CN101911614B - 基于行为签名识别p2p应用的系统和方法 - Google Patents
基于行为签名识别p2p应用的系统和方法 Download PDFInfo
- Publication number
- CN101911614B CN101911614B CN2009801015497A CN200980101549A CN101911614B CN 101911614 B CN101911614 B CN 101911614B CN 2009801015497 A CN2009801015497 A CN 2009801015497A CN 200980101549 A CN200980101549 A CN 200980101549A CN 101911614 B CN101911614 B CN 101911614B
- Authority
- CN
- China
- Prior art keywords
- port
- discrete
- bag
- time series
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于行为签名从原始混合包跟踪信息中识别P2P应用以及具体P2P软件的系统和方法。根据本发明基于行为签名的系统和方法主要用于检查应用是否具有特定的周期性行为。本发明的方法包括滤除所有无关包;将过滤后的包跟踪信息转换为离散时间序列;处理所述序列以获得原始包跟踪信息的频域特征;以及分析频域特征并确定识别结果。
Description
技术领域
本发明涉及流量识别的系统和方法,具体地,涉及从混合流量跟踪信息来识别P2P(Peer-to-Peer;对等网络)应用的系统和方法。
背景技术
近年来,在因特网和企业IP网络上运行的P2P应用显著增加。P2P应用包括P2P内容分布应用,例如Bit-torrent、Bit-comet以及E-donkey等,以及P2P流应用,例如PPlive、PPstream、Sopcast等。这些应用组成了网络中大量共享的总流量。
因特网和企业网络的网络运营商需要能够识别不同的P2P应用以及相关的流量,以实现网络操作和管理、流量规划、容量规划、配置和成本降低。例如,通过限速或阻塞P2P流量,企业能够确保关键应用性能良好。宽带ISP(服务提供商)欲限制P2P流量来减小被上游ISP收取的费用。
已经存在有一些识别P2P流量的方法。在早些时候基于网络端口的识别有些效果,因为在那时所采用的大多P2P应用默认且固定的传输层端口号。然而如今,由于在大量非标准端口上传输大量的P2P流量,因此使基于默认端口识别的方法难以有效工作。
已经设计出基于签名的识别方式来可靠地识别P2P应用。这需要通过检测包负荷来发现具体应用签名。然而,由于硬件资源有限、应用对负荷的加密、隐私问题和法律问题以及实践中遇到的类似问题等,很难获得包负荷。
公知地,和传统应用例如DNS、E-mail和Web相比,P2P应用由于具有对等网络特征而具有特殊的行为。除了与传统应用不同的特殊行为外,P2P内容分布和P2P流媒体在具体行为上彼此也不同。
P2P应用有两种周期性行为。一种是与节点选择或节点改变相关的行为,P2P内容分布和P2P流媒体应用都具有这种周期性行为。对于P2P内容分布而言,节点周期性地运行阻塞和开放疏通机制,以保持有效的相邻节点。对于P2P流媒体应用,节点还应用节点选择算法,但不应用阻塞和开放疏通机制。P2P流应用中的节点基于相邻节点对之前发出的缓存信息的响应来选择节点。另一种周期性行为是,周期地运行P2P流媒体应用的节点向大量相邻节点发出其流媒体缓存信息(缓存映射表),这导致短时间内该节点与远程主机之间突增大量的并发连接。
近来,提出了一种被称为BLINC的新方法,仅利用当前流收集器(思科的Netflow等)生成的流级(flow-level)信息来识别因特网应用。BLINC不再对每个单独流进行识别,而是将因特网主机与应用相关联。其新颖之处在于通过在传输层获得主机的基本模式来识别主机。然而,BLINC仅可识别应用类型(WEB,DNS,FTP,ATTACK或P2P),而不能识别具体软件(P2P内容分布类型的例如Bit-torrent、Bit-Comet等,以及P2P流媒体类型的例如PPLive、PPstream等)。
发明内容
根据上述现有技术的缺陷,本发明提供一种新颖的从混合流量跟踪信息中识别对等网络应用的系统和方法。根据本发明,基于对等网络应用的行为签名来进行识别。不仅可识别应用,而且还可识别具体P2P软件,例如Bit-torrent、Bit-comet(P2P内容分布应用),以及PPlive、PPstream(P2P流媒体应用)。
针对现有系统的问题,根据本发明的系统和方法不需获取任何包负荷。而是仅需获取包头,该包头包括时间戳、源IP地址和端口号、目的IP地址和端口号以及传输层协议。此外,本发明和方法不需使用任何公知的端口号来解决识别问题。
本发明提供一种基于行为签名识别网络上P2P应用的系统,包括:获取单元,从网络收集的包跟踪信息中获取每个包的包头;过滤器,从所获取的包中滤除所有无关包,并允许配置有目标IP或IP端口对的包通过;第一序列生成单元,根据配置有目标IP或IP端口对的包生成第一离散时间序列;第二序列生成单元,根据配置有目标IP或IP端口对的包生成第二离散时间序列;序列处理器,生成第一离散时间序列和第二离散时间序列的频域特征;以及分析器,获取频域特征以基于频域特征识别P2P应用。
而且,本发明提供一种基于行为签名识别网络上P2P应用的方法,包括:从网络收集的包跟踪信息中获取每个包的包头;对获取的包进行过滤,并输出配置有目标IP或IP端口对的包;根据配置有目标IP或IP端口对的包生成第一离散时间序列;根据与目标IP或IP端口对相关的包生成第二离散时间序列;生成第一离散时间序列和第二离散时间序列的频域特征;以及分析频域特征以识别P2P应用。
附图说明
图1是示出根据本发明识别P2P应用及具体P2P软件的系统的方块示意图;
图2是示出图1中所示的并发连接数序列生成单元的方块示意图;
图3是示出图1中所示的传输会话序列生成单元的方块示意图;
图4是示出图1中所示的序列处理器的方块示意图;
图5是示出根据本发明将大流分为小流的简单示例;
图6示出根据本发明从原始混合包跟踪信息中识别P2P应用以及具体P2P软件的示例性方法;
图7示出将输出包跟踪信息变换为离散时间序列的具体过程;
图8示出图7中步骤2025的详细过程;
图9示出图7中步骤2029的详细过程;以及
图10示出图6中步骤204的详细过程。
具体实施方式
下面将参照附图对本发明的实施例进行描述,但是这些附图仅用于说明本发明的目的而不用于限制本发明。
图1示出根据本发明的示例性系统100,其被配置为从原始混合包跟踪信息中识别P2P应用和具体P2P软件。
如图1所示,系统100包括获取单元10、过滤器20、过滤条件设置单元30、并发连接数序列生成单元40、传输会话序列生成单元50、序列处理器(SP)60以及分析器70。
获取单元10被配置为从包跟踪信息中的每个包中获取包头。所获取的包头可包括包时间戳(TS)、传输层协议(TCP或UDP)、源IP地址、源端口号、以及目的IP地址和目的端口号等。
过滤器20接收获取单元10获取的包头,并基于过滤条件设置单元30设置的过滤条件对与所接收包头相关的包进行过滤。过滤条件用于设置和配置一个特定IP或IP端口对作为目标,其被称为目标IP或IP端口对,在下文将详细描述。如上述所强调的,根据本发明的系统100需要包头来识别P2P应用。因此,该系统处理的仅是从混合包跟踪信息的每个包中获取的包头。
具体地,过滤器20将不属于P2P应用的包滤除。例如,具有例如0.0.0.0或255.255.255.255的特定IP地址(源地址或目的地址)的包绝对与P2P应用无关。而且,具有属于非P2P的其他固定应用的公知端口号(源端口号或目的端口号)的包也将被滤除,公知端口号例如TCP/21(FTP)、TCP或UDP/23(Telnet)等。应理解的是,如果这些无关的包仍然在包跟踪信息中并成为随后序列的源的一部分,那么识别的最终结果可能偏离。
而且,过滤器20允许满足过滤条件的包通过。这些包中的每个都配置有目标IP或IP端口对,无论是源IP、源IP端口对、目的IP还是目的IP端口对。然后,在系统100中处理所有与目标IP或IP端口对相关的包。也就是说,过滤器20的输出是这样的包跟踪信息,该包跟踪信息包括配置有符合过滤条件设置单元30的过滤条件的目标IP或IP端口对的所有包。
过滤器10滤除所有无关包且仅通过配置有目标IP或IP端口对的包之后,并发连接数序列生成单元40、传输会话序列生成单元50、序列处理器(SP)60和分析器70执行对目的IP或IP端口对进行详细识别。
事实上,应理解,系统100迭代地工作。每当过滤条件设置单元30改变条件时,将产生新的目标IP或IP端口对。在原始包跟踪信息的所有IP或IP端口对都经历了整个过程并得出结果之后,才完成识别。
如上所述,P2P应用有两种周期性行为。一种是与节点选择或节点改变相关的行为,P2P内容分布和P2P流媒体应用都具有这种周期性行为。另一种周期性行为是,P2P流媒体节点周期性地向相邻节点发出缓存信息。因此,当一个节点向其相邻节点发送缓存信息时,该节点的并发连接数量将会突增。
并发连接数序列生成单元40和传输会话序列生成单元50被配置为分别捕获上述两种周期性行为。
参照图2,并发连接数序列生成单元40包括收集单元401、计数单元402以及生成单元403。如上所述,将被并发连接数序列生成单元40接收的所有包都配置有目标IP或IP端口对。
收集单元401将时间戳(TS)属于相同时段的所有包收集到一组中。例如,如果时间间隔设置为1秒,则收集单元301将具有时间戳1.12、1.34、1.57、1.86的包以及具有时间戳2.34、2.45、2.89的包分别收集入两组中。
计数单元402对与所收集的每个包都相关联的一个目标IP或IP端口对的并发连接进行计数。实际上,所有收集的包具有共同的特征,其源IP或IP端口对或目的IP或IP端口对相同,也就是目标IP或IP端口对相同。另一方面,每个包都具有源IP或IP端口对和目的IP或IP端口对。除了每个包都具有的(在源位置或目的位置处的)目标IP或IP端口对之外,两个包仅当其包含的另一IP或IP端口对不同时,才认为属于不同的并发连接,否则认为这两个包属于相同的并发连接。此处的另一IP或IP端口对被认为是非目标IP或IP端口对。计数单元402为每个时段维护一张表,该表记录不同的非目标IP或IP端口对。当计数单元402计数时,仅包中的非目标IP或IP端口对有意义。当表中没有记录包的非目标IP或IP端口对时,则在表中将增加新的记录。也就是说,表仅记录非目标IP或IP端口对,无论其是否为源IP或IP端口对或目的IP或IP端口对。在对属于相同时间段的所有包进行检查之后,相关的表中的记录数量与一个目标IP或IP端口对的并发连接的数量相同。
然后,生成单元403生成每个时间段中与该目标IP或IP端口对并发连接数相关的序列,并输出该序列。该序列记为X[n](X[n]=X1,X2,...,Xn),其中n表示第n个时间段。Xn的值是表中第n个时间段的表中的记录的数量。
公知地,当节点阻塞一个其相邻节点时,该节点将停止向该相邻节点的上传操作,这导致结束该节点和该相邻节点之间现有数据传输会话的节点行为;当节点疏通一个其相邻节点时,启动该节点向该相邻节点的上传操作,这导致启动与该节点的相邻节点之间的新的数据传输会话的节点行为。传输会话序列生成单元50被提供以生成与启动新的数据传输会话和结束现有的数据传输会话的数量相关的序列。
与并发连接数序列生成单元40相同,如图3所示,传输会话序列生成单元50接收过滤器20的输出,并包括事件发生器(EG)501、收集单元502、计数单元503以及生成单元504。
EG 501生成事件跟踪信息,事件跟踪信息由被触发事件和数据传输会话启动事件(SE)或数据传输会话结束事件(EE)组成。为此,EG 501包括转换单元5011、过滤单元5012以及生成单元5013。
转换单元5011接收过滤器20输出的包跟踪信息,并将接收的跟踪信息(即包级跟踪信息)转换为单独的数据流。每个数据流由特定数量包组成,这些包具有相同的五元组信息,即,具有相同的源IP地址和端口号、相同的目的IP地址和端口号、以及相同的传输层协议。
而且,在一个数据流中的任何两个连续数据包之间的时间间隔应该小于预定的阈值。如果数据流包括很少量的包或大量的小包,该数据流的内容则将没有意义。因此,过滤器单元5012被配置以滤除无意义的数据流。过滤器单元5012的输出将是活动流,其中每个活动流都包括大量的大包。有利地,一个活动数据流中包的数量应该大于预定值,且每个包的大小应当大于阈值。
随后,根据参数将每个活动数据流分成小流,且由生成单元5013生成事件跟踪信息并将其输出,其中,该参数是一个流中任意两个连续包之间的时间间隔的阈值。
具体地,将两个连续包之间的时间间隔与预定的阈值进行比较。如果两个连续包之间的时间间隔大于阈值,则认为这两个包属于两个不同的流且相应地触发并记录两个事件。第一事件为数据传输会话结束事件,其时间戳与前一个包(前一个包属于前一个流)的时间戳相同。第二事件为数据传输会话启动事件,其时间戳与后一个包(后一个包属于后一个流)的时间戳相同。
图5示出了如何将大流分成小流的简单示例,其中规定时间间隔的阈值为3秒。因为P3和P4之间的时间间隔为11-6-1=4秒,大于阈值3秒,所以P3和P4被收集到不同的小流:会话1和会话2。会话1在第6秒结束,这与P3的时间戳相同,而会话2在第11秒开始,这与P4的时间戳相同。
返回图3,事件发生器501输出如上所述的事件跟踪信息。收集单元502基于事件的时间戳(TS)收集事件发生器502输出的所有事件。计数单元503对所收集的与目标IP或IP端口对相关的事件进行计数。生成单元504生成与目标IP或IP端口对的事件数量相关的序列。此处,生成的序列表示为Y[n](Y[n]=Y1,Y2,...,Yn),其中n表示第n个时间段。Yn的值是第n个时间段中触发的事件的数量。因此,传输会话生成单元50生成并输出与启动新的数据传输会话和结束现有的数据传输会话的数量相关的序列。
具体地,在计数过程中,可对启动事件(SE)和结束事件(EE)这两个事件单独计数,从而生成两个子序列Ys[n]和Ye[n]。对于大多数P2P应用,Ys[n]和Ye[n]拥有与Y[n]相同的特征(例如频域)。然而,对于一些新设计的P2P应用,其Ys[n]和Ye[n]可具有不同的频域特征。虽然这些不同的特征也属于Y[n],但是如果必要时,分离地处理SE和EE可获得更详细的信息和频域特征。
再次参照图1,生成单元40和50的输出X[n]和Y[n]被输入序列处理器(SP)60中。SP 60包括自动相关函数(ACF)单元601以及功率谱密度函数(PSD)单元602。因为序列X[n]和Y[n]都为随机序列,因此有必要在PSD单元602对序列X[n]和Y[n]应用PSD之前,对序列X[n]和Y[n]应用ACF。PSD单元601的结果为频域信号,该频域信号表现来自单元40和50的原始时域序列的频域特征。ACF单元601和PSD单元602的结果分别输出至分析器70。
分析器70被配置以完成签名建立和应用识别。具体地,分析器70可用来确定输入系统100的原始包跟踪信息是否被人为控制、以及产生这些包的具体P2P应用是否预先已知。如果是,则将从SP 60获得的频域特征认为是该已知P2P应用的行为签名。否则,系统100将处理从特定网关或中间节点收集的原始输入包跟踪信息,且分析器70将基于频域特征或行为签名从混合包跟踪信息中识别P2P应用。
由于运行P2P应用(内容分布和流媒体)的主机通常建立大量与其相邻节点的并发连接,因此对具有少量并发连接(例如少于2)的IP或IP端口对进行分析是没有意义的。分析器70滤除这些具有少量并发连接的IP或IP端口对。然后,分析器70操作以将过滤后的频域特征或行为签名映射至具体P2P应用的已有行为签名。
上述映射操作可应用一些现有的模式识别方法。还可应用一些简单的方案来进行映射操作。例如,一种公知的P2P流媒体软件,PPStream,具有下面周期性行为:每个运行PPStream的客户端主机每隔15秒将向大量相邻节点发送其缓存映射,这意味着该客户端主机的并发连接数序列转换到频域后将具有f=1/15Hz的特征频率。此外,该客户端主机的传输会话序列也具有f=1/15Hz的特征频率。这两个特征频率可以认为是PPstream软件的行为签名。与一个目标IP或IP端口对相关联且具有这两个特征频率的所有流量都将被识别为PPStream流量。另一个示例是P2P文件共享软件Bit-torrent(BT)。根据BT的设计协议,BT客户端的并发连接数序列没有特征频率,而该客户端的传输会话序列具有两个不同的特征频率,f1=1/10Hz和f2=1/30Hz。因此,可以相同的方式识别Bit-torrent流量。
图6示出根据本发明的从原始混合包跟踪信息中识别P2P应用和识别具体P2P应用软件的示例性方法1000。
参照图6,方法1000从步骤200开始,在步骤200中从原始包跟踪信息中的每个包中获取包头。原始包跟踪信息可从网关或中间节点收集。
在步骤201,滤除所有无关包,该步骤的输出是包括配置有目标IP或IP端口对的所有包的包跟踪信息。
在步骤202,将包跟踪信息转换为离散时间序列。之后将参照图7详细描述步骤202。
在步骤203将离散时间序列转换为频域序列,频域序列是原始包跟踪信息的行为签名。具体地,对离散时间序列应用ACF以得到第一序列,然后对该序列应用PSD以得到第二序列。第一和第二序列称为未知流量行为签名。
在步骤204,分析未知流量行为签名并生成识别结果。具体地,通过将未知流量行为签名与预先建立的具体P2P应用签名进行比较来进行分析。之后将参照图10进一步描述步骤204。
下面参照图7详细描述步骤202。
图7分别示出了生成并发连接数序列的子步骤2021-2023,以及生成传输会话序列的子步骤2024-2029。
具体地,在步骤2021中,基于包的时间戳,从接收自步骤201的包跟踪信息中收集所有包。
然后,在步骤2022对每个时间段的并发连接进行计数。如上所述,所有收集到一起的包具有共同的特征,即,其源IP或IP端口对或目的IP或IP端口对相同,也就是都具有目标IP或IP端口对。此处,每个包所包括的除目标IP或IP端口对之外(在源位置或目的位置)的另一IP或IP端口对称为非目标IP或IP端口对。实际上,基于一个表来执行步骤2022,该表为每个时间段记录不同的非目标IP或IP端口对。当包的非目标IP或IP端口对在表中没有记录时,则在表中将增加新的记录。也就是说,表仅记录非目标IP或IP端口对,无论其为源IP或IP端口对、还是目的IP或IP端口对。对属于相同时间段的所有包进行检查之后,相关表中的记录数量与一个目标IP或IP端口对的并发连接的数量相同。
在步骤2023,基于所计数的数量生成与并发连接数相关的序列X[n](X[n]=X1,X2,...,Xn),其中n表示第n个时间段。Xn的值是第n个时间段的表中的记录的数量。
在步骤2024,将步骤201生成的包跟踪信息中的包转换为单独的流,每个流由一定数量的包组成,这些包具有相同的五元组信息(相同的源IP地址和端口号、相同的目的IP地址和端口号、以及相同的传输层协议)。而且,流中任何两个连续的包之间的时间间隔应该小于预定的阈值。在步骤2025,滤除无意义的流以及非常短的流。同时,形成包括大量大包的活动流。之后将参照图8详细描述步骤2025。
随后,将剩余的流分成小流,并在步骤2026中生成包括时间戳的输出事件跟踪信息(当该事件被触发时)以及特性(启动事件或结束事件)。
然后,在步骤2027基于时间戳收集输出的事件跟踪信息。在步骤2028,以与步骤2022相似的方式对每个时间段所收集的事件跟踪信息进行计数。在步骤2029,基于所计数的数量,生成与启动新的数据传输会话和结束现有的传输会话的数量相关的序列。此处的序列表示为Y[n](Y[n]=Y1,Y2,...,Yn),其中n表示第n个时间段。Yn的值是第n个时间段中触发的事件的数量。之后将参照图9详细描述步骤2029。
图8示出步骤2025的详细过程。在步骤801设置参数,参数包括定义为大包的包的大小以及所需大包数量的阈值。在步骤802,将输出的事件跟踪信息中每个包的大小与预定的大小进行比较,并对大包进行计数。大小大于预定大小的包认为是大包。然后,在步骤803,确定大包的数量是否大于或等于预定的大包数量。如果是,则在步骤804保留该流。如果不是,则在步骤805丢弃该流。
图9示出步骤2029的详细步骤。
在步骤901,设置任何两个连续包之间的时间间隔阈值。在步骤902,将两个连续包之间的时间间隔与设定的阈值进行比较。如果两个连续包之间的时间间隔大于阈值,则在步骤903将认为这两个包属于两个不同的流且触发并记录两个事件。第一事件是现有数据传输会话结束事件,其时间戳与前一个包的时间戳相同。第二事件是数据传输会话启动事件,其时间戳和后一个包的时间戳相同。如果两个连续包之间的时间间隔不大于阈值,则在步骤904提取紧接着的下两个连续包,并转至步骤902。
参照图10,详细描述分析频域特征的步骤204。
在步骤1001,确定是原始输入包跟踪信息为人为控制还是产生包跟踪信息的具体P2P应用预先已知。如果产生包跟踪信息的具体P2P应用预先已知,则在步骤1002将在步骤203获得的频域特征(即未知行为签名)作为该已知的P2P应用的行为签名。当原始输入包跟踪信息是通过一些网关或中间节点混合和收集时,在步骤1003和1004基于频域特征或行为签名进行识别。
由于运行P2P应用的主机通常建立大量与相邻节点的并发连接,因此分析具有少量并发连接(例如少于2)的IP或IP端口对是没有意义的。
在步骤1003,滤除具有少量并发连接的目标IP或IP端口对。在步骤1004,将过滤后的频域特征或行为签名映射至具体P2P应用的现有行为标签。
综上所述,描述了从原始混合包跟踪信息中识别对等网络应用的新颖的系统和方法。在不脱离所附权利要求书限定的本发明更宽的精神和范围的情况下,可进行不同的改动和变化。因此,具体实施方式和附图用于解释而不用于限定。
Claims (20)
1.一种基于行为签名识别网络上P2P应用的系统,包括:
获取单元,从网络收集的包跟踪信息中获取每个包的包头;
过滤器,从所获取的包中滤除所有无关包,并允许配置有目标IP或IP端口对的包通过;
第一序列生成单元,根据所述配置有目标IP或IP端口对的包生成第一离散时间序列;
第二序列生成单元,根据所述配置有目标IP或IP端口对的包生成第二离散时间序列;
序列处理器,生成所述第一离散时间序列和第二离散时间序列的频域特征;
分析器,获取所述频域特征以基于所述频域特征识别P2P应用;以及
过滤条件设置单元,设置所述目标IP或IP端口对。
2.如权利要求1所述的系统,其中,所述第一序列生成单元进一步包括:
收集单元,通过时间戳来收集所述配置有目标IP或IP端口对的包;
计数单元,对收集的包中的非目标IP或IP端口对进行计数;以及
生成单元,基于计数结果生成所述第一离散时间序列。
3.如权利要求2所述的系统,其中,所述第一离散时间序列是与每个时间段中所述目标IP或IP端口对相关的并发连接数序列。
4.如权利要求1所述的系统,其中,所述第二序列生成单元进一步包括:
事件发生器,生成与所述目标IP或IP端口对相关的事件;
收集单元,基于时间戳收集生成的事件;
计数单元,对所收集的事件进行计数;以及
生成单元,基于计数结果生成所述第二离散事件序列。
5.如权利要求4所述的系统,其中,所述事件发生器进一步包括:
转换单元,将配置有所述目标IP或IP端口对的包转换为单独的数据流;
过滤单元,获得活动数据流;以及
生成单元,根据所述活动数据流生成所述事件。
6.如权利要求5所述的系统,其中,每个数据流包括具有相同的五元组信息的包,所述相同的五元组信息包括相同的源IP地址和端口号、相同的目的IP地址和端口号、以及相同的传输层协议。
7.如权利要求4所述的系统,其中,所述事件包括新数据传输会话启动事件以及现有数据传输会话结束事件。
8.如权利要求1所述的系统,其中,所述序列处理器进一步包括:
自动相关函数单元,对所述第一离散时间序列和第二离散时间序列应用自动相关函数操作,以去除所述第一离散时间序列和第二离散时间序列中随机分量;以及
功率谱密度函数单元,对已经去除了随机分量的序列应用功率谱密度函数操作,以得到频域特征。
9.如权利要求1所述的系统,其中,所述分析器进一步将频域特征映射至预先建立的行为签名。
10.如权利要求9所述的系统,其中,所述映射是利用模式识别技术或简单比较来实现的。
11.如权利要求1所述的系统,其中,所述P2P应用包括P2P内容分布应用和P2P流媒体应用。
12.一种基于行为签名识别网络上P2P应用的方法,包括:
从网络收集的包跟踪信息中获取每个包的包头;
对获取的包进行过滤,并输出配置有所述目标IP或IP端口对的包;
根据配置有所述目标IP或IP端口对的包生成第一离散时间序列;
根据与所述目标IP或IP端口对相关的包生成第二离散时间序列;
生成第一离散时间序列和第二离散时间序列的频域特征;以及
分析所述频域特征以识别所述P2P应用,
其中,所述的方法进一步包括:通过建立至少一个过滤条件来设置所述目标IP或IP端口对。
13.如权利要求12所述的方法,其中,所述生成第一离散时间序列包括:
通过时间戳收集配置有所述目标IP或IP端口对的包;
对所收集的包中所述目标IP或IP端口对的并发连接进行计数;以及
基于计数结果,生成所述第一离散时间序列。
14.如权利要求12所述的方法,其中,所述生成第二离散时间序列进一步包括:
生成与所述目标IP或IP端口对相关的事件;
基于时间戳收集所生成的事件;
对所收集的事件进行计数;以及
基于计数结果,生成所述第二离散时间序列。
15.如权利要求14所述的方法,其中,生成所述事件的步骤进一步包括:
将配置有所述目标IP或IP端口对的包转换为单独的数据流;
对转换后的数据流进行过滤以输出由一定数量的大包组成的活动流;以及
根据所述活动流生成所述事件。
16.如权利要求15所述的方法,其中,所述单独的数据流包括具有相同的五元组信息的包,所述相同的五元组信息包括相同的源IP地址和端口号、相同的目的IP地址和端口号、以及相同的传输层协议。
17.如权利要求16所述的方法,所述事件包括新数据传输会话启动事件以及现有数据传输会话结束事件。
18.如权利要求12所述的方法,其中,生成所述频域特征的步骤进一步包括:
对所述第一离散时间序列和第二离散时间序列应用自动相关函数操作,以去除所述第一离散时间序列和第二离散时间序列中的随机分量;以及
对已经去除随机分量的序列应用功率谱密度函数操作,以得到所述频域特征。
19.如权利要求12所述的方法,其中,分析所述频域特征的步骤进一步包括:
将所述频域特征映射至预先建立的行为签名。
20.如权利要求19所述的方法,其中,所述映射是利用模式识别技术或简单比较来实现的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/018,676 US7904597B2 (en) | 2008-01-23 | 2008-01-23 | Systems and processes of identifying P2P applications based on behavioral signatures |
| US12/018,676 | 2008-01-23 | ||
| PCT/CN2009/070200 WO2009092331A1 (en) | 2008-01-23 | 2009-01-19 | Systems and processes of identifying p2p applications based on behavioral signatures |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101911614A CN101911614A (zh) | 2010-12-08 |
| CN101911614B true CN101911614B (zh) | 2012-12-12 |
Family
ID=40877312
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801015497A Expired - Fee Related CN101911614B (zh) | 2008-01-23 | 2009-01-19 | 基于行为签名识别p2p应用的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7904597B2 (zh) |
| KR (1) | KR101122210B1 (zh) |
| CN (1) | CN101911614B (zh) |
| WO (1) | WO2009092331A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8576968B2 (en) * | 2009-10-08 | 2013-11-05 | At&T Intellectual Property I, L.P. | TCP flow clock extraction |
| KR101212366B1 (ko) * | 2010-11-25 | 2012-12-13 | 엔에이치엔비즈니스플랫폼 주식회사 | P2p 기반의 스트리밍 서비스에서 서버 사용량을 조절하는 시스템 및 방법 |
| US8429280B2 (en) * | 2011-04-28 | 2013-04-23 | Time Warner Cable Inc. | Systems and methods for maintaining a measure of session time on a networked device |
| CN102821101A (zh) * | 2012-07-27 | 2012-12-12 | 北京中科晶上科技有限公司 | Ip数据包识别方法及网关 |
| US9794130B2 (en) * | 2012-12-13 | 2017-10-17 | Coriant Operations, Inc. | System, apparatus, procedure, and computer program product for planning and simulating an internet protocol network |
| CN103118078B (zh) * | 2013-01-16 | 2019-01-22 | 北京邮电大学 | P2p流量的识别方法和设备 |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
| CN1863154A (zh) * | 2005-10-18 | 2006-11-15 | 华为技术有限公司 | 对点对点应用进行限流的方法 |
| CN101051997A (zh) * | 2006-11-20 | 2007-10-10 | 深圳市深信服电子科技有限公司 | 一种基于网络应用中的p2p流量识别控制方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7185081B1 (en) | 1999-04-30 | 2007-02-27 | Pmc-Sierra, Inc. | Method and apparatus for programmable lexical packet classifier |
| US6567379B1 (en) | 1999-06-09 | 2003-05-20 | Cisco Technology, Inc. | Traffic monitor using leaky bucket with variable fill |
| US7095715B2 (en) | 2001-07-02 | 2006-08-22 | 3Com Corporation | System and method for processing network packet flows |
| US7283475B2 (en) | 2001-10-19 | 2007-10-16 | Bbn Technologies Corp. | Fractal dimension analysis for data stream isolation |
| US7260102B2 (en) | 2002-02-22 | 2007-08-21 | Nortel Networks Limited | Traffic switching using multi-dimensional packet classification |
| US7283468B1 (en) | 2002-03-15 | 2007-10-16 | Packeteer, Inc. | Method and system for controlling network traffic within the same connection with different packet tags by varying the policies applied to a connection |
| US7155502B1 (en) | 2002-06-17 | 2006-12-26 | Packeteer, Inc. | Methods, apparatuses and systems facilitating distribution of updated traffic identification functionality to bandwidth management devices |
| US7720910B2 (en) * | 2002-07-26 | 2010-05-18 | International Business Machines Corporation | Interactive filtering electronic messages received from a publication/subscription service |
| US20040083388A1 (en) * | 2002-10-25 | 2004-04-29 | Nguyen The Vinh | Method and apparatus for monitoring data packets in a packet-switched network |
| US7366174B2 (en) | 2002-12-17 | 2008-04-29 | Lucent Technologies Inc. | Adaptive classification of network traffic |
| US20040158630A1 (en) * | 2003-02-12 | 2004-08-12 | Chang Tsung-Yen Dean | Monitoring and controlling network activity in real-time |
| JP5242915B2 (ja) * | 2003-06-05 | 2013-07-24 | インタートラスト テクノロジーズ コーポレイション | ピア・ツー・ピアサービス編成ための相互運用システム及び方法 |
| US7154416B1 (en) | 2005-09-22 | 2006-12-26 | Packeteer, Inc. | Adaptive control of codebook regeneration in data compression mechanisms |
| JP4327142B2 (ja) * | 2005-09-29 | 2009-09-09 | パナソニック株式会社 | 情報処理システム、トンネル通信装置、トンネル通信方法、代理応答装置、及び代理応答方法 |
| CN101529386B (zh) | 2006-03-03 | 2012-10-10 | 新泽西理工学院 | 用于抵御分布式拒绝服务(DDoS)攻击的基于行为的业务区分 |
| CA2637309A1 (en) * | 2006-05-25 | 2007-12-06 | Duaxes Corporation | Communication management system, communication management method, and communication control device |
| US7646728B2 (en) * | 2006-10-13 | 2010-01-12 | SafeMedia Corp. | Network monitoring and intellectual property protection device, system and method |
| KR100773416B1 (ko) * | 2007-03-21 | 2007-11-05 | (주)소만사 | P2p 및 인스턴트 메신저의 네트워크 트래픽 제어 방법및 시스템 |
| US7996520B2 (en) * | 2007-09-19 | 2011-08-09 | Cisco Technology, Inc. | Behavioral classification of communication sessions using active session initiation |
| US20090174551A1 (en) * | 2008-01-07 | 2009-07-09 | William Vincent Quinn | Internet activity evaluation system |
-
2008
- 2008-01-23 US US12/018,676 patent/US7904597B2/en not_active Expired - Fee Related
-
2009
- 2009-01-19 CN CN2009801015497A patent/CN101911614B/zh not_active Expired - Fee Related
- 2009-01-19 WO PCT/CN2009/070200 patent/WO2009092331A1/en active Application Filing
- 2009-01-19 KR KR1020107016561A patent/KR101122210B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750538A (zh) * | 2005-09-29 | 2006-03-22 | 西安交大捷普网络科技有限公司 | 基于p2p高速下载软件产生流量的发现及控制方法 |
| CN1863154A (zh) * | 2005-10-18 | 2006-11-15 | 华为技术有限公司 | 对点对点应用进行限流的方法 |
| CN1852297A (zh) * | 2005-11-11 | 2006-10-25 | 华为技术有限公司 | 网络数据流识别系统及方法 |
| CN101051997A (zh) * | 2006-11-20 | 2007-10-10 | 深圳市深信服电子科技有限公司 | 一种基于网络应用中的p2p流量识别控制方法 |
Non-Patent Citations (3)
| Title |
|---|
| Nen-Fu Huang.Application Behavior Analysis by Stateful Automata Mechanism.《Joumal of Computers》.2008,第18卷(第4期),3-14. * |
| Thomas Karagiannis.BLINC:Multilevel Traffic Classification in the Dark.《SIGCOMM"05》.2005,全文. * |
| Zhang Yi.A Probe into Intensive P2P Operation.《Huawei Technologies》.2007,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101122210B1 (ko) | 2012-03-20 |
| WO2009092331A1 (en) | 2009-07-30 |
| US7904597B2 (en) | 2011-03-08 |
| US20090187653A1 (en) | 2009-07-23 |
| KR20100095475A (ko) | 2010-08-30 |
| CN101911614A (zh) | 2010-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101911614B (zh) | 基于行为签名识别p2p应用的系统和方法 | |
| CN102271090B (zh) | 基于传输层特征的流量分类方法及装置 | |
| Huang et al. | A non-instrusive, wavelet-based approach to detecting network performance problems | |
| US7843827B2 (en) | Method and device for configuring a network device | |
| CN105337951A (zh) | 对系统攻击进行路径回溯的方法与装置 | |
| CN1249957C (zh) | 用户网络使用数据的采集方法 | |
| Sharma et al. | A new labeled flow-based DNS dataset for anomaly detection: PUF dataset | |
| Amini et al. | Botnet detection using NetFlow and clustering | |
| CN101902365B (zh) | 一种广域网p2p流量监控方法及系统 | |
| Li et al. | A VoIP traffic identification scheme based on host and flow behavior analysis | |
| McHugh et al. | Passive network forensics: behavioural classification of network hosts based on connection patterns | |
| CN102648604A (zh) | 借助于描述性的元数据监测网络通信量的方法 | |
| Campbell et al. | Intrusion detection at 100G | |
| CN111200543A (zh) | 一种基于主动服务探测引擎技术的加密协议识别方法 | |
| Kaur et al. | A novel multi scale approach for detecting high bandwidth aggregates in network traffic | |
| François et al. | SAFEM: Scalable analysis of flows with entropic measures and SVM | |
| CN113596037B (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 | |
| KR100769887B1 (ko) | 아이피 주소 관리 시스템 및 방법 | |
| CN108347447B (zh) | 基于周期性通讯行为分析的p2p僵尸网络检测方法、系统 | |
| CN115664739B (zh) | 基于流量特征匹配的用户身份属性主动检测方法及系统 | |
| CN102340532B (zh) | P2p应用识别方法及装置、p2p流量管理方法及装置 | |
| Li et al. | VoIP traffic identification based on host and flow behavior analysis | |
| Wei | On a network forensics model for information security | |
| Kolbe et al. | Monitoring the impact of P2P users on a broadband operator's network | |
| Padovan et al. | DDoSGrid 3.0: Enabling the Real-time Processing and Analysis of Cyber Attacks Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1146560 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121212 Termination date: 20150119 |
|
| EXPY | Termination of patent right or utility model | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1146560 Country of ref document: HK |