CN104253712B - 一种利用深度包检测技术进行p2p网络识别的方法 - Google Patents
一种利用深度包检测技术进行p2p网络识别的方法 Download PDFInfo
- Publication number
- CN104253712B CN104253712B CN201310257198.7A CN201310257198A CN104253712B CN 104253712 B CN104253712 B CN 104253712B CN 201310257198 A CN201310257198 A CN 201310257198A CN 104253712 B CN104253712 B CN 104253712B
- Authority
- CN
- China
- Prior art keywords
- binary tree
- network
- threshold
- carried out
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明为:一种利用深度包检测技术进行P2P网络识别的方法,通过首先判断连接的特性,再进行有针对性的识别的方式,有效的区别了不同情况下的网络识别方式,能够比较便捷的获取识别结果。并且,通过正则表达式构成的有限状态机实现了DPI的处理,并使用二叉树进行查找,提高了查找效率,获取了精确的处理结果。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种深度包检测的方法。
背景技术
随着近年来基于P2P(peer to peer)流量模型的新型网络应用的不断发展,网络带宽资源的消耗速度不断加快,网上传统业务也受到了越来越大的冲击和影响。P2P本身是一种很好的技术,有广阔的使用前景,但同时P2P也是一种杀伤力很强的技术。目前,基于P2P的应用多为带宽耗尽型的下载业务,使得原本富裕的接入、汇聚和骨干带宽资源被消耗殆尽,网络链路经常处于满负荷状态,导致网络服务质量恶化(丢包率、时延及抖动大大增加),使部分对端到端QoS(quality of service)要求较高的语音、视频、游戏类业务的发展受到很大影响,同时挤占了传统互联网应用的带宽资源。如何有效控制此类低价值业务流量对带宽的侵蚀,解决骨干网增量不增收的现状,是摆在运营商面前的一个现实问题。
深度包检测(DPI)技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。深度包检测法就是基于这种原理,通过检测各种P2P 应用协议使用的固定特征字来识别各种 P2P应用。
使用DPI技术能带来以下好处:
a) 检测准确率比基于端口和流量模式的方法高, 端口的变化不会影响检测率。
b) 能够检测使用最广泛的 P2P 应用。
c) 适合流量的精确检测。
发明人在实现实际使用DPI技术时,发现现有技术至少存在如下缺点:
a) 无法识别新出现的、经加密的 P2P 应用, 会出现漏判。
b) 协议分析和特征搜寻需要投入大量人力及时间。
c) 难以获取加密协议的特征。
d) 特征的选择对检测性能有很大影响。
e) 系统检测模块需不定期地进行升级。
f)查看应用层的内容涉及隐私的问题。
g)对检测设备的处理能力要求较高。
发明内容
本发明提供了一种利用DPI技术进行P2P网络识别的方法,包括:
步骤202、构造将表征识别模式的正则表达式,使用有限状态机FSM来表示所述正则表达式;
步骤204、使用二叉树的数据结构来存储有限状态机中的状态转移关系,从而使得每一个正则表达式均能由二叉树中的一个节点来表示;
步骤206、获取待测主机上当前使用的IP连接数和当前所使用的端口数,计算他们之间的差值;
步骤208、判断差值的绝对值是否大于第一阈值;
步骤210、若否,则进入步骤212;若是,则进入步骤222;
步骤212、获取待测主机上所有IP连接所已持续的时长,将其与第二阈值比较,并统计时长超过第二阈值的IP连接的个数;
步骤214、判断所述超过第二阈值的时长的IP连接个数是否大于第三阈值;
步骤216、若是,则进入步骤218;若否,则进入步骤222;
步骤218、获取待测主机上接收和发送的报文,对报文进行DPI处理,扫描其中的文本,进行模式匹配,搜索所述二叉树,将接收到的文本中的内容和二叉树中存储的有限状态机中的模式相比较,确定接收到的报文的模式;所述搜索所述二叉树的方法是采用左侧匹配的原则,即在二叉树查找时使用左侧最先匹配原则进行查找;
步骤220、若识别出该报文为P2P报文,则上报该主机为P2P网络,网络识别结束;若非P2P报文则不进行上报,进入步骤222;
步骤222、不上报,网络识别结束。
根据P2P网络的特性决定了发生P2P连接的特性,但这些特性有可能带来不准确的结果。本发明中,通过首先判断连接的特性,再进行有针对性的识别的方式,有效的区别了不同情况下的网络识别方式,能够比较便捷的获取识别结果。并且,通过正则表达式构成的有限状态机实现了DPI的处理,并使用二叉树进行查找,提高了查找效率,获取了精确的处理结果。通过应用以上技术,能够使得在流量识别中更加准确、快捷的得到识别结果,并且在识别流程上也大幅优化,能够更容易的在现有设备中实现。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的流程图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下将通过具体实施例和相关附图,对本发明作进一步详细说明。
实施例一
本发明实施例一提供了一种利用DPI技术进行P2P网络识别的方法,包括:
步骤202、构造将表征识别模式的正则表达式,使用有限状态机FSM来表示所述正则表达式;
步骤204、使用二叉树的数据结构来存储有限状态机中的状态转移关系,从而使得每一个正则表达式均能由二叉树中的一个节点来表示;
步骤206、获取待测主机上当前使用的IP连接数和当前所使用的端口数,计算他们之间的差值;
步骤208、判断差值的绝对值是否大于第一阈值;
步骤210、若否,则进入步骤212;若是,则进入步骤222;
步骤212、获取待测主机上所有IP连接所已持续的时长,将其与第二阈值比较,并统计时长超过第二阈值的IP连接的个数;
步骤214、判断所述超过第二阈值的时长的IP连接个数是否大于第三阈值;
步骤216、若是,则进入步骤218;若否,则进入步骤222;
步骤218、获取待测主机上接收和发送的报文,对报文进行DPI处理,扫描其中的文本,进行模式匹配,搜索所述二叉树,将接收到的文本中的内容和二叉树中存储的有限状态机中的模式相比较,确定接收到的报文的模式;所述搜索所述二叉树的方法是采用左侧匹配的原则,即在二叉树查找时使用左侧最先匹配原则进行查找;
步骤220、若识别出该报文为P2P报文,则上报该主机为P2P网络,网络识别结束;若非P2P报文则不进行上报,进入步骤222;
步骤222、不上报,网络识别结束。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过主机程序来指令相关的硬件来完成,所述的程序可存储于一主机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种利用DPI技术进行P2P网络识别的方法,包括:
步骤202、构造将表征识别模式的正则表达式,使用有限状态机FSM来表示所述正则表达式;
步骤204、使用二叉树的数据结构来存储有限状态机中的状态转移关系,从而使得每一个正则表达式均能由二叉树中的一个节点来表示;
步骤206、获取待测主机上当前使用的IP连接数和当前所使用的端口数,计算他们之间的差值;
步骤208、判断差值的绝对值是否大于第一阈值;
步骤210、若否,则进入步骤212;若是,则进入步骤222;
步骤212、获取待测主机上所有IP连接已持续的时长,将其与第二阈值比较,并统计时长超过第二阈值的IP连接的个数;
步骤214、判断所述超过第二阈值的时长的IP连接个数是否大于第三阈值;
步骤216、若是,则进入步骤218;若否,则进入步骤222;
步骤218、获取待测主机上接收和发送的报文,对报文进行DPI处理,扫描其中的文本,进行模式匹配,搜索所述二叉树,将接收到的文本中的内容和二叉树中存储的有限状态机中的模式相比较,确定接收到的报文的模式;所述搜索所述二叉树的方法是采用左侧匹配的原则,即在二叉树查找时使用左侧最先匹配原则进行查找;
步骤220、若识别出上述接收和发送的报文为P2P报文,则上报该主机为P2P网络,网络识别结束;若非P2P报文则不进行上报,进入步骤222;
步骤222、不上报,网络识别结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310257198.7A CN104253712B (zh) | 2013-06-26 | 2013-06-26 | 一种利用深度包检测技术进行p2p网络识别的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310257198.7A CN104253712B (zh) | 2013-06-26 | 2013-06-26 | 一种利用深度包检测技术进行p2p网络识别的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104253712A CN104253712A (zh) | 2014-12-31 |
CN104253712B true CN104253712B (zh) | 2017-09-26 |
Family
ID=52188279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310257198.7A Active CN104253712B (zh) | 2013-06-26 | 2013-06-26 | 一种利用深度包检测技术进行p2p网络识别的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104253712B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105099822A (zh) * | 2015-08-04 | 2015-11-25 | 北京瑞汛世纪科技有限公司 | 一种测量网络性能的方法和物理机 |
CN105847078B (zh) * | 2016-03-17 | 2018-12-25 | 哈尔滨工程大学 | 一种基于dpi自学习机制的http流量精细化识别方法 |
CN107835175B (zh) * | 2017-11-09 | 2020-09-22 | 深圳市云盾科技有限公司 | 采用平衡二叉树算法的网络连接跟踪方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645803A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别系统 |
CN102184197A (zh) * | 2011-04-22 | 2011-09-14 | 湖南亿谷信息科技发展有限公司 | 基于智能有限自动机的正则表达式匹配方法 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100145912A1 (en) * | 2008-12-08 | 2010-06-10 | At&T Intellectual Property I, L.P. | Detecting peer to peer applications |
-
2013
- 2013-06-26 CN CN201310257198.7A patent/CN104253712B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645803A (zh) * | 2008-08-05 | 2010-02-10 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别系统 |
CN102184197A (zh) * | 2011-04-22 | 2011-09-14 | 湖南亿谷信息科技发展有限公司 | 基于智能有限自动机的正则表达式匹配方法 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
Non-Patent Citations (1)
Title |
---|
Application of Deep Packet Inspection In peer-to-peer Traffic Identification;Xin-Yu Sun etc;《Consumer Electronics,Communication and Networks(CECNet),2011 International Conference on》;20110516;2963-2965 * |
Also Published As
Publication number | Publication date |
---|---|
CN104253712A (zh) | 2014-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10469364B2 (en) | System and method for real-time load balancing of network packets | |
TW536890B (en) | Scalable real-time quality of service monitoring and analysis of service dependent subscriber satisfaction in IP networks | |
US20090180393A1 (en) | Sampling apparatus distinguishing a failure in a network even by using a single sampling and a method therefor | |
CN104243225B (zh) | 一种基于深度包检测的流量识别方法 | |
CN101547207A (zh) | 一种基于应用行为模式的协议识别控制方法和设备 | |
CN114009089A (zh) | 在通信网络中估计时延敏感业务流的质量度量 | |
CN104717108B (zh) | 基于主动测量和包间隔模型的网络瓶颈带宽测量方法 | |
CN101507205A (zh) | 估计通信网络系统中的网络的质量恶化位置的方法 | |
CN110048962A (zh) | 一种网络流量分类的方法、系统及设备 | |
CN110650067A (zh) | 一种宽带网络性能测试评估方法和系统 | |
CN104253712B (zh) | 一种利用深度包检测技术进行p2p网络识别的方法 | |
CN106330611A (zh) | 一种基于统计特征分类的匿名协议分类方法 | |
CN108206788B (zh) | 一种流量的业务识别方法及相关设备 | |
CN105227348A (zh) | 一种基于ip五元组的哈希存储方法 | |
CN105245551B (zh) | 一种基于dns和包长组合的应用识别方法 | |
CN106131153B (zh) | 基于智能网关的业务识别方法和装置 | |
CN101854366B (zh) | 一种对等网络流量识别的方法及装置 | |
CN115665006B (zh) | 一种随流检测方法及装置 | |
CN101459695A (zh) | P2p业务识别方法和装置 | |
CN110138682A (zh) | 一种流量识别方法及装置 | |
CN104253786B (zh) | 一种基于正则表达式的深度包检测方法 | |
CN104243521B (zh) | 一种利用深度包检测技术进行p2p网络识别的方法 | |
US20110019581A1 (en) | Method for identifying packets and apparatus using the same | |
CN113364793A (zh) | 一种icmp隐蔽隧道检测方法、装置及存储介质 | |
JP4282556B2 (ja) | フローレベル通信品質管理装置と方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100094, Beijing, Haidian District Zhongguancun software park on the two phase, building 15, Zhongxing building, three floor Applicant after: BEIJING SAPLING TECHNOLOGY CO., LTD. Address before: 100084 No. 2 building, No. 1, Nongda South Road, Beijing, Haidian District, B-604 Applicant before: BEIJING SAPLING TECHNOLOGY CO., LTD. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |