确认是否为被误检的,如果不是则确认P2P应用类别。传输层识别模块由于只检查数据包的IP头和传输层头,可采用目前已非常成熟的流表、HASH等数据流处理机制,因此可以达到较高的处理速率,经过传输层过滤后可降低应用层识别模块处理数据量,提高检测速率。传输层识别模块还可以在掌握应用层特征字串之前对未知类型的P2P流量提出预警。
应用层特征字串库记录P2P应用特征字串,也记录易与P2P应用误检的其它应用的特征字串,利用所述的应用层特征库可定位P2P应用类别,并可确认数据包是否为传输层识别模块误检的非P2P应用。
应用层识别模块利用应用层特征字串库对经过传输层过滤的数据流进行特征匹配,对可成功匹配的应用,包括确定数据流为某种P2P应用或确定数据流不是P2P应用,可根据匹配结果修改P2P用户记录表,并通过接口B通知传输层识别模块,此数据流为P2P应用或肯定不是P2P应用,传输层识别模块利用应用层识别模块的结果可直接对数据流进行过滤,并可降低误检。对利用应用层特征字串库无法成功匹配的,给出报警提示,此为未知流量,并记录数据流报文,通过接口C送入应用层特征分析模块。
应用层特征分析模块记录应用层识别模块根据当前的应用层特征字库无法识别的数据流,可进一步通过人工和自动的离线分析,进行特征字串提取,并确认是否为P2P应用,经试验确认后将应用层特征字串记入应用层特征字库。
可见,本发明所提供的P2P流量识别系统和方法,具有以下的优点和特点:
(1)可定位数据流的P2P应用类别。
(2)可对未知类型或加密的P2P应用提出预警,并可通过离线的特征提取分析算法分析其特征字串。
(3)通过应用层识别模块,解决了以往传输层识别误检率高的问题。
(4)通过传输层识别模块提高了应用层检测的速率。
(5)结构灵活,可以根据实际组网环境和P2P流理管理策略需求,选择其中的一个或多个模块,以多种形式对P2P流量进行管理,如限定和过滤指定类型的P2P流量带宽、管理用户的P2P应用使用情况、测量和预测网络流量分布情况等
附图说明
图1P2P流量识别系统和方法框图
图2P2P流量识别系统和方法实现实例流程图
具体实施方法
图2为本发明一种实施实例的流程图。数据流先送入传输层识别模块,流处理可利用现已成熟和广泛使用的流表来实现,对之前已识别的数据流,包括P2P和非P2P的流量,可直接进行相关的管理操作,如过滤、带宽限制等,对还未识别的流量则进行传输层特征识别,不符合P2P传输层特性的可以认为是非P2P流量,对符合传输层特性的流量则需送入应用层识别模块。
应用层识别模块利用应用层特征字串库,运行特征字匹配算法,如果可成功匹配,则将结果通知传输层。特征字串匹配可利用现有的多种软硬件字符匹配和查找算法。已经发现,应用层特征字串可能需要连续的几个P2P数据报文,因此连续记录几个数据报文,再进行应用层特征字匹配算法是一个合理的选择。
如果通过特征字串匹配算法不能成功匹配,则说明当前的应用层特征字串库中未记录此数据流的应用类型,此流量可能为未知类型的应用,则记录后续此数据流报文,用于离线的特征字提取。
以上所述的工作流程只是本发明一种实现方式,本发明的特点之一是可灵活根据网络环境和P2P流量管理策略,构建P2P流量管理系统。
Claims (5)
1.一种P2P流量识别系统,其特征在于,包括:传输层识别模块、应用层识别模块和应用层特征分析模块;
所述传输层识别模块,对已识别的数据流直接进行相关的管理操作;对未识别的流量则进行传输层特征识别,对符合传输层特征的流量送入应用层识别模块;
所述应用层识别模块,利用应用层特征字串库对经过传输层过滤的数据流进行特征匹配,对成功匹配的应用,通知传输层识别模块;对无法成功匹配的,记录数据流报文,送入应用层特征分析模块;
所述应用层特征分析模块,记录应用层识别模块根据当前的应用层特征字串库无法识别的数据流。
2.如权利要求1所述的系统,其特征在于,所述应用层识别模块,根据匹配结果修改P2P用户记录表。
3.如权利要求1所述的系统,其特征在于,所述应用层特征字串库记录P2P应用特征字串,也记录易与P2P应用误检的其他应用的特征字串。
4.如权利要求1所述的系统,其特征在于,所述应用层识别模块,对利用应用层特征字串库无法成功匹配的,给出报警提示,此为未知流量。
5.如权利要求1所述的系统,其特征在于,所述应用层特征分析模块,进一步通过人工和自动的离线分析,进行应用层特征字串提取,并确认是否为P2P应用,经试验确认后将应用层特征字串计入应用层特征字串库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100986472A CN101296224B (zh) | 2007-04-24 | 2007-04-24 | 一种p2p流量识别系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100986472A CN101296224B (zh) | 2007-04-24 | 2007-04-24 | 一种p2p流量识别系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101296224A CN101296224A (zh) | 2008-10-29 |
| CN101296224B true CN101296224B (zh) | 2013-01-23 |
Family
ID=40066239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100986472A Expired - Fee Related CN101296224B (zh) | 2007-04-24 | 2007-04-24 | 一种p2p流量识别系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101296224B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442541B (zh) * | 2008-12-30 | 2011-11-23 | 合肥昊特信息科技有限公司 | P2p应用加密流量的识别方法 |
| CN101702733B (zh) * | 2009-11-18 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 报文流识别方法及装置 |
| CN102480503B (zh) * | 2010-11-23 | 2014-11-26 | 杭州华三通信技术有限公司 | P2p流量识别方法和装置 |
| CN102710504A (zh) * | 2012-05-16 | 2012-10-03 | 华为技术有限公司 | 应用识别方法和装置 |
| EP3246930B1 (en) * | 2015-01-14 | 2022-04-20 | LS Materials Co., Ltd. | Electric energy storage device having improved terminal structure |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
| CN1863154A (zh) * | 2005-10-18 | 2006-11-15 | 华为技术有限公司 | 对点对点应用进行限流的方法 |
-
2007
- 2007-04-24 CN CN2007100986472A patent/CN101296224B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1863154A (zh) * | 2005-10-18 | 2006-11-15 | 华为技术有限公司 | 对点对点应用进行限流的方法 |
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101296224A (zh) | 2008-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110460594B (zh) | 威胁情报数据采集处理方法、装置及存储介质 | |
| CN108040074B (zh) | 一种基于大数据的实时网络异常行为检测系统及方法 | |
| CN105871832B (zh) | 一种基于协议属性的网络应用加密流量识别方法及其装置 | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| CN101741744B (zh) | 一种网络流量识别方法 | |
| CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| CN101645806B (zh) | Dpi和dfi相结合的网络流量分类系统及分类方法 | |
| CN111277578A (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| US20100046378A1 (en) | Methods and systems for anomaly detection using internet protocol (ip) traffic conversation data | |
| CN107360118B (zh) | 一种高级持续威胁攻击防护方法及装置 | |
| CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
| CN101296224B (zh) | 一种p2p流量识别系统和方法 | |
| CN102111400B (zh) | 一种木马检测方法、装置及系统 | |
| Cho et al. | A method of detecting storage based network steganography using machine learning | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN115134250A (zh) | 一种网络攻击溯源取证方法 | |
| CN117955745A (zh) | 融合网络流量特征和威胁情报的网络攻击同源性分析方法 | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| CN101321097A (zh) | 基于净荷深度检测的腾讯网络直播业务识别方法 | |
| US20150150132A1 (en) | Intrusion detection system false positive detection apparatus and method | |
| CN110830416A (zh) | 网络入侵检测方法和装置 | |
| CN110858837A (zh) | 一种网络管控方法、装置以及电子设备 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130123 Termination date: 20150424 |
|
| EXPY | Termination of patent right or utility model |