CN102333012B - P2p流量检测方法及装置 - Google Patents
P2p流量检测方法及装置 Download PDFInfo
- Publication number
- CN102333012B CN102333012B CN201110314332.3A CN201110314332A CN102333012B CN 102333012 B CN102333012 B CN 102333012B CN 201110314332 A CN201110314332 A CN 201110314332A CN 102333012 B CN102333012 B CN 102333012B
- Authority
- CN
- China
- Prior art keywords
- udp
- tcp
- dest
- connections
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种P2P流量检测方法及装置,其中,所述方法包括:S1、使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;S3、在检测点观察P2P对等点的连接关系;S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。本发明可提高对特殊P2P流量检测的准确度,避免了引擎设备所出现严重的误判、漏判问题,是主要针对一些主流复杂应用的流量特征而定制的优化途径。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种P2P流量检测方法及装置。
背景技术
互联网上大量的个人用户没有公有IP地址,多个客户端往往通过NAT技术共同享有一个IP,联网方式一般都是通过局域网接入因特网。
由于NAT的存在,P2P软件可使用各种穿越NAT的技术来实现直接通信,一般来说连接的发起者是处于NAT后的个人用户而不能是互联网上的用户。
传统通信模型与P2P通用通信模型的区别:传统通信模型是NAT后的节点和互联网上少数几个IP发生连接,该节点与这些IP发生的连接数较多,这是因为传统流量模型中用户要访问的资源集中在服务器上,所以需要建立更多的连接从而获得更高的通信带宽;而传统P2P通信模型是NAT后的对等点与互联网上多个不同的IP地址存在连接,该对等点和每个IP的连接数并不多,这是因为对等点总是倾向于把通信压力分布到各个节点上,而不是聚集到一个特定的节点。
由于大部分P2P应用为了逃避端口检测,往往采用随机选取端口的方式来指定监听端口,而NAT后的对等点总是主动连接互联网上的对等点,故随机选取端口的方式表现在流量特征上就是互联网上这些对等点的监听端口是随机的。源端口的选择遵循如下规律:TCP源端口随机选择,UDP源端口尽量使用相同的端口号。
目前互联网上一些主流P2P应用往往是多种传输方式、多种资源整合技术相结合的软件,这些P2P应用所表现出的流量特征远远比一般的P2P应用流量特征要复杂的很多,而DPI设备在检测目前互联网上这些优秀的主流P2P应用或检测到未知P2P应用流量或P2P加密流量时,容易出现严重的误判、漏判。
发明内容
为了解决上述问题,本发明提供了一种P2P流量检测方法及装置,该P2P流量检测方法及装置可针对DPI设备检测互联网上P2P应用流量或P2P加密流量。
具体技术方案如下:
本发明实施例提供的一种P2P流量检测方法,包括:
S1、使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;
S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;
S3、在检测点观察P2P对等点的连接关系;
S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。
作为本发明的进一步改进,所述S2步骤前还包括:重复多次所述S1步骤。
作为本发明的进一步改进,TCP与UDP被统计的流量特征包括:不同源端口数、不同目标端口数、不同目标地址数。
作为本发明的进一步改进,所述S4步骤具体包括:
根据所述连接关系以及对应的TCP和/或UDP的统计等式进行测试,调整相关阈值;
根据所述阈值判断P2P应用的流量。
本发明实施例提供的一种P2P流量检测装置,包括:
抓取单元,用于使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;
统计单元,用于对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;
观察单元,用于在检测点观察P2P对等点的连接关系;
计算单元,用于根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。
作为本发明的进一步改进,所述执行所述统计单元前重复执行多次所述抓取单元。
作为本发明的进一步改进,TCP与UDP被统计的流量特征包括:不同源端口数、不同目标端口数、不同目标地址数。
作为本发明的进一步改进,所述计算单元还用于:
根据所述连接关系以及对应的TCP和/或UDP的统计等式进行测试,调整相关阈值;
根据所述阈值判断P2P应用的流量。
由以上技术方案可以看出,本发明可提高对特殊P2P流量检测的准确度,避免了引擎设备所出现严重的误判、漏判问题,是主要针对一些主流复杂应用的流量特征而定制的优化途径。
附图说明
图1是本发明一实施方式P2P流量检测方法的流程图;
图2是本发明一实施方式P2P流量检测装置的模块示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
如图1所示,在本发明一实施方式中,所述P2P流量检测方法包括:
S1、使用嗅探工具抓取互联网上的P2P应用(譬如:迅雷,皮皮影视客户端等等)的检测点数据流通信过程指定时间的会话数据包;优选地,为了提高数据的准确度,可以重复此步骤多次;
S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;优选地,所有TCP与UDP会话被统计的主要流量特征包括:不同源端口数、不同目标端口数、不同目标地址数。其中,TCP与UDP方式归纳为本领域普通技术人员的公知常识,在此不再赘述;
S3、在检测点观察P2P对等点的连接关系;优选地,在任一时刻在检测点观察P2P对等点A,它有可能处于公网上或处于常用的NAT、对称NAT后。
S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。优选地,只要满足对应的TCP和/或UDP统计等式,则认为该流量为P2P流量。
其中,在不同连接关系中,TCP和UDP的统计等式可为:
TCP流量特征:
①假如A和互联网上n个节点存在连接,A和任意一个节点之间存在n2(n2>1)条TCP连接,该连接由A发起,发起这样的多条连接为P2P的多线程连接,这里要引入一个变量,即要统计使用多线程连接的不同目的地址数TCP_Tdiff_dest(设备里设为可调);值满足如下等式:2≤TCP_Tdiff_dest;2≤n2≤10。
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Pdiff_dest,这些连接的目的端口将不纳入判断条件,不同源端口数TCP_Pdiff_sport;这些值满足如下等式(n3为阈值,可调):TCP_Pdiff_dest=n ,n≥n3;TCP_Pdiff_sport= TCP_Pdiff_dest。
③假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Ddiff_dest(设备里设为可调),且这些连接的目的端口都相同,不同源端口数TCP_Ddiff_sport;这些值满足如下等式(n4为阈值,可调):TCP_Ddiff_dest=n,n≥n4;TCP_Ddiff_sport= TCP_Ddiff_dest。
④假如A和任意一个节点之间先后存在多条TCP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有TCP连接看作一个连接,划入②中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量。
值得一提的是:为了提高准确性,可在针对单个应用可以作相应的动态调节。
UDP流量特征:
①假如检测点A处于公网上或处于常用的NAT后,使用与P2P通用流量特征UDP流量特征相同的描述,满足如下等式(n5为阈值,可调):UDP_Pdiff_sport<<n;UDP_Pdiff_dest=UDP_Pdiff_dport,n≥n5;UDP_Pdiff_dest=n;
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Ddiff_dest(设备里设为可调),且这些连接的目的端口都相同,不同源端口数UDP_Ddiff_sport;这些值满足如下等式(n6为阈值,可调):UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= UDP_Ddiff_dest;或者UDP_Ddiff_dest=n ,n≥n6;UDP_Ddiff_sport= 1;
③假如检测点A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Sdiff_dest,这些连接的源端口将不纳入判断条件,不同目的端口数UDP_Sdiff_dport;这些值满足如下等式(n7为阈值,可调):UDP_Sdiff_dest=n,n≥n7(n7测试时设为20);UDP_Sdiff_dport= UDP_Sdiff_dest;
④假如A和互联网上n个节点存在连接,A和任意一个节点之间存在多条UDP连接,这样的多条UDP连接的目的端口不相同,且这些连接的源端口都相同,可以将与此目的地址通信的所有UDP连接看作一个连接,划入①中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_PHdiff_dest,这个值满足如下等式(n8为阈值,可调):UDP_PHdiff_dest=n,n≥n8。
大量的这样的检测点A和任意一个节点之间存在2条UDP连接,其中一条连接仅是【A→B】的单方向数据传送,而没有【B→A】的应答包,一般可能是检测NAT设备类型的通信特征。
一般情况下,只要发现上列的等式成立,就可以认为是P2P流量,考虑到准确性,才将其划入①中再判断。
⑤假如A和任意一个节点之间先后存在多条UDP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有UDP连接看作一个连接,划入③中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_SHdiff_dest,这个值满足如下等式(n9为阈值,可调):UDP_SHdiff_dest=n,n≥n9。
一般情况下,只要发现上列的等式成立,就可以认为是P2P流量,考虑到准确性(以及PPFILM的特殊情况),才将其划入③中再判断。
由于整个互联P2P网络的时间上和空间上都在不停地动态变化着,各种应用或协议也是在升级与更新,各个P2P应用网络拓扑的复杂度和网络节点的活跃度也在不停改变,这样需要不停地测试,调整阈值,将阈值n2、n3、n4、n5、n6、n7、n8、n9设置为一个合理的值完全能够使P2P和非P2P有效区分。
如图2所示,在本发明一实施方式中,所述P2P流量检测装置包括:
抓取单元,用于使用嗅探工具抓取互联网上的P2P应用(譬如:迅雷,皮皮影视客户端等等)的检测点数据流通信过程指定时间的会话数据包的;优选地,为了提高数据的准确度,可以重复进行多次抓取;
统计单元,用于对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;优选地,所有TCP与UDP会话被统计的主要流量特征包括:不同源端口数、不同目标端口数、不同目标地址数。其中,TCP与UDP方式归纳为本领域普通技术人员的公知常识,在此不再赘述;
观察单元,用于在检测点观察P2P对等点的连接关系;优选地,在任一时刻在检测点观察P2P对等点A,它有可能处于公网上或处于常用的NAT、对称NAT后。
计算单元,用于根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。优选地,只要满足对应的TCP和/或UDP统计等式,则认为该流量为P2P流量。
其中,在不同连接关系中,TCP和UDP的统计等式可为:
TCP流量特征:
①假如A和互联网上n个节点存在连接,A和任意一个节点之间存在n2(n2>1)条TCP连接,该连接由A发起,发起这样的多条连接为P2P的多线程连接,这里要引入一个变量,即要统计使用多线程连接的不同目的地址数TCP_Tdiff_dest(设备里设为可调);值满足如下等式:2≤TCP_Tdiff_dest;2≤n2≤10。
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Pdiff_dest,这些连接的目的端口将不纳入判断条件,不同源端口数TCP_Pdiff_sport;这些值满足如下等式(n3为阈值,可调):TCP_Pdiff_dest=n,n≥n3;TCP_Pdiff_sport= TCP_Pdiff_dest。
③假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Ddiff_dest(设备里设为可调),且这些连接的目的端口都相同,不同源端口数TCP_Ddiff_sport;这些值满足如下等式(n4为阈值,可调):TCP_Ddiff_dest=n,n≥n4;TCP_Ddiff_sport= TCP_Ddiff_dest。
④假如A和任意一个节点之间先后存在多条TCP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有TCP连接看作一个连接,划入②中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量。
值得一提的是:为了提高准确性,可在针对单个应用可以作相应的的动态调节。
UDP流量特征:
①假如检测点A处于公网上或处于常用的NAT后,使用与P2P通用流量特征UDP流量特征相同的描述,满足如下等式(n5为阈值,可调):UDP_Pdiff_sport<<n;UDP_Pdiff_dest=UDP_Pdiff_dport,n≥n5;UDP_Pdiff_dest=n
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Ddiff_dest(设备里设为可调),且这些连接的目的端口都相同,不同源端口数UDP_Ddiff_sport;这些值满足如下等式(n6为阈值,可调):UDP_Ddiff_dest=n ,n≥n6;UDP_Ddiff_sport= UDP_Ddiff_dest;或者UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= 1。
③假如检测点A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Sdiff_dest,这些连接的源端口将不纳入判断条件,不同目的端口数UDP_Sdiff_dport;这些值满足如下等式(n7为阈值,可调):UDP_Sdiff_dest=n,n≥n7(n7测试时设为20);UDP_Sdiff_dport= UDP_Sdiff_dest。
④假如A和互联网上n个节点存在连接,A和任意一个节点之间存在多条UDP连接,这样的多条UDP连接的目的端口不相同,且这些连接的源端口都相同,可以将与此目的地址通信的所有UDP连接看作一个连接,划入①中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_PHdiff_dest,这个值满足如下等式(n8为阈值,可调):UDP_PHdiff_dest=n,n≥n8。
大量的这样的检测点A和任意一个节点之间存在2条UDP连接,其中一条连接仅是【A→B】的单方向数据传送,而没有【B→A】的应答包,一般可能是检测NAT设备类型的通信特征。
一般情况下,只要发现上列的等式成立,就可以认为是P2P流量,考虑到准确性,才将其划入①中再判断。
⑤假如A和任意一个节点之间先后存在多条UDP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有UDP连接看作一个连接,划入③中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_SHdiff_dest,这个值满足如下等式(n9为阈值,可调):UDP_SHdiff_dest=n,n≥n9。
一般情况下,只要发现上列的等式成立,就可以认为是P2P流量,考虑到准确性(以及PPFILM的特殊情况),才将其划入③中再判断。
由于整个互联P2P网络的时间上和空间上都在不停地动态变化着,各种应用或协议也是在升级与更新,各个P2P应用网络拓扑的复杂度和网络节点的活跃度也在不停改变,这样需要不停地测试,调整阈值,将阈值n2、n3、n4、n5、n6、n7、n8、n9设置为一个合理的值完全能够使P2P和非P2P有效区分。
由上述说明可知,本发明应用了P2P通用流量检测和P2P特殊流量检测,使DPI引擎设备在检测互联网上P2P应用流量或P2P加密流量时,避免了DPI引擎设备出现严重的误判、漏判问题,特别是针对一些主流复杂应用(如迅雷、eMule等等)流量识别的准确度有了极大地提高。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施方式或者实施方式的某些部分所述的方法。
以上所描述的装置实施方式仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施方式方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (8)
1.一种P2P流量检测方法,其特征在于,所述P2P流量检测方法包括以下步骤:
S1、使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;
S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;
S3、在检测点观察P2P对等点的连接关系;
S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量;
所述TCP和/或UDP的统计等式可为:
TCP流量特征:
①假如A和互联网上n个节点存在连接,A和任意一个节点之间存在n2条TCP连接,n2>1,该连接由A发起,发起这样的多条连接为P2P的多线程连接,这里要引入一个变量,即要统计使用多线程连接的不同目的地址数TCP_Tdiff_dest,设备里设为可调;值满足如下等式:2≤TCP_Tdiff_dest;2≤n2≤10;
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Pdiff_dest,这些连接的目的端口将不纳入判断条件,不同源端口数TCP_Pdiff_sport;这些值满足如下等式,n3为阈值,可调:TCP_Pdiff_dest=n,n≥n3;TCP_Pdiff_sport= TCP_Pdiff_dest;
③假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数TCP_Ddiff_sport;这些值满足如下等式,n4为阈值,可调:TCP_Ddiff_dest=n,n≥n4;TCP_Ddiff_sport= TCP_Ddiff_dest;
④假如A和任意一个节点之间先后存在多条TCP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有TCP连接看作一个连接,划入②中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;
UDP流量特征:
①假如检测点A处于公网上或处于常用的NAT后,使用与P2P通用流量特征UDP流量特征相同的描述,满足如下等式,n5为阈值,可调:UDP_Pdiff_sport<n;UDP_Pdiff_dest=UDP_Pdiff_dport,n≥n5;UDP_Pdiff_dest=n;
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数UDP_Ddiff_sport;这些值满足如下等式,n6为阈值,可调:UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= UDP_Ddiff_dest;或者UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= 1;
③假如检测点A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Sdiff_dest,这些连接的源端口将不纳入判断条件,不同目的端口数UDP_Sdiff_dport;这些值满足如下等式,n7为阈值,可调:UDP_Sdiff_dest=n,n≥n7,n7测试时设为20;UDP_Sdiff_dport= UDP_Sdiff_dest;
④假如A和互联网上n个节点存在连接,A和任意一个节点之间存在多条UDP连接,这样的多条UDP连接的目的端口不相同,且这些连接的源端口都相同,可以将与此目的地址通信的所有UDP连接看作一个连接,划入①中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_PHdiff_dest,这个值满足如下等式,n8为阈值,可调:UDP_PHdiff_dest=n,n≥n8;
⑤假如A和任意一个节点之间先后存在多条UDP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有UDP连接看作一个连接,划入③中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_SHdiff_dest,这个值满足如下等式,n9为阈值,可调:UDP_SHdiff_dest=n,n≥n9。
2.根据权利要求1所述的方法,其特征在于,所述S2步骤前还包括:重复多次所述S1步骤。
3.根据权利要求1所述的方法,其特征在于,TCP与UDP被统计的流量特征包括:不同源端口数和不同目标端口数和不同目标地址数。
4.根据权利要求1所述的方法,其特征在于,所述S4步骤具体包括:
根据所述连接关系以及对应的TCP和/或UDP的统计等式进行测试,调整相关阈值;
根据所述阈值判断P2P应用的流量。
5.一种P2P流量检测装置,其特征在于,所述P2P流量检测装置包括:
抓取单元,用于使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;
统计单元,用于对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;
观察单元,用于在检测点观察P2P对等点的连接关系;
计算单元,用于根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量;
TCP流量特征:
①假如A和互联网上n个节点存在连接,A和任意一个节点之间存在n2条TCP连接,n2>1,该连接由A发起,发起这样的多条连接为P2P的多线程连接,这里要引入一个变量,即要统计使用多线程连接的不同目的地址数TCP_Tdiff_dest,设备里设为可调;值满足如下等式:2≤TCP_Tdiff_dest;2≤n2≤10;
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Pdiff_dest,这些连接的目的端口将不纳入判断条件,不同源端口数TCP_Pdiff_sport;这些值满足如下等式,n3为阈值,可调:TCP_Pdiff_dest=n,n≥n3;TCP_Pdiff_sport= TCP_Pdiff_dest;
③假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数TCP_Ddiff_sport;这些值满足如下等式,n4为阈值,可调,:TCP_Ddiff_dest=n,n≥n4;TCP_Ddiff_sport= TCP_Ddiff_dest;
④假如A和任意一个节点之间先后存在多条TCP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有TCP连接看作一个连接,划入②中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;
UDP流量特征:
①假如检测点A处于公网上或处于常用的NAT后,使用与P2P通用流量特征UDP流量特征相同的描述,满足如下等式,n5为阈值,可调:UDP_Pdiff_sport<n;UDP_Pdiff_dest=UDP_Pdiff_dport,n≥n5;UDP_Pdiff_dest=n;
②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数UDP_Ddiff_sport;这些值满足如下等式,n6为阈值,可调:UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= UDP_Ddiff_dest;或者UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= 1;
③假如检测点A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Sdiff_dest,这些连接的源端口将不纳入判断条件,不同目的端口数UDP_Sdiff_dport;这些值满足如下等式,n7为阈值,可调:UDP_Sdiff_dest=n,n≥n7,n7测试时设为20;UDP_Sdiff_dport= UDP_Sdiff_dest;
④假如A和互联网上n个节点存在连接,A和任意一个节点之间存在多条UDP连接,这样的多条UDP连接的目的端口不相同,且这些连接的源端口都相同,可以将与此目的地址通信的所有UDP连接看作一个连接,划入①中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_PHdiff_dest,这个值满足如下等式,n8为阈值,可调:UDP_PHdiff_dest=n,n≥n8;
⑤假如A和任意一个节点之间先后存在多条UDP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有UDP连接看作一个连接,划入③中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_SHdiff_dest,这个值满足如下等式,n9为阈值,可调:UDP_SHdiff_dest=n,n≥n9。
6.根据权利要求5所述的装置,其特征在于,所述执行所述统计单元前重复执行多次所述抓取单元。
7.根据权利要求5所述的装置,其特征在于,TCP与UDP被统计的流量特征包括:不同源端口数和不同目标端口数和不同目标地址数。
8.根据权利要求5所述的装置,其特征在于,所述计算单元还用于:
根据所述连接关系以及对应的TCP和/或UDP的统计等式进行测试,调整相关阈值;
根据所述阈值判断P2P应用的流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110314332.3A CN102333012B (zh) | 2011-10-17 | 2011-10-17 | P2p流量检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110314332.3A CN102333012B (zh) | 2011-10-17 | 2011-10-17 | P2p流量检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102333012A CN102333012A (zh) | 2012-01-25 |
| CN102333012B true CN102333012B (zh) | 2014-06-04 |
Family
ID=45484622
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110314332.3A Active CN102333012B (zh) | 2011-10-17 | 2011-10-17 | P2p流量检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102333012B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102891893B (zh) * | 2012-10-16 | 2015-07-15 | 苏州迈科网络安全技术股份有限公司 | P2p流量识别方法及系统 |
| CN102932283B (zh) * | 2012-11-06 | 2015-04-08 | 无锡江南计算技术研究所 | 一种无限带宽网络初始化方法及系统 |
| CN104243521B (zh) * | 2013-06-19 | 2017-06-09 | 北京思普崚技术有限公司 | 一种利用深度包检测技术进行p2p网络识别的方法 |
| CN112954406B (zh) * | 2021-05-17 | 2021-07-30 | 腾讯科技(深圳)有限公司 | 数据下载方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051997A (zh) * | 2006-11-20 | 2007-10-10 | 深圳市深信服电子科技有限公司 | 一种基于网络应用中的p2p流量识别控制方法 |
| CN101087298A (zh) * | 2006-06-08 | 2007-12-12 | 中国电信股份有限公司 | 一种基于tcp/udp上行会话数目控制p2p下载带宽的方法 |
| CN101510841A (zh) * | 2008-12-31 | 2009-08-19 | 成都市华为赛门铁克科技有限公司 | 端到端流量识别方法和系统 |
| CN102045257A (zh) * | 2010-12-22 | 2011-05-04 | 上海亿煌信息技术有限公司 | 一种基于多协议双向单连接的p2p软件识别方法 |
-
2011
- 2011-10-17 CN CN201110314332.3A patent/CN102333012B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101087298A (zh) * | 2006-06-08 | 2007-12-12 | 中国电信股份有限公司 | 一种基于tcp/udp上行会话数目控制p2p下载带宽的方法 |
| CN101051997A (zh) * | 2006-11-20 | 2007-10-10 | 深圳市深信服电子科技有限公司 | 一种基于网络应用中的p2p流量识别控制方法 |
| CN101510841A (zh) * | 2008-12-31 | 2009-08-19 | 成都市华为赛门铁克科技有限公司 | 端到端流量识别方法和系统 |
| CN102045257A (zh) * | 2010-12-22 | 2011-05-04 | 上海亿煌信息技术有限公司 | 一种基于多协议双向单连接的p2p软件识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102333012A (zh) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI532344B (zh) | 不使用網路而判定防火牆是否將阻絶特定網路封包 | |
| US11750520B2 (en) | Hash tag load balancing | |
| Luckie et al. | Traceroute probe method and forward IP path inference | |
| Dischinger et al. | Glasnost: Enabling End Users to Detect Traffic Differentiation. | |
| US9100298B2 (en) | Host visibility as a network service | |
| CN108353004A (zh) | 用于测试网络功能虚拟化(nfv)的方法、系统和计算机可读介质 | |
| US10693908B2 (en) | Apparatus and method for detecting distributed reflection denial of service attack | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| CN102333012B (zh) | P2p流量检测方法及装置 | |
| US9894074B2 (en) | Method and system for extracting access control list | |
| WO2003030421A1 (en) | Methods and systems for testing stateful network communications devices | |
| CN103763154A (zh) | 一种网络流量检测方法 | |
| US8028058B2 (en) | Dynamic discovery and reporting of one or more application program topologies in a single or networked distributed computing environment | |
| CN109818997A (zh) | 一种负载均衡方法、系统及存储介质 | |
| RO131361A2 (ro) | Metode, sisteme şi suport citibil pe calculator pentru identificarea locaţiilor asociate punctelor de capăt | |
| CN107360247A (zh) | 处理业务的方法和网络设备 | |
| CN108989438A (zh) | 数据分发网络的实现方法、装置和系统 | |
| US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
| Tahir et al. | A novel DDoS floods detection and testing approaches for network traffic based on linux techniques | |
| CN107147585B (zh) | 一种流量控制方法及装置 | |
| CN107135091A (zh) | 一种应用质量指标映射方法、服务器和客户端 | |
| CN108173717A (zh) | 一种用户态下通过获取icmp差错报文监测网络状况的方法 | |
| CN106961393A (zh) | 网络会话中udp报文的检测方法及装置 | |
| CN102891893B (zh) | P2p流量识别方法及系统 | |
| CN107579862B (zh) | 一种测量设备网络通信能力的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 301-302, 3rd Floor, Tiancheng Information Building, No. 88 South Tiancheng Road, High Speed Rail New City, Xiangcheng District, Suzhou City, Jiangsu Province, 215133 Patentee after: SUZHOU MAXNET NETWORK SAFETY TECHNOLOGY Co.,Ltd. Address before: 215021 International Science and Technology Park Phase III 8B, No. 1355 Jinjihu Avenue, Industrial Park, Suzhou City, Jiangsu Province Patentee before: SUZHOU MAXNET NETWORK SAFETY TECHNOLOGY Co.,Ltd. |