CN102624878B - 基于dns协议识别p2p协议的方法及系统 - Google Patents
基于dns协议识别p2p协议的方法及系统 Download PDFInfo
- Publication number
- CN102624878B CN102624878B CN201210043475.XA CN201210043475A CN102624878B CN 102624878 B CN102624878 B CN 102624878B CN 201210043475 A CN201210043475 A CN 201210043475A CN 102624878 B CN102624878 B CN 102624878B
- Authority
- CN
- China
- Prior art keywords
- domain name
- dns
- address
- protocol
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于DNS协议识别P2P协议的方法及系统,涉及互联网领域。所述方法包括:提取采用P2P协议的不同应用的域名关键字,编译形成特征库;扫描主机的DNS请求,判断请求解析的域名是否与当前待分析的应用的域名关键字匹配,如果是,记录DNS解析出的IP地址,执行下一步,否则,重复本步骤;判断是否存在发往所述IP地址的UDP连接,如果存在,记录相应的UDP源端口,执行下一步,否则,重复本步骤;将主机通过UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接。所述方法及系统,高效、准确地完成了对采用P2P协议的应用的识别,有利于实现对网络流量的有效控制。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种基于DNS协议识别P2P协议的方法及系统。
背景技术
传统的协议识别主要有两种方法,其中一种是基于报文内容进行识别,这种识别方法主要采用扫描报文内容并与协议特征库对比的手段进行识别,比如BT(一种内容分发协议)协议报文会包含“BitTorrentprotocol”关键字,根据这些关键字可以进行识别。这种方法的优点是识别准确率高,不足之处在于对于加密流量该方法失效。
另一种方法主要是利用统计模型进行识别,统计对象包括IP(Internet Protocol,网络之间互连的协议)地址、端口、报文负载以及报文速率等,这种方法作为第一种识别方法的补充,主要用来解决第一种识别方法不能解决问题。其优点是不需要扫描报文内容,缺点是识别率差,误识别率较高。
目前的网络电视类软件比如风行、暴风影音等都采用了P2P(Peer-to-Peer,点对点)架构,都属于采用P2P协议的应用,其通讯协议采取加密方式,使用第一种识别方法无法奏效,使用第二种方法漏识别率和误识别率较大。
经过调研分析发现,采用P2P协议的应用一般都会具有这样的工作流程:在软件启动之初需要连接特定功能的服务器,比如登陆服务器、广告服务器以及点播服务器等,因此需要通过DNS(Domain NameSystem,域名系统)协议解析应用服务器域名,解析出这些域名对应的应用服务器IP,之后会通过某个UDP(User Datagram Protocol,用户数据包协议)端口向这些应用服务器IP发起连接,此后,主机与对应当前应用的其他P2P节点之间的通讯都将通过这个UDP端口进行,这个UDP端口就是P2P协议的“监听端口”。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提供一种基于DNS协议识别P2P协议的方法及系统,以便高效、准确地完成对采用P2P协议的应用的识别,进而实现对网络流量的有效控制。
(二)技术方案
为解决上述技术问题,本发明提供一种基于DNS协议识别P2P协议的方法,其包括步骤:
A:提取采用P2P协议的不同应用的域名关键字,编译形成特征库;
B:扫描主机的DNS请求,判断请求解析的域名是否与所述特征库中的当前待分析的应用的域名关键字匹配,如果匹配,记录DNS解析出的IP地址,执行步骤C;否则,重复执行本步骤;
C:监控所述主机发出的所有连接,判断是否存在发往所述IP地址的UDP连接,如果存在,记录所述UDP连接的UDP源端口,执行步骤D;否则,重复执行本步骤;
D:监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接。
优选地,所述步骤B具体包括步骤:
B1:扫描主机的DNS请求和应答报文;
B2:判断所述DNS请求所请求解析的域名是否与所述特征库中的当前待分析的应用的域名关键字匹配,如果匹配,执行步骤B3;否则,执行所述步骤B1;
B3:根据所述应答报文,记录DNS解析出的IP地址,执行步骤C。
优选地,所述步骤A中,从横向和纵向两个方面提取采用P2P协议的不同应用的域名关键字;其中,在横向方面,根据每次启动相应应用时出现的域名,提取相应应用的域名关键字;在纵向方面,根据相应应用的登录服务器、点播服务器和广告服务器的域名,提取相应应用的域名关键字。
本发明还提供一种基于DNS协议识别P2P协议的系统,其包括:特征库形成模块、IP地址获取模块、UDP源端口获取模块和协议识别模块;
所述特征库形成模块,连接所述IP地址获取模块,用于提取采用P2P协议的不同应用的域名关键字,编译形成特征库;
所述IP地址获取模块,连接所述UDP源端口获取模块,用于扫描主机的DNS请求,当请求解析的域名与所述特征库中的当前待分析的应用的域名关键字匹配时,记录DNS解析出的IP地址,并将所述IP地址发送给所述UDP源端口获取模块;
所述UDP源端口获取模块,连接所述协议识别模块,用于接收所述IP地址,并监控所述主机发出的所有连接,当所述主机向所述IP地址发出UDP连接时,记录所述UDP连接的UDP源端口,并将所述UDP源端口发送给所述协议识别模块;
所述协议识别模块,用于监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接。
优选地,所述IP地址获取模块还用于扫描对应所述DNS请求的应答报文,并根据所述应答报文记录DNS解析出的所述IP地址。
优选地,所述特征库形成模块从横向和纵向两个方面提取采用P2P协议的不同应用的域名关键字;其中,在横向方面,根据每次启动相应应用时出现的域名,提取相应应用的域名关键字;在纵向方面,根据相应应用的登录服务器、点播服务器和广告服务器的域名,提取相应应用的域名关键字。
(三)有益效果
本发明的基于DNS协议识别P2P协议的方法及系统,根据采用P2P协议的应用的工作流程的规律,利用了P2P协议中各个负责不同功能的连接之间的相关性,从DNS域名解析推断采用P2P协议的连接,从而高效、准确地完成了对采用P2P协议的应用的识别,有利于实现对网络流量的有效控制
附图说明
图1是本发明实施例所述的基于DNS协议识别P2P协议的方法流程图;
图2是本发明实施例所述基于DNS协议识别P2P协议的系统的模块结构图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是本发明实施例所述的基于DNS协议识别P2P协议的方法流程图。如图1所示,所述方法包括步骤:
A:提取采用P2P协议的不同应用的域名关键字,编译形成特征库。所述采用P2P协议的不同应用可以包括暴风影音、风行、迅雷等应用。
简单起见,以暴风影音这一应用为例,在本步骤A中,通过抓取暴风影音的离线报文,从横向和纵向两个方面提取暴风影音的域名关键字;其中,在横向方面,根据每次启动暴风影音时出现的域名,提取暴风影音的域名关键字(比如baofeng.com);在纵向方面,根据暴风影音的登录服务器、点播服务器和广告服务器的域名,提取暴风影音的域名关键字。所有不同应用的域名关键字被分别提取后,编译形成预定格式的特征库。
B:扫描主机的DNS请求,判断请求解析的域名是否与所述特征库中的当前待分析的应用的域名关键字匹配,如果匹配,记录DNS解析出的IP地址,执行步骤C;否则,重复执行本步骤。
继续以暴风影音作为当前待分析的应用为例进行下述说明,则所述步骤B具体包括步骤:
B1:扫描主机的DNS请求和应答报文;
B2:判断所述DNS请求所请求解析的域名是否与所述特征库中的暴风影音的域名关键字匹配,如果匹配,执行步骤B3;否则,执行所述步骤B1。
B3:根据所述应答报文,记录DNS解析出的IP地址,执行步骤C。
C:监控所述主机发出的所有连接,判断是否存在发往所述IP地址的UDP连接,如果存在,记录所述UDP连接的UDP源端口,执行步骤D;否则,重复执行本步骤。所述UDP源端口就是暴风影音的监听端口。
D:监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的暴风影音对应的连接。本实施例中通过本步骤即可以识别出暴风影音对应的连接,进而可以获取暴风影音的网络流量等相关信息。
图2是本发明实施例所述基于DNS协议识别P2P协议的系统的模块结构图。如图2所示,所述系统包括:特征库形成模块100、IP地址获取模块200、UDP源端口获取模块300和协议识别模块400。
所述特征库形成模块100,连接所述IP地址获取模块200,用于提取采用P2P协议的不同应用的域名关键字,编译形成特征库。
所述IP地址获取模块200,连接所述UDP源端口获取模块300,用于扫描主机的DNS请求,当请求解析的域名与所述特征库中的当前待分析的应用的域名关键字匹配时,记录DNS解析出的IP地址,并将所述IP地址发送给所述UDP源端口获取模块300。
所述UDP源端口获取模块300,连接所述协议识别模块400,用于接收所述IP地址,并监控所述主机发出的所有连接,当所述主机向所述IP地址发出UDP连接时,记录所述UDP连接的UDP源端口,并将所述UDP源端口发送给所述协议识别模块400。
所述协议识别模块400,用于监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接。
其中,所述特征库形成模块100从横向和纵向两个方面提取采用P2P协议的不同应用的域名关键字;其中,在横向方面,根据每次启动相应应用时出现的域名,提取相应应用的域名关键字;在纵向方面,根据相应应用的登录服务器、点播服务器和广告服务器的域名,提取相应应用的域名关键字。
所述IP地址获取模块200还用于扫描对应所述DNS请求的应答报文,并根据所述应答报文记录DNS解析出的所述IP地址。
本发明实施例所述基于DNS协议识别P2P协议的方法及系统,根据采用P2P协议的应用的工作流程的规律,利用了P2P协议中各个负责不同功能的连接之间的相关性,从DNS域名解析推断采用P2P协议的连接,从而高效、准确地完成了对采用P2P协议的应用的识别,有利于实现对网络流量的有效控制。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种基于DNS协议识别P2P协议的方法,其特征在于,包括步骤:
A:提取采用P2P协议的不同应用的域名关键字,编译形成特征库;
B:扫描主机的DNS请求,判断请求解析的域名是否与所述特征库中的当前待分析的应用的域名关键字匹配,如果匹配,记录DNS解析出的IP地址,执行步骤C;否则,重复执行本步骤;
C:监控所述主机发出的所有连接,判断是否存在发往所述IP地址的UDP连接,如果存在,记录所述UDP连接的UDP源端口,执行步骤D;否则,重复执行本步骤;
D:监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接;
其中,所述步骤B具体包括步骤:
B1:扫描主机的DNS请求和应答报文;
B2:判断所述DNS请求所请求解析的域名是否与所述特征库中的当前待分析的应用的域名关键字匹配,如果匹配,执行步骤B3;否则,执行所述步骤B1;
B3:根据所述应答报文,记录DNS解析出的IP地址,执行步骤C。
2.如权利要求1所述的方法,其特征在于,所述步骤A中,从横向和纵向两个方面提取采用P2P协议的不同应用的域名关键字;其中,在横向方面,根据每次启动相应应用时出现的域名,提取相应应用的域名关键字;在纵向方面,根据相应应用的登录服务器、点播服务器和广告服务器的域名,提取相应应用的域名关键字。
3.一种基于DNS协议识别P2P协议的系统,其特征在于,包括:特征库形成模块、IP地址获取模块、UDP源端口获取模块和协议识别模块;
所述特征库形成模块,连接所述IP地址获取模块,用于提取采用P2P协议的不同应用的域名关键字,编译形成特征库;
所述IP地址获取模块,连接所述UDP源端口获取模块,用于扫描主机的DNS请求,当请求解析的域名与所述特征库中的当前待分析的应用的域名关键字匹配时,记录DNS解析出的IP地址,并将所述IP地址发送给所述UDP源端口获取模块;
所述UDP源端口获取模块,连接所述协议识别模块,用于接收所述IP地址,并监控所述主机发出的所有连接,当所述主机向所述IP地址发出UDP连接时,记录所述UDP连接的UDP源端口,并将所述UDP源端口发送给所述协议识别模块;
所述协议识别模块,用于监控所述主机通过所述UDP源端口建立的连接,并将所述主机通过所述UDP源端口建立的连接识别为采用P2P协议的当前待分析的应用对应的连接;
其中,所述IP地址获取模块还用于扫描对应所述DNS请求的应答报文,并根据所述应答报文记录DNS解析出的所述IP地址。
4.如权利要求3所述的系统,其特征在于,所述特征库形成模块从横向和纵向两个方面提取采用P2P协议的不同应用的域名关键字;其中,在横向方面,根据每次启动相应应用时出现的域名,提取相应应用的域名关键字;在纵向方面,根据相应应用的登录服务器、点播服务器和广告服务器的域名,提取相应应用的域名关键字。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210043475.XA CN102624878B (zh) | 2012-02-23 | 2012-02-23 | 基于dns协议识别p2p协议的方法及系统 |
| PCT/CN2012/086440 WO2013123798A1 (zh) | 2012-02-23 | 2012-12-12 | 基于dns协议识别p2p协议的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210043475.XA CN102624878B (zh) | 2012-02-23 | 2012-02-23 | 基于dns协议识别p2p协议的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102624878A CN102624878A (zh) | 2012-08-01 |
| CN102624878B true CN102624878B (zh) | 2014-06-18 |
Family
ID=46564560
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210043475.XA Expired - Fee Related CN102624878B (zh) | 2012-02-23 | 2012-02-23 | 基于dns协议识别p2p协议的方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102624878B (zh) |
| WO (1) | WO2013123798A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624878B (zh) * | 2012-02-23 | 2014-06-18 | 汉柏科技有限公司 | 基于dns协议识别p2p协议的方法及系统 |
| CN103152340B (zh) * | 2013-02-28 | 2015-12-02 | 汉柏科技有限公司 | 一种跨资源访问的协议识别方法 |
| CN103209170A (zh) * | 2013-03-04 | 2013-07-17 | 汉柏科技有限公司 | 文件类型识别方法及识别系统 |
| CN105610763A (zh) * | 2014-10-31 | 2016-05-25 | 杭州迪普科技有限公司 | 协议识别方法及装置 |
| CN110324199B (zh) * | 2019-03-03 | 2021-03-26 | 北京立思辰安科技术有限公司 | 一种通用的协议解析框架的实现方法及装置 |
| CN111212137B (zh) * | 2019-12-31 | 2023-01-17 | 奇安信科技集团股份有限公司 | 由防火墙执行的点对点数据传输的识别方法和装置 |
| CN113630409B (zh) * | 2021-08-05 | 2023-04-28 | 哈尔滨工业大学(威海) | 基于dns解析流量和ip流量融合分析的异常流量识别方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7325058B1 (en) * | 2000-11-13 | 2008-01-29 | Cisco Technology, Inc. | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites |
| CN101321097A (zh) * | 2008-05-27 | 2008-12-10 | 南京邮电大学 | 基于净荷深度检测的腾讯网络直播业务识别方法 |
| CN101631133A (zh) * | 2008-07-15 | 2010-01-20 | 华为技术有限公司 | 一种域名解析系统、设备及方法 |
| CN101668035A (zh) * | 2009-09-28 | 2010-03-10 | 中国人民解放军理工大学指挥自动化学院 | 一种实时识别多种p2p-tv应用视频流的方法 |
| CN101800760A (zh) * | 2009-02-10 | 2010-08-11 | 中国移动通信集团公司 | 一种访问数据业务的实现方法及系统 |
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624878B (zh) * | 2012-02-23 | 2014-06-18 | 汉柏科技有限公司 | 基于dns协议识别p2p协议的方法及系统 |
-
2012
- 2012-02-23 CN CN201210043475.XA patent/CN102624878B/zh not_active Expired - Fee Related
- 2012-12-12 WO PCT/CN2012/086440 patent/WO2013123798A1/zh active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7325058B1 (en) * | 2000-11-13 | 2008-01-29 | Cisco Technology, Inc. | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites |
| CN101321097A (zh) * | 2008-05-27 | 2008-12-10 | 南京邮电大学 | 基于净荷深度检测的腾讯网络直播业务识别方法 |
| CN101631133A (zh) * | 2008-07-15 | 2010-01-20 | 华为技术有限公司 | 一种域名解析系统、设备及方法 |
| CN101800760A (zh) * | 2009-02-10 | 2010-08-11 | 中国移动通信集团公司 | 一种访问数据业务的实现方法及系统 |
| CN101668035A (zh) * | 2009-09-28 | 2010-03-10 | 中国人民解放军理工大学指挥自动化学院 | 一种实时识别多种p2p-tv应用视频流的方法 |
| CN102055813A (zh) * | 2010-11-22 | 2011-05-11 | 杭州华三通信技术有限公司 | 一种网络应用的访问控制方法及其装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013123798A1 (zh) | 2013-08-29 |
| CN102624878A (zh) | 2012-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102624878B (zh) | 基于dns协议识别p2p协议的方法及系统 | |
| WO2017084600A1 (zh) | 用于智能燃气表的物联网系统及其信息传输方法 | |
| US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
| US20090182864A1 (en) | Method and apparatus for fingerprinting systems and operating systems in a network | |
| US20130191890A1 (en) | Method and system for user identity recognition based on specific information | |
| CN103297270A (zh) | 应用类型识别方法及网络设备 | |
| CN102045363A (zh) | 网络流量特征识别规则的建立方法、识别控制方法及装置 | |
| CN102055813A (zh) | 一种网络应用的访问控制方法及其装置 | |
| US20120173712A1 (en) | Method and device for identifying p2p application connections | |
| WO2016193060A1 (en) | Method, apparatus and system for device replacement detection and device recommendation | |
| CN109889454A (zh) | 一种微服务架构的消息推送装置及方法 | |
| CN107911466A (zh) | 一种多层架构下应用关联方法 | |
| WO2016086755A1 (zh) | 一种报文处理的方法和透明代理服务器 | |
| CN100493065C (zh) | 使用即时消息软件的数据检测网络地址转换设备的方法 | |
| CN101094234A (zh) | 一种基于行为特征的p2p协议精确识别方法及系统 | |
| CN102984243A (zh) | 一种ssl协议中应用的自动识别方法和装置 | |
| CN103597466B (zh) | 基于数据推送的实时数据监测 | |
| CN104468771B (zh) | 地理位置的确定方法及装置 | |
| CN105610808A (zh) | 一种基于动态域名解析的网络流量识别方法及系统 | |
| CN111224891B (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
| SG11201809826WA (en) | Sip information analysis method and device, server, and medium | |
| CN111200543A (zh) | 一种基于主动服务探测引擎技术的加密协议识别方法 | |
| CN114221777B (zh) | 受限条件下数字货币流量自同步监测方法、装置和设备 | |
| CN103297480A (zh) | 一种应用服务自动检测系统和方法 | |
| CN105703930A (zh) | 基于应用的会话日志处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20140618 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20140618 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140618 Termination date: 20190223 |