CN101442541B - P2p应用加密流量的识别方法 - Google Patents
P2p应用加密流量的识别方法 Download PDFInfo
- Publication number
- CN101442541B CN101442541B CN2008102411366A CN200810241136A CN101442541B CN 101442541 B CN101442541 B CN 101442541B CN 2008102411366 A CN2008102411366 A CN 2008102411366A CN 200810241136 A CN200810241136 A CN 200810241136A CN 101442541 B CN101442541 B CN 101442541B
- Authority
- CN
- China
- Prior art keywords
- message length
- combination
- application
- length combination
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种P2P应用加密流量的识别方法,包括:首先根据应用层数据特征获得节点同种子服务器通讯的报文信息,并对其进行解码且获得二元组信息;对分布式网络的返回报文进行解码并获得二元组节信息;将所获得二元组信息存储至一个二元组信息表中,同时获取所有流量的目的IP地址和目的端口号;其次,将获得目的IP地址和目的端口号去匹配二元组信息表,如果匹配则标记为对应的P2P应用;最后,根据特定的报文长度组合对交换数据过程中的报文长度组合进行判断,如果所述报文长度组合满足特定的报文长度组合,则其识别为拥有该特定报文长度组合的P2P应用软件加密流量。本发明优点在于可对P2P应用加密流量进行识别并且识别准确。
Description
技术领域
本发明涉及一种在流量管理中识别加密流量的方法,尤其涉及一种针对P2P网络中双向连接和动态端口的特点,灵活利用对等协议中节点信息交换特性的识别方法。
背景技术
对等网络(Peer to Peer,简称P2P)技术的出现,使得网络应用的核心从中央服务器向网络边缘扩散。目前,以文件共享类应用BitTorrent和eMule为代表的对等网络应用加密流量占到了运营商50%以上的带宽,成为网络带宽的最大消费者,由此也妨碍了正常网络业务的开展和关键应用的普及。
P2P是一种分布式网络,其中每个节点既是资源提供者,又是资源获取者,其所产生的流量具有不确定性、海量性和加密性等特点。这些特点给P2P流量的管理带来很多困难,由于管理的基础是识别,而传统的端口识别法是根据TCP数据包或UDP数据包首部的源端口号或目的端口号识别业务流量。另,而大部分P2P的应用软件是使用随机端口号或者伪装成正常的业务端口号(如HTTP的TCP 80端口),因此,采用端口识别法去识别P2P流量是很难达到准确识别P2P流量的目的。
时下,对P2P流量识别大致可分为深度包检测(DPI)和动态流检测(DFI)两种技术。DPI为通过扫描应用层协议数据字段识别对等网络流量。DFI为通过分析传输层特征,例如数据包长度、连接速率、传输字节量和包间隔等特征,且针对不同的P2P应用建立流量特征模型识别P2P流量。
其中,由于大部分P2P应用软件在采用明文传输时存在各自独有的特征字段,所以采用DPI技术去识别P2P流量的准确度较高,但是却无法识别加密的对等网络流量。而DFI技术由于不需要解析应用层数据,虽然能够识别应用层加密数据,但是识别的准确度却是不高。
发明内容
鉴于现有技术的不足,本发明的主要目的在于提供一种对P2P应用加密流量进行准确识别的方法。
为实现上述的发明目的,本发明采用下述的技术方案:
所述P2P应用加密流量的识别方法灵活运用P2P协议交换过程的特点,准确的对P2P应用加密流量进行识别,该方法首先通过以下步骤判断为P2P流量:
1)根据应用层数据特征获得节点同种子服务器的报文信息,解码该报文信息并得到二元组信息;
2)对分布式网络中的返回报文进行解码,获得二元组信息;
3)将步骤(1)和步骤(2)中的二元组信息存放至一个二元组信息表中,同时,获取所有流量的目的IP地址和目的端口号;
4)将获得的所有流量的目的IP地址和目的端口号去与所述二元组信息表中的信息进行匹配,如果匹配则识别所述报文信息P2P应用。
其次,通过对交换数据过程中报文长度组合进行判断出哪种具体P2P软件的流量,如果检测出满足特定的报文长度组合,则进一步将其识别为拥有该特定报文长度组合的P2P软件加密流量;
其中,所述二元组由IP地址和端口号对组成,所述特定的数据包长度组合由具体的P2P软件的编程实现而决定。
相比现有技术,本发明所述识别方法不但可对P2P应用进行识别,亦可对P2P应用的加密流量进行准确识别,从而判定出数据通讯过程中的数据由何种具体的软件产生。
附图说明
图1为本发明所述P2P加密应用的识别方法的流程示意图。
具体实施方式
下面结合附图来对本发明所述P2P加密应用的识别方法作进一步的详细说明。
本发明所述P2P应用加密流量的识别方法灵活利用了P2P协议信息交换过程的特点,且对P2P应用网络中节点流量进行动态跟踪并实时分析,并且在基于包长过滤器的基础上准确定位会话(session)流量的识别,其中,且引入了IP和端口组成的二元组概念,彻底改变了流量识别的滞后性。
此外,由于一个典型的P2P网络是由许多节点构成的,且每个节点既是一个服务器,也是一个客户端,既采用TCP的连接来下载数据,又可以基于UDP的分布式哈希表信息进行节点信息数据传送。
以下为一个节点在P2P网络中运作的流程,一个下载文件的节点同时扮演服务器和客户端,且在分布式网络中既为其它节点提供节点信息,又可以从其它节点处获取节点信息。所述运作的流程如下:
当作为下载服务器时,该节点监听一个对外的TCP端口,等待其它节点来连接,且一旦连接建立以后,数据的传输是双向的,以此为其它节点提供服务,进而扮演服务器的角色。
当作为下载客户端时,该节点从种子服务器或分布式网络中获得其它节点的信息,且这个信息为包括一个IP地址和一个端口号,本地客户端向其它节点发起连接时,本地端口随机。
当作为分布式网络服务器,该节点监听一个对外的UDP端口,且等待其它节点发送来的请求信息并应答,并且该UDP端口号和作为下载服务器时监听的TCP的端口号是一样的。
当作为分布式网络的客户端,该节点某个固定的端口向其它节点作为分布式网络服务器监听的UDP端口发送请求,此时这个固定的端口和作为分布式网络服务器时监听的UDP的端口号是一样的。
当得到哪个IP地址的哪个端口向外提供P2P服务,那么就可以判断包含有这些二元组的会话数据包就是P2P流。
另外,由于目前P2P软件只会对P2P节点之间的通信进行加密,而对和种子服务器的通信则是不会加密,因此,如何判定P2P应用加密流量,则首先必须对和种子服务器的通信是否为P2P应用,而后再对加密流量进行识别。
参见图1中所示,该识别方法首先,根据应用层数据特征获得节点同种子服务器之间通讯的报文信息,并对该报文信息进行解码,从中获得一二元组信息(步骤100),其中,为将所述IP和端口地址对定义为一个二元组。
其次,对分布式网络的返回报文进行解码,获得另一二元组信息(步骤101)。
将上述获得的二元组信息存放到一个二元组信息表中;同时,获取所有流量的目的IP地址和目的端口号(步骤102)。
进一步将该所述目的IP地址和目的端口号与二元组信息表中的IP地址和端口号进行匹配,如果匹配,则将包含该目的IP地址和目的端口号的报文信息识别为P2P应用,反之则不然(步骤103、步骤104和步骤105)。
由于上述过程只能对是否为P2P应用进行判定,但是对于通讯中的P2P应用流量为何种P2P软件的应用,则不得而知。
而如何识别为何种P2P软件的应用,则又是对P2P应用加密流量的一个识别,该识别为基于不同P2P应用在交互数据过程中,其数据包长度组合是不同的,而这种组合则完全是由具体的P2P软件的编程实现决定的。
故在上述方法后,进一步还包括对交换数据过程中报文长度组合的一个判断,如果所述报文长度组合满足特定的报文长度组合,则进一步将其识别为拥有该特定报文长度组合的P2P软件加密流量;反之则不是,且结束识别(步骤106、步骤107和步骤108)。
其中,具体的P2P应用加密流的判断为基于不同P2P应用在交互数据过程中报文长度组合不同,而该组合又是由具体P2P软件的编程实现来决定的组合特征而设计的包长度过滤器来进行的,具体如下:
在本发明所述方法中,所述包长度过滤器的设计为:
在该包长度过滤器中设置四个计数器(counter1、counter2、counter3、counter4)以及与所述计数器分别对应的四个标志位(flag1、flag2、flag3,、flag4),其中,该这八个变量初始状态为赋值0。
在识别过程中,统计一个会话的前N个数据包(N=1,2.....n),计数器counter1负责对传输层有效负载长度(payload length)进行位于(A,B)之间且互相之间有效负载长度不相等的数据包进行计数,如果计数为p个,则相对应的就把标志位flag1置1;
计数器counter2负责对有效负载长度位于集合{a,b,c,d,e}中的数据包计数,如果计数为q个,就把标志位flag2置1(出现q个长度相同的数据包,也计数为q个);
计数器couter3负责对有效负载长度大于C且互相之间有效负载长度都相同的数据包进行计数,如果计数等于m个,就把标志位flag3置1;
计数器couter4负责对有效负载长度等于0的数据包进行计数,如果计数等于n个,就把flag4置1;
其中,所述长度范围(A,B)、长度范围{a,b,c,d,e}以及长度范围C中所述长度值A、B、a、b、c、d、e和C为由具体的BT客户端的有效负载长度值来确定的。
结合上述,且参见图1中所示,对P2P应用加密流量的识别判断进一步具体包括以下步骤:
(1)判断P2P应用之一报文信息的传输层有效负载长度是否满足大于A且小于B,如果满足,则计数器counter1进行加1操作,并记录此长度值为Pkt_data_length(变量)。
(2)得到所述P2P应用的下一个报文信息,并判断此报文信息的传输层数据长度是否满足大于A且小于B,如果满足则继续判断该传输层数据长度是否与所述Pkt_data_length(变量)相等,如果不相等则计数器counter1加1操作。
(3)判断计数器counter1的计数是否等于P,如果满足则将标志位flag1置1。
(4)判断所述P2P应用的下一个报文信息的传输层有效负载长度是否存在于集合{a,b,c,d,e}之中,如果满足则将计数器counter2加1操作。
(5)判断计数器counter2计数是否等于q,如果满足则标志位flag2置1。
(6)进一步判断所述P2P应用的下一个报文信息的传输层有效负载长度是否满足大于C,如果满足则计数器couter3加1操作。
(7)判断计数器counter3计数是否等于m,如果满足则标志位flag3置1。
(8)进一步判断所述P2P应用的下一个报文信息的传输层有效负载长度是否等于0,如果满足则计数器counter4加1操作。
(9)判断计数器counter4计数是否等于n,如果满足则标志位flag4置1。
(10)检查标志位flag1、标志位flag2、标志位flag3和标志位flag4的值。
①在对称路由情况下,如果满足以下条件之一
A、标志位flag2=1并且标志位flag3=1
B、标志位flag1=1并且标志位flag3=1并且计数器counter2=1
则识别为P2P应用软件流量;其余的情况均不作处理。
②非对称路由情况下,如果满足以下条件之一
A、标志位flag2=1并且标志位flag3=1
B、标志位flag2=1并且标志位flag4=1
C、标志位flag1=1并且标志位flag3=1并且计数器counter2=1
D、标志位flag1=1并且标志位flag4=1并且计数器counter2=1
就识别为对应的具体P2P应用软件流量。
Claims (5)
1.一种P2P应用加密流量的识别方法,其特征在于,包括以下步骤:
1)根据应用层数据特征获得节点同种子服务器通讯的报文信息,解码该报文信息,从中得到二元组信息;
2)从分布式网络的返回报文中解码得到二元组信息;
3)将步骤(1)和步骤(2)中获取的二元组信息存储至一个二元组信息表中,同时,获取所有流量的目的IP地址和目的端口号;
4)将获得的所有流量的目的IP地址和目的端口号去匹配二元组信息表,如果匹配则标记对应的报文信息为P2P应用;
5)对交换数据过程的报文长度组合进行判断,如果所述报文长度组合满足特定的报文长度组合,则进一步判断其为拥有该特定报文长度组合的P2P应用加密流量;
其中,所述二元组由IP地址和端口号对组成,所述特定的报文长度组合由具体的P2P软件的编程实现而决定。
2.根据权利要求1所述P2P应用加密流量的识别方法,其特征在于,步骤(4)中还包括,如果获得的目的IP地址和端口号与二元组信息表中的信息不匹配,则包含该目的IP地址和端口号的报文信息不是P2P应用。
3.根据权利要求1所述P2P应用加密流量的识别方法,其特征在于,步骤(5)中还包括,如果所述报文长度组合不满足特定的报文长度组合,则检测报文对应的会话不是某种特定P2P软件加密流量。
4.根据权利要求1所述P2P应用加密流量的识别方法,其特征在于,还包括,基于不同P2P应用在交互数据过程中报文长度组合不同,而该报文长度组合又是由具体P2P软件的编程实现来决定的组合特征对包长度过滤器进行设计。
5.根据权利要求4所述P2P应用加密流量的识别方法,其特征在于,所述包长度过滤器设置有四个计数器和四个分别对应于该四个计数器的标志位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102411366A CN101442541B (zh) | 2008-12-30 | 2008-12-30 | P2p应用加密流量的识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102411366A CN101442541B (zh) | 2008-12-30 | 2008-12-30 | P2p应用加密流量的识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101442541A CN101442541A (zh) | 2009-05-27 |
| CN101442541B true CN101442541B (zh) | 2011-11-23 |
Family
ID=40726780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102411366A Expired - Fee Related CN101442541B (zh) | 2008-12-30 | 2008-12-30 | P2p应用加密流量的识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101442541B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753639B (zh) * | 2009-12-11 | 2013-01-02 | 东南大学 | 基于流量通信模式的服务角色识别方法 |
| CN102148854B (zh) * | 2010-10-19 | 2013-08-28 | 北京华为数字技术有限公司 | 对等节点共享流量识别方法和装置 |
| CN102130974A (zh) * | 2011-04-29 | 2011-07-20 | 北京网御星云信息技术有限公司 | 识别p2p数据的方法和装置 |
| CN103746768B (zh) * | 2013-10-08 | 2017-06-23 | 北京神州绿盟信息安全科技股份有限公司 | 一种数据包的识别方法及设备 |
| CN105429819B (zh) * | 2015-11-04 | 2018-08-17 | 深圳市蜂联科技有限公司 | 一种应用识别的包长检测方法 |
| CN105530144B (zh) * | 2015-12-16 | 2017-07-28 | 北京浩瀚深度信息技术股份有限公司 | 非对称路由环境中的业务识别方法和系统 |
| CN107787003A (zh) * | 2016-08-24 | 2018-03-09 | 中兴通讯股份有限公司 | 一种流量检测的方法和装置 |
| CN108881306B (zh) * | 2018-08-08 | 2020-04-28 | 西安交通大学 | 一种基于数据包大小序列的加密流量分析防御方法 |
| CN109275045B (zh) * | 2018-09-06 | 2020-12-25 | 东南大学 | 基于dfi的移动端加密视频广告流量识别方法 |
| CN111212137B (zh) * | 2019-12-31 | 2023-01-17 | 奇安信科技集团股份有限公司 | 由防火墙执行的点对点数据传输的识别方法和装置 |
| CN113938436B (zh) * | 2021-09-26 | 2023-05-26 | 中国联合网络通信集团有限公司 | 识别数据的业务类型的方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
| CN101296224A (zh) * | 2007-04-24 | 2008-10-29 | 北京邮电大学 | 一种p2p流量识别系统和方法 |
-
2008
- 2008-12-30 CN CN2008102411366A patent/CN101442541B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296224A (zh) * | 2007-04-24 | 2008-10-29 | 北京邮电大学 | 一种p2p流量识别系统和方法 |
| CN101282331A (zh) * | 2008-05-09 | 2008-10-08 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101442541A (zh) | 2009-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101442541B (zh) | P2p应用加密流量的识别方法 | |
| US20230115557A1 (en) | Method and System for Transmitting Data in a Computer Network | |
| CN101155196B (zh) | 面向业务的IPv6地址分类与分配方法及实现该方法的终端和系统 | |
| Kim et al. | Application‐level traffic monitoring and an analysis on IP networks | |
| CN101641912B (zh) | 应用用于管理服务流的策略 | |
| EP1867130B1 (en) | A method and apparatus for distributing load on application servers | |
| Hjelmvik et al. | Breaking and improving protocol obfuscation | |
| WO2005099188A9 (ja) | 通信品質管理方法および装置 | |
| WO2011150701A1 (zh) | 数据业务处理方法、网络设备和网络系统 | |
| US7957279B2 (en) | Session border control using multiple processors | |
| CN108990115B (zh) | 一种在集群通信系统多核心网组网下保证QoS的方法 | |
| CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
| US7660906B1 (en) | Data delivery system and method | |
| CN102035750B (zh) | 点对点流量识别方法及装置 | |
| CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
| US20040148417A1 (en) | Method and system for distinguishing higher layer protocols of the internet traffic | |
| CN101699802B (zh) | 一种海量数据分流方法 | |
| CN102480503B (zh) | P2p流量识别方法和装置 | |
| CN101120546A (zh) | 处理接入域上的广播消息的方法和节点 | |
| CN101175038B (zh) | 一种数据流信息传输的方法、通讯系统及设备 | |
| CN107948022A (zh) | 一种对等网络流量的识别方法及识别装置 | |
| CN101789884A (zh) | 网络入侵检测的负载均衡方法 | |
| CN101459546A (zh) | 对等节点流量的识别方法和装置 | |
| CN110430111B (zh) | 一种OpenVPN的数据传输方法及VPN服务器 | |
| US20240113959A1 (en) | Instance-affine service scheduling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING CHANGXUN HENGXING NETWORKING TECHNOLOGY CO Free format text: FORMER OWNER: BEIJING QQ TECHNOLOGY CO.,LTD. Effective date: 20100329 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20100329 Address after: 100037 Beijing City, Xicheng District Fuwai Street No. 2 Wantong New World Plaza B block 8 layer Applicant after: Beijing Chang Xing Star Network Technology Co., Ltd. Address before: 100037 Beijing City, Xicheng District Fuwai Street No. 2 Wantong New World Plaza B block 8 layer Applicant before: Beijing QQ Technology Co., Ltd. |
|
| ASS | Succession or assignment of patent right |
Owner name: HEFEI HOT INFORMATION SCIENCE AND TECHNOLOGY CO., Free format text: FORMER OWNER: BEIJING CHANGXUN HENGXING NETWORK TECHNOLOGY CO., LTD. Effective date: 20100622 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100037 8/F, BLOCK B, WANTONG XINSHIJIE PLAZA, NO.2, FUWAI STREET, XICHENG DISTRICT, BEIJING TO: 230088 ROOM 320, MINCHUANG CENTER, NO.605, HUANGSHAN ROAD, HIGH-TECH. ZONE, HEFEI CITY, ANHUI PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20100622 Address after: 320 room 230088, center of 605 people's road, Mount Huangshan Road, hi tech Zone, Anhui, Hefei Applicant after: Hefei Haote Information Technology Co., Ltd. Address before: 100037 Beijing City, Xicheng District Fuwai Street No. 2 Wantong New World Plaza B block 8 layer Applicant before: Beijing Chang Xing Star Network Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111123 Termination date: 20141230 |
|
| EXPY | Termination of patent right or utility model |