CN1750538B - 基于p2p高速下载软件产生流量的发现及控制方法 - Google Patents
基于p2p高速下载软件产生流量的发现及控制方法 Download PDFInfo
- Publication number
- CN1750538B CN1750538B CN200510096095.2A CN200510096095A CN1750538B CN 1750538 B CN1750538 B CN 1750538B CN 200510096095 A CN200510096095 A CN 200510096095A CN 1750538 B CN1750538 B CN 1750538B
- Authority
- CN
- China
- Prior art keywords
- high speed
- speed unloading
- unloading software
- packet
- condition code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种对软件使用状况进行监控的方法,具体涉及基于P2P高速下载软件产生流量的发现及控制方法。本发明的主要目的是提供一种基于P2P的高速下载软件产生的流量的发现及控制方法,以克服现有技术存在的网络带宽资源被非法占用并且会成为机密资料泄密、病毒传播的最佳管道的问题。为克服现有技术存在的问题,本发明的技术方案是通过对数据包特征码(关键字)进行识别来确认高速下载软件类型,然后通过阻断(或丢弃)它的TCP连接握手协议数据包,达到阻断高速下载软件运行(产生的流量)的目的。
Description
所属技术领域:
本发明涉及一种对软件使用状况进行监控的方法,具体涉及基于P2P高速下载软件产生流量的发现及控制方法。
背景技术:
基于P2P的高速下载软件采用分布式对象的定位、共享机制,使网络用户之间实现直接资源共享,因此,它为用户资源共享提供了前所未有的自由和便利。然而,高速下载软件也带来了负面的影响,主要表现为,1、网络带宽资源被非法占用:高速下载软件的使用常常导致网络带宽资源被大量的非法占用,从而影响了正常的网络通信;2、会成为机密资料泄密、病毒传播的最佳管道:由于基于P2P的高速下载软件可以实现直接资源共享,因此,它也成为机密资料泄密、病毒传播的最佳管道。因此,如何有效地发现及控制基于P2P的高速下载软件的传输流量(使用状况),已经成为网络用户普遍关注的问题。
传统的发现及控制基于P2P的高速下载软件产生的流量的解决办法包括采用限制和监控浏览BT网站、封闭高速下载软件下载端口、限制用户带宽、限制最大连接数等方法。但这些方法并未起到理想的效果,这是因为用户不通过BT网站也可以得到“种子”;另一方面基于P2P的高速下载软件采用端口协商的方式,通讯端口是动态的,使得用户无法确定该封锁的端口;同时限制用户带宽、限制最大连接数的方法虽然可以对控制(阻断)高速下载软件产生的流量具有一定的作用,但是,这种方法不能从根本上解决问题,而且可能会影响用户正常的网络使用。
发明内容:
本发明的主要目的是提供一种基于P2P高速下载软件产生流量的发现及控制方法,以克服现有技术存在的网络带宽资源被非法占用并且会成为机密资料泄密、病毒传播的最佳管道的问题。
为克服现有技术存在的问题,本发明的技术方案是通过对数据包特征码(关键字)进行识别来确认高速下载软件类型,然后通过阻断(或丢弃)它的TCP连接握手协议数据包,达到阻断高速下载软件运行(产生的流量)的目的。
本方法具体包括以下几个步骤:
步骤一:建立基于P2P的高速下载软件产生的流量的特征码(关键字)库和控制规则库,
其中控制规则库是指由用户配置的关于各个基于P2P的高速下载软件产生的流量的处理规则,该控制规则库通过一条或多条规则组成,先添加的规则先生效;
步骤二:在传输层捕获每一个数据包;
步骤三:对每一个数据包进行特征码(关键字)匹配,通过匹配到的特征码(关键字)来确认产生该数据包的高速下载软件类型;
步骤四:如果确定了某个数据包符合某个基于P2P的高速下载软件特征码(关键字),则根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码(关键字)库中的任何特征码(关键字)都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
上述方案还包括步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作。
上述步骤一中所述的基于P2P的高速下载软件产生的流量的特征码(关键字)至少包括:BT,电驴,fasttrack,gnutella,dc,openft。
上述步骤四所述的特征码(关键字)匹配为:首先捕获数据包,然后将数据包的内容与关键字库中的所有特征码(关键字)进行逐一对比,如果匹配上其中的一个特征码(关键字),则匹配过程停止,提取该特征码(关键字)对应的高速下载软件类型,并继续执行步骤五,根据高速下载软件类型进行相应的控制规则匹配。
以上步骤五所述的高速下载软件类型控制规则匹配为:首先逐行的读取基于P2P的高速下载软件控制规则文件,将规则文件逐行转化为规则的内部链表形式,再遍历整个规则链表,对基于P2P的高速下载软件类型进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,并执行该条链表规则的动作;系统预置动作至少包括:阻断、放行或放入黑名单等。
上面两个步骤中所说的放行是指本发明所涉及的基于P2P的高速下载软件产生的流量阻断模块对该数据包放行,而不代表整个系统(防火墙、IDS等)对该数据包放行。
与现有技术相比,本发明的优点是:
本发明从根本上解决了基于P2P的高速下载软件产生的流量的发现和控制问题,从而解决了一直难以克服的两大问题:
1、防止网络带宽资源非法占用:本发明可对基于P2P的高速下载软件产生的流量的监控,可有效避免大量的在线长时间下载带来的网络带宽滥用问题,不再对正常的网络通信造成影响;
2、杜绝了通过基于P2P的高速下载软件进行的机密数据盗窃行为和网络病毒传播行为,同时,不影响合法用户的正常网络访问;
3、本发明适用范围广,主要用于对高速下载软件的发现及控制方法,重点是发现,其可用于防火墙、IDS等设备中。
附图说明:
附图为本发明基于P2P的高速下载软件产生的流量控制流程图。
具体实施方式:
下面以在防火墙设备中实施本发明为例来进行详细说明。实施时需要在防火墙中设置基于P2P的高速下载软件产生的流量检测控制模块,该模块完成基于P2P的高速下载软件产生的流量的检测、控制功能。
步骤一:建立基于P2P的高速下载软件产生的流量的特征码(关键字)库和控制规则库。在建立特征码(关键字)库之前,首先要确认需要进行控制的基于P2P的高速下载软件种类,然后对于每个选中的高速下载软件种类进行分析,合理的确定其中的特征码(关键字)。关键字的确定原则是:关键字要具有该协议的典型代表性,同时要尽量减小误报的可能性。我们以基于P2P的高速下载软件BT为例,来说明如何选择特征码(关键字)。BT软件通过BitTorrent对等协议进行数据传输,该协议是基于TCP协议,BitTorrent协议通过三次握手来建立连接。第一次握手的过程首先是先发送“BitTorrent protocol”,这时发送的“BitTorrent protocol”就是本发明方法中的BitTorrent对等协议特征码(关键字)关键字。其它的基于P2P的高速下载软件产生的流量与BitTorrent对等协议具有大同小异的架构,依次都可以在流量中提取出关键字,将这些关键字集合到一起构成基于P2P的高速下载软件产生的流量的特征码(关键字)库。关键字库的格式为:
P2P协议关键字 | P2P协议类型 |
特征码(关键字)库是可扩展的,如果要在防火墙中增加一种基于P2P的高速下载软件产生的流量的检测控制,可以通过在特征码(关键字)库加入一个或几个特征码(关键字)来实现。
基于P2P的高速下载软件产生的流量的控制规则库是与基于P2P的高速下载软件产生的流量的特征码(关键字)库相对应的,该库中记录着对应于特征码(关键字)库中每个高速下载软件的处置方法。规则的具体格式如下所示:
源/目的地址/网段 | 下载软件种类 | 时间段 | 动作 |
高速下载软件的流量控制规则由源/目的地址/网段,下载软件类型,时间段等因素来控制对于该高速下载软件的流量的处理动作。
在准备好特征码(关键字)库和控制规则库后,就可以进入防火墙的基于P2P的高速下载软件产生的流量控制流程。
步骤(二),在传输层捕获每一个数据包:
防火墙在工作时,其以太网卡设置为混杂模式。与该网卡相连的局域网上的所有数据包均会被捕获。每当一个数据包被捕获时,防火墙的基于P2P的高速下载软件产生的流量检测控制模块首先进行数据包的解码工作,并判断其是否为IP包。如果是IP包则进行相应的传输层解码,然后进入高速下载软件类型检测步骤。
步骤(三),对每一个数据包进行特征码(关键字)匹配,通过匹配到的特征码(关键字)来确认产生该数据包的高速下载软件类型:模块首先将关键字库逐行读入,并转化为规则的内部链表形式,然后,将数据包中的数据和关键字库中的关键字进行一一比对,以确认该数据包是否为高速下载软件产生数据包。
步骤(四),如果发现数据包中的数据和特征码(关键字)库中的某个关键字相匹配,则停止比对过程,根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码(关键字)库中的任何特征码(关键字)都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作:根据得到的该关键字链表节点中对应的下载软件类型,并将该类型数据提交给规则匹配模块。
检测模块逐行的读取基于P2P的高速下载软件产生的流量的控制规则库规则文件,将规则文件逐行转化为规则的内部链表形式,再遍历整个规则链表,对有上一步提交的下载软件类型进行匹配。这里提到的规则的内部链表形式是指一个二维的链表:其中横向链表称作“链头”,纵向链表称为“链选项”,“链头”中存储着下载软件类型信息,即针对某个下载软件类型的入口信息,“链选项”中存储着针对于该下载软件类型规则属性,如:源/目的地址/网段、时间段、动作等等信息。由此可以提高匹配速度,增强性能,同时减少对于防火墙整体设备的影响。
检测模块一旦匹配到某条规则,立即停止对规则链表的遍历,并执行该条链表的“链选项”中规定的属性和动作,并根据链表的规定决定是否对本次操作进行日志记录。
最后所应说明的是:以上实施方式仅用以说明而非限制本发明的技术方案,尽管参照上述实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改与局部替换,其均应涵盖在本发明的权利要求范围内。
Claims (3)
1.一种基于P2P高速下载软件产生流量的发现及控制方法,通过对数据包特征码进行识别来确认高速下载软件类型,然后通过阻断它的TCP连接握手协议数据包,达到阻断高速下载软件运行的目的,
具体包括以下几个步骤:
步骤一:建立基于P2P的高速下载软件产生的流量的特征码库和控制规则库,
其中控制规则库是指由用户配置的关于各个基于P2P的高速下载软件产生的流量的处理规则,该控制规则库通过一条或多条规则组成,先添加的规则先生效;
步骤二:在传输层捕获每一个数据包;
步骤三:对每一个数据包进行特征码匹配,通过匹配到的特征码来确认产生该数据包的高速下载软件类型;
步骤四:如果确定了某个数据包符合某个基于P2P的高速下载软件特征码,则根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码库中的任何特征码都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
2.如权利要求1所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于:还包括步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作。
3.如权利要求1或2所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于:所述的基于P2P的高速下载软件产生的流量的特征码同时包括:BT,电驴,fasttrack,gnutella,dc,openft。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510096095.2A CN1750538B (zh) | 2005-09-29 | 2005-09-29 | 基于p2p高速下载软件产生流量的发现及控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200510096095.2A CN1750538B (zh) | 2005-09-29 | 2005-09-29 | 基于p2p高速下载软件产生流量的发现及控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1750538A CN1750538A (zh) | 2006-03-22 |
CN1750538B true CN1750538B (zh) | 2010-12-01 |
Family
ID=36605797
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510096095.2A Expired - Fee Related CN1750538B (zh) | 2005-09-29 | 2005-09-29 | 基于p2p高速下载软件产生流量的发现及控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1750538B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101087298B (zh) * | 2006-06-08 | 2010-09-01 | 中国电信股份有限公司 | 一种基于tcp/udp上行会话数目控制p2p下载带宽的方法 |
CN101170496B (zh) * | 2007-09-14 | 2011-04-13 | 华为技术有限公司 | 一种点对点媒体流确定方法和装置 |
CN101442519B (zh) * | 2007-11-22 | 2012-06-20 | 北京启明星辰信息技术股份有限公司 | 一种p2p软件监测方法及系统 |
US7904597B2 (en) * | 2008-01-23 | 2011-03-08 | The Chinese University Of Hong Kong | Systems and processes of identifying P2P applications based on behavioral signatures |
CN101282331B (zh) * | 2008-05-09 | 2011-06-01 | 西安交通大学 | 基于传输层特征的p2p网络流量识别方法 |
CN101867601B (zh) * | 2010-05-14 | 2012-08-15 | 北京理工大学 | 文件级p2p网络流量识别方法 |
CN102025739B (zh) * | 2010-12-14 | 2013-06-19 | 汉柏科技有限公司 | 基于主机行为的多维度协议识别方法 |
CN103152371B (zh) * | 2011-12-07 | 2016-06-22 | 腾讯科技(深圳)有限公司 | P2sp下载监管方法及系统 |
CN102624721B (zh) * | 2012-03-02 | 2015-05-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种特征码验证平台装置及特征码验证方法 |
CN103544010A (zh) * | 2013-10-17 | 2014-01-29 | 常熟市华安电子工程有限公司 | 一种p2p下载软件 |
CN104317847A (zh) * | 2014-10-13 | 2015-01-28 | 孙伟力 | 一种识别网络文字信息的语种的方法及系统 |
CN104657657B (zh) * | 2015-02-12 | 2018-08-07 | 北京盛世光明软件股份有限公司 | 一种识别软件种类的方法及系统 |
CN105721347A (zh) * | 2016-02-18 | 2016-06-29 | 北京京东尚科信息技术有限公司 | 精确控制网络带宽的方法和系统 |
CN110855657B (zh) * | 2019-11-07 | 2021-05-18 | 深圳市高德信通信股份有限公司 | 一种计算机网络用的网络安全控制系统 |
CN112600757B (zh) * | 2020-12-25 | 2023-03-10 | 深圳深度探测科技有限公司 | 一种基于不对称数据传输限速器的安全维护方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474534A (zh) * | 2002-08-09 | 2004-02-11 | 联想(北京)有限公司 | 包过滤的网络协议层用户认证方法 |
CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
-
2005
- 2005-09-29 CN CN200510096095.2A patent/CN1750538B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1474534A (zh) * | 2002-08-09 | 2004-02-11 | 联想(北京)有限公司 | 包过滤的网络协议层用户认证方法 |
CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
Non-Patent Citations (4)
Title |
---|
卢思军等.深度包检测技术在防火墙中的应用探讨.成都信息工程学院学报20 1.2005,20(1),5-8. |
卢思军等.深度包检测技术在防火墙中的应用探讨.成都信息工程学院学报20 1.2005,20(1),5-8. * |
李江涛,姜永玲.P2P流量识别与管理技术.电信科学 3.2005,(3),57-61. |
李江涛,姜永玲.P2P流量识别与管理技术.电信科学 3.2005,(3),57-61. * |
Also Published As
Publication number | Publication date |
---|---|
CN1750538A (zh) | 2006-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1750538B (zh) | 基于p2p高速下载软件产生流量的发现及控制方法 | |
US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
JP4771390B2 (ja) | フィルタコードを使用するipsecポリシー管理を実行するための方法および装置 | |
US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
US20160080335A1 (en) | Method and system for traffic engineering in secured networks | |
Kelbert et al. | Data usage control enforcement in distributed systems | |
US20040111623A1 (en) | Systems and methods for detecting user presence | |
CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
CN101202700B (zh) | 一种点对点文件共享的流量控制方法、装置及系统 | |
WO2007079095A3 (en) | Runtime adaptable search processor | |
CN101479984A (zh) | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 | |
CN1645813A (zh) | 利用继承的安全属性来管理安全网络中的代理请求的系统和方法 | |
CN107124402A (zh) | 一种报文过滤的方法和装置 | |
CN101964804A (zh) | 一种IPv6协议下的攻击防御系统及其实现方法 | |
CN101217494A (zh) | 一种监控业务流的方法及网络设备 | |
US8117305B2 (en) | Communication management system, communication management method, and communication control device | |
Nowlan et al. | Reducing latency in Tor circuits with unordered delivery | |
CN101753456B (zh) | 一种对等网络流量检测方法及其系统 | |
CN102480503B (zh) | P2p流量识别方法和装置 | |
CN101510878A (zh) | 一种对等网络监控方法、装置和设备 | |
AU2015301504B2 (en) | End point secured network | |
Sharma et al. | Firewalls: A Study and Its Classification. | |
EP1820293A2 (en) | Systems and methods for implementing protocol enforcement rules | |
US8023985B1 (en) | Transitioning a state of a connection in response to an indication that a wireless link to a wireless device has been lost |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101201 Termination date: 20210929 |