CN102148854A - 对等节点共享流量识别方法和装置 - Google Patents
对等节点共享流量识别方法和装置 Download PDFInfo
- Publication number
- CN102148854A CN102148854A CN2010105165375A CN201010516537A CN102148854A CN 102148854 A CN102148854 A CN 102148854A CN 2010105165375 A CN2010105165375 A CN 2010105165375A CN 201010516537 A CN201010516537 A CN 201010516537A CN 102148854 A CN102148854 A CN 102148854A
- Authority
- CN
- China
- Prior art keywords
- flow
- peer node
- shared
- address
- features storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例涉及一种对等节点共享流量识别方法和装置,方法包括:获取数据报文的五元组信息,并根据五元组信息查找数据流表;如果在数据流表中不存在五元组信息,则将数据报文作为未识别的流量,提取流量的连接标识;在预设的连接特征库中查询流量的连接标识;当为UDP流量时,如果在连接特征库中查询到流量的连接标识,则判断其类型是否已确定,如果否或者在预设的连接特征库中查询不到流量的连接标识,则通过DPI对流量进行识别;当为TCP流量时,如果在连接特征库中查询到流量的连接标识,则判断类型是否已确定,如果否,则判断其时间戳是否未超期,如果是则判定流量为P2P共享流量。
Description
技术领域
本发明实施例涉及网络技术领域,尤其是一种对等节点共享流量识别方法和装置。
背景技术
最近几年,对等节点(Peer to Peer,简称:P2P)技术逐渐深入到信息共享、实时通信、网络游戏、金融服务、信息检索、协同工作、普及计算和网络存储等众多领域,P2P技术也因此日益受到计算机界的关注和青睐。然而,随着P2P业务在当前网络中的广泛应用,P2P用户抢占了大量的网络带宽,抢占带宽甚至高达60%~80%,仅将剩余带宽留给其他用户,致使企业内部的业务无法正常运行;大量的网络带宽被P2P用户抢占也使得非P2P用户不能得到应有的网络服务,给因特网服务提供商(Internet Service Provider,简称:ISP)造成压力,引起企业及ISP瓶颈链路的阻塞。进一步地,由于P2P业务本身是一种难以管理的网络流量,其本身路由的无管理性给网络带来巨大负担和低效的流量,使得ISP增量不增收,给ISP的可持续良性发展带来较大的压力。因此,为了确保其他正常网络用户的服务,同时为了更好地发挥P2P技术的优势,P2P共享流量检测技术成为目前业内研究的一个热点。
现有技术中,采用深度报文检测(Deep Packet Inspection,简称:DPI)技术识别P2P共享流量,将事先收集到的各种P2P软件的各自标记性的字符串组成特征库,通过检查数据包中的数据内容,将数据包中的内容与特征库里的字符串进行匹配,若能够找到与数据包中的内容相匹配的字符串,则将该数据包判定为P2P共享流量。
发明人在实施本发明的过程中发现,由于对P2P共享流量中的每个数据包均需要进行字符串检测,因此增加了P2P共享流量的检测时间,并且对检测系统的配置要求较高;此外,若采用数据加密技术对P2P共享流量中的数据包进行加密处理,则根据P2P协议无法检测加密后的数据包中的内容,从而无法获取数据包中的字符串,致使P2P共享流量检测失败。
发明内容
本发明实施例的目的在于提供一种对等节点共享流量识别方法和装置,提高P2P共享流量识别的效率和准确率。
本发明实施例提供一种对等节点共享流量识别方法,包括:
获取数据报文的五元组信息,并根据所述五元组信息查找数据流表;
如果在所述数据流表中不存在所述五元组信息,则将所述数据报文作为未识别的流量,从所述五元组信息中提取所述流量的连接标识;
在预设的连接特征库中查询所述流量的连接标识,所述预设的连接特征库中包括流量的连接标识、时间戳和类型;
当所述流量为用户数据包协议UDP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量,如果否或者在所述预设的连接特征库中查询不到所述流量的连接标识,则通过深度报文检测DPI技术对所述流量进行识别,根据识别结果确定所述流量是否为对等节点共享流量;
当所述流量为传输控制协议TCP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量;如果否,则查询其时间戳是否超期,如果未超期则判定所述流量为对等节点共享流量。
本发明实施例提供一种对等节点共享流量识别装置,包括:
查找模块,用于获取数据报文的五元组信息,并根据所述五元组信息查找数据流表;
提取模块,用于如果所述查找模块在所述数据流表中不存在所述五元组信息,则将所述数据报文作为未识别的流量,从所述五元组信息中提取所述流量的连接标识;
查询模块,用于在预设的连接特征库中查询所述流量的连接标识,所述预设的连接特征库中包括流量的连接标识、时间戳和类型;
第一识别模块,用于当所述流量为用户数据包协议UDP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量,如果否或者在所述预设的连接特征库中查询不到所述流量的连接标识,则通过深度报文检测DPI技术对所述流量进行识别,根据识别结果确定所述流量是否为对等节点共享流量;
第二识别模块,用于当所述流量为传输控制协议TCP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量;如果否,则查询其时间戳是否超期,如果未超期则判定所述流量为对等节点共享流量。
本发明实施例提供的对等节点共享流量识别方法和装置,通过提取未识别流量的连接标识,并根据提取到的流量的连接标识在预设的连接特征库中进行查询,根据查询结果识别该流量是否为P2P共享流量。由于不需要将流量中的内容与特征库里的字符串进行匹配,从而提高了检测P2P共享流量的效率;也正是由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明P2P共享流量识别方法一个实施例的流程示意图;
图2为本发明P2P共享流量识别方法又一个实施例的流程示意图;
图3为本发明P2P共享流量识别方法再一个实施例的流程示意图;
图4为本发明P2P共享流量识别方法另一个实施例的流程示意图;
图5为本发明P2P共享流量识别方法还一个实施例的流程示意图;
图6为本发明P2P共享流量识别方法还再一个实施例的流程示意图;
图7为本发明P2P共享流量识别方法再又一个实施例的流程示意图;
图8为本发明实施例提供的P2P共享流量识别装置的第一种结构示意图;
图9为本发明实施例提供的P2P共享流量识别装置的第二种结构示意图;
图10为本发明实施例提供的P2P共享流量识别装置的第三种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对于P2P文件共享应用,节点(Peer)之间一般存在两种类型的流量:信令流与数据流;其中,信令流用于交换文件信息和控制信息,数据流用于在节点之间传输文件。信令流一般采用用户数据包协议(User DatagramProtocol,简称:UDP)承载,其报文数和字节数都比较小,目前几乎没有采用加密传输;数据流一般采用传输控制协议(Transmission Control Protocol,简称:TCP)承载,报文数和字节数比较多,部分P2P文件共享协议采用加密方式进行传输。
图1为本发明P2P共享流量识别方法一个实施例的流程示意图,如图1所示,本实施例包括如下步骤:
步骤101、获取数据报文的五元组信息,并根据获取到的五元组信息查找数据流表。
其中,数据报文的五元组信息通常是指:由源IP地址(Src_IP),源端口号(Src_Port),目的IP地址(Dest_IP),目的端口号(Dest_Port)和传输层协议号组成的一个集合。例如:192.168.0.110000TCP 121.14.88.7680就构成了一个五元组。其意义是:一个IP地址为192.168.0.1的终端通过端口10000,利用TCP协议,和IP地址为121.14.88.76、端口为80的终端进行连接。由此可见,五元组信息可以唯一确定一个会话。
步骤102、如果在数据流表中不存在上述获取到的数据报文的五元组信息,则将该数据报文作为未识别流量,从五元组信息中提取该流量的连接标识。
其中,由于连续的数据报文序列会不断地生成新的流量或更新已经存在的流量,所以本步骤102中所说的未识别的流量可以是数据报文序列中新生成的流量,也可以是更新的已经存在的流量。
在规定时间内没有更新的流量,会实时或者周期性地老化。这里的规定时间可以是用户自己配置的,也可以是传统意义下规定的64秒钟。
需要说明的是,多个未识别的流量可以形成一条未识别流量的序列,可以按照顺序对其进行P2P共享流量的识别。
其中,流量的连接标识为流量的五元组信息中的一个或多个,流量的连接标识用于表征流量的连接特征,即某一流量所连接的两端(即源端和目的端)之间所建立起来的相互关系。以P2P业务为例,TCP流和UDP流会同时存在相同的连接标识,通过连接标识来反映连接关系;或者,也可以在流量连接的两端同时存在TCP流和UDP流等流量的连接标识。
对于步骤102需要补充说明的是,如果在数据流表中存在上述获取到的数据报文的五元组信息,且流量类型为P2P共享流量,则可以直接判定上述数据报文属于P2P共享流量。
步骤103、在预设的连接特征库中查询该流量的连接标识;
其中,预设的连接特征库中,每一条记录都可以包括:流量的连接标识、流量的时间戳和流量的类型。流量的连接标识有很多种,不同的情况可以使用不同的连接标识表征流量连接特征,流量的时间戳可以随时被更新,流量的类型可以是确定的类型,如P2P共享流量,也可以是类型未知。
步骤104、当流量为UDP流量时,如果在预设的连接特征库中查询到上述流量的连接标识,则在相应的记录中查询该流量的类型是否已经确定;
如果是,且其类型为P2P流量,则判定该流量为P2P共享流量;
如果否,或者在预设的连接特征库中查询不到上述流量的连接标识,则通过DPI技术对上述流量进行识别,并根据DPI技术的识别结果判断该流量是否为P2P共享流量。
步骤105、当流量为TCP流量时,如果在预设的连接特征库中查询到该流量的连接标识,则在相应的记录中查询该流量的类型是否已经确定;
如果是,且其类型为P2P流量,则判定该流量为P2P共享流量;
如果否,则在相应的记录中判断其时间戳是否超期,如果未超期则判定该流量为P2P共享流量。
本发明实施例提供的P2P共享流量识别方法,通过提取未识别流量的连接标识,并根据提取到的流量的连接标识在预设的连接特征库中进行查询,根据查询结果识别该流量是否为P2P共享流量。由于可以不将TCP流量中的内容与特征库里的字符串进行匹配,从而提高了检测P2P共享流量的效率;由于可以避免对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
图2为本发明P2P共享流量识别方法又一个实施例的流程示意图,本发明实施例中的数据报文的类别具体可以为UDP信令流,如图2所示,本实施例包括如下步骤:
步骤201、当在数据流表中不存在已获取到的数据报文的五元组信息时,将数据报文作为未识别的流量,提取其五元组信息中的IP地址和端口号,构成该流量的连接标识;
其中,本实施例中采用五元组信息中的源IP地址和源端口号(Src_IP,Src_Port),以及目的IP地址和目的端口号(Dest_IP,Dest_Port)形成的两个(IP,Port)对作为该UDP流量的连接标识。
需要说明的是,在提取未识别的流量的连接标识之前,还可以包括这样一个可选的步骤:
对该未识别的流量进行提前过滤。
这种提前过滤具体指的是:对于UDP信令流,如果该流量的报文数较多、字节数较多,这种UDP信令流基本不是P2P共享流量,所以可以直接判定为非P2P共享流量,而无需提取其连接标识,也不需要在特征数据库中对这样的流量进行保存。这里所说的报文数较多、字节数较多,可以理解为报文数超过5个、字节数超过2000字节。
步骤202、根据上述UDP流量的连接特征,在预设的连接特征库中查找是否存在与该流量的连接标识对应的匹配记录;
如果存在,执行步骤204;
如果不存在,执行步骤203。
其中,连接特征库中的匹配记录可以如下所示:
{(IP,Port):(time_stamp,Type)}
其中,IP表示该流量的IP地址,Port表示该流量的端口号,源IP地址与源端口号为一组,目的IP地址与目的端口号为一组,time_stamp表示使用该(IP,Port)对的流量的最新时间戳,Type表示使用该(IP,Port)对的流量的类型。之所以连接特征库中的匹配记录形式为上述形式,是充分利用了P2P文件共享应用的UDP信令流和TCP数据流共享服务端口号的特性。举例说明如下:假设上述UDP流量的连接标识为:(100.100.100.1,1)和(100.100.100.2,2),并假设连接特征库中存在这样一条匹配记录:{(100.100.100.1,1),(100.100.100.2,2):(2010年9月21日13点51分20秒,P2P共享流量},则可以判定,在预设的连接特征库中存在与该流量的连接标识对应的匹配记录。
步骤203、将该流量标识中的IP地址和端口号添加到连接特征库中作为一条新的记录,并执行步骤205。
步骤204、根据匹配记录中的类型确定该流量是否为P2P共享流量;
如果是,则识别成功;
如果否,执行步骤205。
其中需要说明的是,如果(Src_IP,Src_Port)和(Dest_IP,Dest_Port)这两个(IP,Port)对在连接特征库中不存在匹配项,或者,即使在连接特征库中存在匹配项而类型未知,则均应执行步骤205。
步骤205、对上述流量进行DPI检测,根据DPI的检测结果判断该流量是否为P2P共享流量;
如果成功识别该流量为P2P共享流量,则执行步骤206;
如果无法成功识别该流量为P2P共享流量,则识别失败。
需要说明的是,为了节约资源、提高效率,DPI检测可以仅比较UDP信令流有效载荷(payload)的前面几个字节(具体检测的字节数可以根据具体情况而定),以避免复杂的算法实现和昂贵的芯片成本等。
步骤206、在连接特征库中更新该流量的时间戳和类型。
通过将流量的时间戳和类型在连接特征库中进行更新,避免了该流量在连接特征库中被老化。
本发明实施例提供的P2P共享流量识别方法,通过获取包括有(Src_IP,Src_Port)和(Dest_IP,Dest_Port)形成的两个(IP,Port)对的流量的连接标识,并在预设的连接特征库中查找是否存在该两个(IP,Port)对所对应的匹配记录,根据匹配记录的时间戳、类型确定该流量是否为P2P共享流量。由于不需要将数据报文的内容与特征库里的关键字进行匹配,从而提高了检测P2P共享流量的效率;由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
图3为本发明P2P共享流量识别方法再一个实施例的流程示意图,本发明实施例中的数据报文的类别具体可以为TCP数据流,如图3所示,本实施例包括如下步骤:
步骤301、当在数据流表中不存在已获取到的数据报文的五元组信息时,将数据报文作为未识别的流量,提取其五元组信息中的IP地址和端口号,构成流量的连接标识;
其中,本实施例中采用源IP地址和源端口号(Src_IP,Src_Port),以及目的IP地址和目的端口号(Dest_IP,Dest_Port)形成的两个(IP,Port)对作为该TCP流量的连接标识。
步骤302、根据上述TCP流量的连接标识,在预设的连接特征库中查找是否存在与该流量的连接标识对应的匹配记录;
如果存在,执行步骤303;
如果不存在,本次识别失败。
其中,连接特征库中的匹配记录可以如下所示:
{(IP,Port):(time_stamp,Type)}
其中,IP表示该流量的IP地址,Port表示该流量的端口号,源IP地址与源端口号为一组,目的IP地址与目的端口号为一组,time_stamp表示使用该(IP,Port)对的流量的最新时间戳,Type表示使用该(IP,Port)对的流量的类型。之所以连接特征库中的匹配记录形式为上述形式,是充分利用了P2P文件共享应用的UDP信令流和TCP数据流共享服务端口号的特性。
步骤303、根据匹配记录中的类型确定该流量是否为P2P共享流量;
如果是,识别成功;
如果否,执行步骤304。
步骤304、检测该匹配记录中的时间戳是否超期;
如果时间戳超期,识别失败;
如果时间戳未超期,执行步骤305。
步骤305、在连接特征库中更新该流量的时间戳和类型,识别成功;
通过将流量的时间戳和类型在连接特征库中进行更新,避免了该流量在连接特征库中被老化。
本发明实施例提供的P2P共享流量识别方法,通过获取包括有(Src_IP,Src_Port)和(Dest_IP,Dest_Port)形成的两个(IP,Port)对的流量的连接流量,并在预设的连接特征库中查找是否存在该两个(IP,Port)对所对应的匹配记录,根据匹配记录的时间戳、类型确定该流量是否为P2P共享流量。由于不需要将数据报文的内容与特征库里的关键字进行匹配,从而提高了检测P2P共享流量的效率;由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
图4为本发明P2P共享流量识别方法另一个实施例的流程示意图,本发明实施例中的数据报文的类别具体可以为UDP信令流,如图4所示,本实施例包括如下步骤:
步骤401、当在数据流表中不存在已获取到的数据报文的五元组信息时,将数据报文作为未识别的流量,提取其五元组信息中的IP地址,构成该流量的连接标识;
其中,本实施例中采用UDP流量五元组信息中的源IP地址和目的IP地址(IP1,IP2)作为该UDP流量的连接标识。其中,IP1表示源IP地址时,IP2表示目的IP地址;IP1表示目的IP地址时,IP2表示源IP地址。
需要说明的是,在提取未识别的流量的连接标识之前,还可以包括这样一个可选的步骤:
对该未识别的流量进行提前过滤。
这种提前过滤具体指的是:对于UDP信令流,如果该流量的报文数较多、字节数较多,这种UDP信令流基本不是P2P共享流量,所以可以直接判定为非P2P共享流量,而无需提取其连接标识,也不需要在特征数据库中对这样的流量进行保存。这里所说的报文数较多、字节数较多,可以理解为报文数超过5个、字节数超过2000字节。这种提前过滤还可以指的是:排除域名系统(Domain Name System,简称为:DNS)、网络基本输入输出系统(NetworkBasic Input Output System,简称为:NETBIOS)、网络时间协议(Network TimeProtocol,简称为:NTP)、互联网安全关联和密钥管理协议(Internet SecurityAssociation and Key Management Protocol,简称为:ISAKMP)、数据流(streaming)、互联网中继聊天(Internet Relay Chat,简称为IRC)、堵塞(gaming)等流量。
步骤402、根据上述UDP流量的连接标识,在预设的连接特征库中查找是否存在与该流量的连接标识对应的匹配记录;
如果存在,执行步骤404;
如果不存在,执行步骤403。
其中,连接特征库中的匹配记录可以如下所示:
{(IP1,IP2):(UTS,TTS,Type)}
其中,UTS表示该UDP流量的最新时间戳,TTS表示与该UDP流量同时存在的TCP流量的最新时间戳,Type表示该UDP流量的类型。之所以连接特征库中的匹配记录形式为上述形式,是充分利用了P2P节点之间在相对比较短的时间之内一般会同时存在TCP连接和UDP会话的特性。
步骤403、将该流量标识中的源IP地址和目的IP地址添加到连接特征数据库中作为一条新的记录,执行步骤405。
步骤404、根据匹配记录中的类型确定该流量是否为P2P共享流量;
如果是,识别成功;
如果否,执行步骤405。
其中需要说明的是,如果(IP1,IP2)在连接特征库中不存在匹配记录,或者,即使在连接特征库中存在匹配记录而类型未知,则均应执行步骤405。
步骤405、对上述流量进行DPI检测,根据DPI的检测结果判断该流量是否为P2P共享流量;
如果成功识别该流量为P2P共享流量,则执行步骤406;
如果无法成功识别该流量为P2P共享流量,则识别失败。
需要说明的是,为了节约资源、提高效率,DPI检测可以仅比较UDP信令流有效载荷(payload)的前面几个字节(具体检测的字节数可以根据具体情况而定),以避免复杂的算法实现和昂贵的芯片成本等。
步骤406、在连接特征库中更新该流量的时间戳和类型。
通过将流量的时间戳和类型在连接特征库中进行更新,避免了该流量在连接特征库中被老化。
步骤406、将该五元组信息中的IP1和IP2添加到连接特征库中,识别成功。
本发明实施例提供的P2P共享流量识别方法,通过获取包括有IP1和IP2的流量的连接标识,并在预设的连接特征库中查找是否存在IP1和IP2所对应的匹配记录,根据匹配记录的时间戳、类型确定该流量是否为P2P共享流量。由于不需要将数据报文的内容与特征库里的关键字进行匹配,从而提高了检测P2P共享流量的效率;由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
图5为本发明P2P共享流量识别方法还一个实施例的流程示意图,本发明实施例中的数据报文的类别具体可以为TCP信令流,如图5所示,本实施例包括如下步骤:
步骤501、当在数据流表中不存在已获取到的数据报文的五元组信息时,将数据报文作为未识别的流量,提取其五元组信息中的IP地址,构成该流量的连接标识;
其中,本实施例采用TCP流量五元组信息中的源IP地址和目的IP地址(IP1,IP2)作为该TCP流量的连接标识。其中,IP1表示源IP地址时,IP2表示目的IP地址;IP1表示目的IP地址时,IP2表示源IP地址。
步骤502、根据上述TCP流量的连接标识,在预设的连接特征库中查找是否存在与该流量的连接标识对应的匹配记录;
如果存在,执行步骤503;
如果不存在,识别失败。
其中,连接特征库中的匹配记录可以如下所示:
{(IP1,IP2):(UTS,TTS,Type)}
其中,UTS表示与该TCP流量同时存在的UDP流量的最新时间戳,TTS表示该TCP流量的最新时间戳,Type表示与该TCP流量同时存在的UDP流量的类型。之所以连接特征库中的匹配记录形式为上述形式,是充分利用了P2P节点之间在相对比较短的时间之内一般会同时存在TCP连接和UDP会话的特性。
步骤503、检测该匹配记录中的时间戳是否超期;
如果时间戳超期,识别失败;
如果时间戳未超期,执行步骤504。
步骤504、在连接特征库中更新该TCP流量对应的时间戳,识别成功。
通过将TCP流量对应的时间戳在连接特征库中进行更新,避免了该TCP流量在连接特征库中被老化。
本发明实施例提供的P2P共享流量识别方法,通过获取包括有IP1和IP2的流量的连接标识,并在预设的连接特征库中查找是否存在IP1和IP2所对应的匹配记录,根据匹配记录的时间戳、类型确定该流量是否为P2P共享流量。由于不需要将数据报文的内容与特征库里的关键字进行匹配,从而提高了检测P2P共享流量的效率;由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
图6为本发明P2P共享流量识别方法还再一个实施例的流程示意图,本发明实施例中的数据报文的类别具体可以为TCP报文中的同步报文(简称TCP同步报文),本实施例主要应用在边界接入路由器如宽带远程接入服务器(Broadband Remote Access Server,简称为:BRAS)或企业边界路由器等。如图6所示,本实施例包括如下步骤:
步骤601、获取该TCP同步报文中提供文件共享服务的节点的IP地址和Port号构成该流量的连接标识;
其中,本实施例采用TCP同步报文中提供文件共享服务的节点的IP地址和Port号作为该TCP同步报文流量的连接标识。
其中,提供文件共享服务的节点的IP地址和Port号可以从内部网络IP发出的ACK+SYN(应答+握手)报文中获得。
步骤602、根据上述TCP同步报文流量的连接标识,在预设的连接特征库中查找是否存在与该流量的连接标识对应的匹配记录;
如果存在,执行步骤604;
如果不存在,执行步骤603。
其中,连接特征库中匹配项可以如下所示:
{(Serv_IP,Serv_Port):(Type,[(IP,Port,TS)])}
其中,Serv_IP和Serv_Port表示提供文件共享服务的节点的IP地址和端口(Port)号,Type表示该服务端口提供的服务类型;(IP、Port、TS)分别表示与该关键字(Serv_IP,Serv_Port)相连接的客户节点的IP地址、端口(Port)号、最新的时间戳。
步骤603、将该提供服务的节点的IP地址和Port插入到连接特征库中作为一条新的记录。
步骤604、更新连接特征库中的该流量对应的IP地址和Port号。
步骤605、根据匹配记录中该提供服务的节点的类型确定该流量是否为P2P共享流量;
如果是,识别成功;
如果否,执行步骤606。
步骤606、判断该流量的连接标识是否具备P2P文件共享业务的服务特征;
如果具备服务特征,则识别成功;
如果不具备服务特征,则识别失败。
其中,P2P文件共享业务的服务特征为P2P文件共享业务特有的一种特征,可以有效区分P2P文件共享业务与其他类型文件共享业务。
本实施例提供的P2P共享流量识别方法,利用P2P文件共享应用的另外一个连接标识,即:与提供服务的(IP,Port)相连接的IP地址和Port号基本相等构造连接特征库;本实施例描述了内网发出的TCP同步报文的处理流程,该处理流程用于生成连接特征库并判断P2P业务类型。需要说明的是:在实际的网络部署中,为了降低P2P文件共享业务识别的误识别率,还需要将一些类似特征的业务排除掉,例如:简单邮件传输协议(Simple Mail TransferProtocol,简称为:SMTP)服务、DNS服务、Gaming和恶意代码(malware)。
图7还给出了普通的TCP/UDP报文的识别流程,该识别流程比较简单,直接用流报文的内网(IP,Port)查询连接数据库即可,由于与图6所示的流程相近似,此处不做赘述。
图8为本发明实施例提供的P2P共享流量识别装置的一种结构示意图,如图8所示,该P2P共享流量识别装置包括:查找模块801、提取模块802、查询模块803、第一识别模块804和第二识别模块805。其中,查找模块801,用于获取数据报文的五元组信息,并根据五元组信息查找数据流表;提取模块802,用于如果查找模块801在数据流表中不存在五元组信息,则将数据报文作为未识别的流量,从五元组信息中提取流量的连接标识;查询模块803,用于在预设的连接特征库中查询流量的连接标识,预设的连接特征库中包括流量的连接标识、时间戳和类型;第一识别模块804,用于当流量为用户数据包协议UDP流量时,如果在预设的连接特征库中查询到流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定流量为对等节点共享流量,如果否或者在预设的连接特征库中查询不到流量的连接标识,则通过深度报文检测DPI技术对流量进行识别,根据识别结果确定流量是否为对等节点共享流量;第二识别模块805,用于当流量为传输控制协议TCP流量时,如果在预设的连接特征库中查询到流量的连接标识,则判断其类型是否已确定,如果是且其类型为对等节点流量,则判定流量为对等节点共享流量;如果否,则判断其时间戳是否超期,如果未超期则判定流量为对等节点共享流量。
图9为本发明实施例提供的P2P共享流量识别装置的第二种结构示意图,如图9所示,该P2P共享流量识别装置还包括:
判定模块806,用于如果查找模块801在数据流表中存在五元组信息,且类型为对等节点共享流量,则判定数据报文属于对等节点共享流量。
如上所述的对等节点共享流量识别装置,一种实施方式下,提取模块802包括:
第一单元,用于提取五元组信息中的源IP和目的IP;
相应的,预设的连接特征库中包括流量的源IP和目的IP,流量中UDP流量的最新时间戳、流量中TCP流量的最新时间戳和流量中UDP流量的类型。
如上所述的对等节点共享流量识别装置,一种实施方式下,提取模块802包括:
第二单元,用于提取五元组信息中的源IP、源端口号以及目的IP、目的端口号;
相应的,预设的连接特征库中包括流量的源IP、源端口号以及目的IP、目的端口号、流量的最新时间戳和流量的应用类型。
如上所述的对等节点共享流量识别装置,另一种实施方式下,提取模块802包括:
第三单元,用于当流量为TCP同步报文时,提取流量中的提供共享服务节点的IP地址和端口号;
相应的,预设的连接特征库中包括提供共享服务节点的IP地址和端口号、服务端口提供的服务类型以及与该提供共享服务节点的IP地址、端口号相连接的客户节点IP地址、端口号和最新时间戳。
如上所述的对等节点共享流量识别装置,第一识别模块804还包括:
添加单元,用于在利用深度报文检测DPI技术对流量进行识别之前,将流量的连接标识作为新的记录添加到预设的连接特征库中。
图10为本发明实施例提供的P2P共享流量识别装置的第三种结构示意图,如图10所示,该P2P共享流量识别装置还包括:
更新模块807,用于根据第一识别模块804和/或第二识别模块805的识别结果更新预设的连接特征库。
本发明实施例提供的P2P共享流量识别装置,通过提取流量的连接特征,并根据提取到的流量的连接标识在预设的连接特征库中进行查询,根据查询结果识别该流量是否为P2P共享流量,由于不需要将TCP流量中的内容与特征库里的字符串进行匹配,从而提高了检测P2P共享流量的效率;由于避免了对P2P共享流量的内容进行检测,因此当P2P共享流量为加密流量时,通过包含有流量的连接标识仍可以检测出P2P共享流量,因此提高了检测P2P共享流量的准确性。
本发明的各种实施例可以单独实施,也可以组合起来实施,或者作为其他业务识别引擎的补充。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、设备、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域普通技术人员可以理解:实现上述实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种对等节点共享流量识别方法,其特征在于,包括:
获取数据报文的五元组信息,并根据所述五元组信息查找数据流表;
如果在所述数据流表中不存在所述五元组信息,则将所述数据报文作为未识别的流量,从所述五元组信息中提取所述流量的连接标识;
在预设的连接特征库中查询所述流量的连接标识,所述预设的连接特征库中包括流量的连接标识、时间戳和类型;
当所述流量为用户数据包协议UDP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量,如果否或者在所述预设的连接特征库中查询不到所述流量的连接标识,则通过深度报文检测DPI技术对所述流量进行识别,根据识别结果确定所述流量是否为对等节点共享流量;
当所述流量为传输控制协议TCP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量;如果否,则查询其时间戳是否超期,如果未超期则判定所述流量为对等节点共享流量。
2.根据权利要求1所述的对等节点共享流量识别方法,其特征在于,所述从所述五元组信息中提取所述流量的连接标识,包括:
提取所述五元组信息中的源IP地址和目的IP地址;
相应的,所述预设的连接特征库中包括流量的源IP地址和目的IP地址,流量中UDP流量的最新时间戳、流量中TCP流量的最新时间戳和流量中UDP流量的类型。
3.根据权利要求1所述的对等节点共享流量识别方法,其特征在于,所述从所述五元组信息中提取所述流量的连接标识,包括:
提取所述五元组信息中的源IP地址、源端口号以及目的IP地址、目的端口号;
相应的,所述预设的连接特征库中包括流量的源IP地址、源端口号以及目的IP地址、目的端口号、流量的最新时间戳和流量的类型。
4.根据权利要求1所述的对等节点共享流量识别方法,其特征在于,所述从所述五元组信息中提取所述流量的连接标识,包括:
当所述流量为TCP报文中的同步报文时,提取所述流量中的提供共享服务节点的IP地址和端口号;
相应的,所述预设的连接特征库中包括提供共享服务节点的IP地址和端口号、服务端口提供的服务类型以及与该提供共享服务节点的IP地址、端口号相连接的客户节点IP地址、端口号和最新时间戳。
5.根据权利要求1所述的对等节点共享流量识别方法,其特征在于,所述通过深度报文检测DPI技术对所述流量进行识别之前,还包括:
将所述流量的连接标识作为新的记录添加到所述预设的连接特征库中。
6.根据权利要求1至5中任一项所述的对等节点共享流量识别方法,其特征在于,还包括:
根据识别结果更新所述预设的连接特征库。
7.一种对等节点共享流量识别装置,其特征在于,包括:
查找模块,用于获取数据报文的五元组信息,并根据所述五元组信息查找数据流表;
提取模块,用于如果所述查找模块在所述数据流表中不存在所述五元组信息,则将所述数据报文作为未识别的流量,从所述五元组信息中提取所述流量的连接标识;
查询模块,用于在预设的连接特征库中查询所述流量的连接标识,所述预设的连接特征库中包括流量的连接标识、时间戳和类型;
第一识别模块,用于当所述流量为用户数据包协议UDP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量,如果否或者在所述预设的连接特征库中查询不到所述流量的连接标识,则通过深度报文检测DPI技术对所述流量进行识别,根据识别结果确定所述流量是否为对等节点共享流量;
第二识别模块,用于当所述流量为传输控制协议TCP流量时,如果在所述预设的连接特征库中查询到所述流量的连接标识,则查询其类型是否已确定,如果是且其类型为对等节点流量,则判定所述流量为对等节点共享流量;如果否,则查询其时间戳是否超期,如果未超期则判定所述流量为对等节点共享流量。
8.根据权利要求7所述的对等节点共享流量识别装置,其特征在于,所述提取模块包括:
第一单元,用于提取所述五元组信息中的源IP地址和目的IP地址;
相应的,所述预设的连接特征库中包括流量的源IP地址和目的IP地址,流量中UDP流量的最新时间戳、流量中TCP流量的最新时间戳和流量中UDP流量的类型。
9.根据权利要求7所述的对等节点共享流量识别装置,其特征在于,所述提取模块包括:
第二单元,用于提取所述五元组信息中的源IP地址、源端口号以及目的IP地址、目的端口号;
相应的,所述预设的连接特征库中包括流量的源IP地址、源端口号以及目的IP地址、目的端口号、流量的最新时间戳和流量的类型。
10.根据权利要求7所述的对等节点共享流量识别装置,其特征在于,所述提取模块包括:
第三单元,用于当所述流量为TCP报文中的同步报文时,提取所述流量中的提供共享服务节点的IP地址和端口号;
相应的,所述预设的连接特征库中包括提供共享服务节点的IP地址和端口号、服务端口提供的服务类型以及与该提供共享服务节点的IP地址、端口号相连接的客户节点IP地址、端口号和最新时间戳。
11.根据权利要求7所述的对等节点共享流量识别装置,其特征在于,所述第一识别模块还包括:
添加单元,用于在利用深度报文检测DPI技术对所述流量进行识别之前,将所述流量的连接标识作为新的记录添加到所述预设的连接特征库中。
12.根据权利要求7至11中任一项所述的对等节点共享流量识别装置,其特征在于,还包括:
更新模块,用于根据第一识别模块和/或第二识别模块的识别结果更新所述预设的连接特征库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010516537 CN102148854B (zh) | 2010-10-19 | 2010-10-19 | 对等节点共享流量识别方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201010516537 CN102148854B (zh) | 2010-10-19 | 2010-10-19 | 对等节点共享流量识别方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102148854A true CN102148854A (zh) | 2011-08-10 |
CN102148854B CN102148854B (zh) | 2013-08-28 |
Family
ID=44422843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201010516537 Expired - Fee Related CN102148854B (zh) | 2010-10-19 | 2010-10-19 | 对等节点共享流量识别方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102148854B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404396A (zh) * | 2011-11-14 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | P2p流量识别方法、装置、设备和系统 |
CN103179040A (zh) * | 2013-03-12 | 2013-06-26 | 浙江大学 | 一种软件路由器的数据包模糊匹配方法 |
CN103561010A (zh) * | 2013-10-28 | 2014-02-05 | 北京交通大学 | 一种一体化标识网络数据流特征标识方法 |
CN104243225A (zh) * | 2013-06-19 | 2014-12-24 | 北京思普崚技术有限公司 | 一种基于深度包检测的流量识别方法 |
CN104869576A (zh) * | 2014-02-24 | 2015-08-26 | 北京奇虎科技有限公司 | 一种无线热点识别方法和装置 |
CN106330582A (zh) * | 2015-06-18 | 2017-01-11 | 中兴通讯股份有限公司 | 一种共享上网移动终端数量的检测方法及装置 |
CN108024291A (zh) * | 2016-11-01 | 2018-05-11 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
CN108173705A (zh) * | 2017-11-28 | 2018-06-15 | 北京天融信网络安全技术有限公司 | 流量引流的首包识别方法、装置、设备及介质 |
CN108574607A (zh) * | 2017-03-08 | 2018-09-25 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
CN109768936A (zh) * | 2018-11-30 | 2019-05-17 | 南京中新赛克科技有限责任公司 | 一种精细化分流系统及分流方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
CN101442541A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | P2p应用加密流量的识别方法 |
WO2009112044A1 (en) * | 2008-03-10 | 2009-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for classifying network traffic and for validating a mechanism for calassifying network traffic |
CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
-
2010
- 2010-10-19 CN CN 201010516537 patent/CN102148854B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913528A (zh) * | 2006-08-25 | 2007-02-14 | 清华大学 | 基于特征码的p2p数据报文检测方法 |
WO2009112044A1 (en) * | 2008-03-10 | 2009-09-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for classifying network traffic and for validating a mechanism for calassifying network traffic |
CN101442541A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | P2p应用加密流量的识别方法 |
CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102404396A (zh) * | 2011-11-14 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | P2p流量识别方法、装置、设备和系统 |
CN102404396B (zh) * | 2011-11-14 | 2014-04-02 | 北京星网锐捷网络技术有限公司 | P2p流量识别方法、装置、设备和系统 |
CN103179040B (zh) * | 2013-03-12 | 2015-11-04 | 浙江大学 | 一种软件路由器的数据包模糊匹配方法 |
CN103179040A (zh) * | 2013-03-12 | 2013-06-26 | 浙江大学 | 一种软件路由器的数据包模糊匹配方法 |
CN104243225B (zh) * | 2013-06-19 | 2017-08-08 | 北京思普崚技术有限公司 | 一种基于深度包检测的流量识别方法 |
CN104243225A (zh) * | 2013-06-19 | 2014-12-24 | 北京思普崚技术有限公司 | 一种基于深度包检测的流量识别方法 |
CN103561010A (zh) * | 2013-10-28 | 2014-02-05 | 北京交通大学 | 一种一体化标识网络数据流特征标识方法 |
CN104869576A (zh) * | 2014-02-24 | 2015-08-26 | 北京奇虎科技有限公司 | 一种无线热点识别方法和装置 |
CN104869576B (zh) * | 2014-02-24 | 2019-07-26 | 北京奇安信科技有限公司 | 一种无线热点识别方法和装置 |
CN106330582A (zh) * | 2015-06-18 | 2017-01-11 | 中兴通讯股份有限公司 | 一种共享上网移动终端数量的检测方法及装置 |
CN106330582B (zh) * | 2015-06-18 | 2020-11-20 | 中兴通讯股份有限公司 | 一种共享上网移动终端数量的检测方法及装置 |
CN108024291A (zh) * | 2016-11-01 | 2018-05-11 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
CN108024291B (zh) * | 2016-11-01 | 2023-02-24 | 中兴通讯股份有限公司 | 一种移动网络中共享上网检测的方法及装置 |
CN108574607A (zh) * | 2017-03-08 | 2018-09-25 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
CN108574607B (zh) * | 2017-03-08 | 2022-09-20 | 中兴通讯股份有限公司 | 基于虚拟专用网络的共享上网检测方法及装置 |
CN108173705A (zh) * | 2017-11-28 | 2018-06-15 | 北京天融信网络安全技术有限公司 | 流量引流的首包识别方法、装置、设备及介质 |
CN109768936A (zh) * | 2018-11-30 | 2019-05-17 | 南京中新赛克科技有限责任公司 | 一种精细化分流系统及分流方法 |
Also Published As
Publication number | Publication date |
---|---|
CN102148854B (zh) | 2013-08-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102148854B (zh) | 对等节点共享流量识别方法和装置 | |
CN106506274B (zh) | 一种可动态扩展的高效单包溯源方法 | |
CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
US7644150B1 (en) | System and method for network traffic management | |
US10547674B2 (en) | Methods and systems for network flow analysis | |
US7990870B2 (en) | Peer-to-peer traffic management based on key presence in peer-to-peer control transfers | |
Keralapura et al. | A novel self-learning architecture for p2p traffic classification in high speed networks | |
CN104320304A (zh) | 一种易扩展的多方式融合的核心网用户流量应用识别方法 | |
US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
CN101009706B (zh) | 保护基于sip的应用的方法 | |
KR20080061055A (ko) | P2p 응용 서비스 식별 시스템 및 방법 | |
CN107181605B (zh) | 报文检测方法及系统、内容提取装置、流量匹配装置 | |
Perényi et al. | Enhanced skype traffic identification | |
Foremski et al. | DNS‐Class: immediate classification of IP flows using DNS | |
Reddy et al. | Heuristic-based real-time p2p traffic identification | |
US8051167B2 (en) | Optimized mirror for content identification | |
CN109547281B (zh) | 一种Tor网络的溯源方法 | |
CN103036789A (zh) | 报文发送方法、装置和网络出口设备 | |
CN101702677B (zh) | 数据流量检测方法及装置 | |
Yuan et al. | Harvesting unique characteristics in packet sequences for effective application classification | |
US20060039297A1 (en) | Data network traffic filter and method | |
Yoon et al. | Header signature maintenance for Internet traffic identification | |
US20100212006A1 (en) | Peer-to-peer traffic management based on key presence in peer-to-peer data transfers | |
Keralapura et al. | Self-learning peer-to-peer traffic classifier | |
Trivedi | A self-learning stateful application identification method for Deep Packet Inspection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C53 | Correction of patent of invention or patent application | ||
CB02 | Change of applicant information |
Address after: 100085 Beijing, Haidian District on the road, No. 3 Applicant after: Beijing Huawei Digital Technology Co.,Ltd. Address before: 100085 Beijing, Haidian District on the road, No. 3 Applicant before: Huawei Digit Technology Co., Ltd. |
|
COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: HUAWEI DIGIT TECHNOLOGY CO., LTD. TO: BEIJING HUAWEI DIGITAL TECHNOLOGY CO., LTD. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130828 Termination date: 20191019 |