国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于ip過濾的跨層p2p流量識別方法

      文檔序號:7967778閱讀:538來源:國知局
      專利名稱:基于ip過濾的跨層p2p流量識別方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及信息安全技術(shù),特別涉及一種在因特網(wǎng)絡(luò)和移動無線網(wǎng)絡(luò)流量管理中識別P2P流量的技術(shù)。
      背景技術(shù)
      近年來,對等網(wǎng)(Peer to Peer, P2P)飛速崛起。據(jù)權(quán)威部門統(tǒng)計,當前P2P流量已經(jīng)占到互聯(lián)網(wǎng)流量的約70%,并且正在以每年350%的速度增長,但是P2P對帶寬的巨大消耗引起網(wǎng)絡(luò)擁塞,降低了其他業(yè)務(wù)的性能,同時開放式的結(jié)構(gòu)使得網(wǎng)絡(luò)安全問題非常突出。因此,對P2P流量進行有效而合理的監(jiān)控是勢在必行的。P2P網(wǎng)絡(luò)中的每個節(jié)點都具有服務(wù)器和客戶端的雙重職責(zé),既能下載獲取信息,又能提供共享資源。其所產(chǎn)生的流量具有海量性、不確定性以及加密性等等特點。這給P2P流量的監(jiān)控帶來很多困難,P2P流量監(jiān)控主要包括流量采集、流量識別和流量監(jiān)控。流量識別是其中最關(guān)鍵的環(huán)節(jié)因為只有正確識別出感興趣的或異常的P2P流量,才能對它們進行有效的監(jiān)控?,F(xiàn)有的P2P流量識別技術(shù)主要分為3類1)基于端口號(Port) ;2)基于流量特征;3)基于應(yīng)用層簽名?;诙丝谔柕腜2P流量識別技術(shù)是根據(jù)TCP/UDP數(shù)據(jù)包首部的源端口或目的端口號來識別流量,由于只需提取端口號,因此簡潔而快速。然而隨著P2P網(wǎng)絡(luò)技術(shù)的發(fā)展,出現(xiàn)了非常規(guī)端口技術(shù)、偽裝端口技術(shù)、用戶自定義端口技術(shù)和隨機端口技術(shù)。所以,端口識別技術(shù)對P2P流量的識別精度逐漸降低,已無法識別網(wǎng)絡(luò)中50%——70%的流量?;诹髁刻卣鞯腜2P流量識別技術(shù)是通過對傳輸層數(shù)據(jù)包(TCP包和UDP包)進行分析并結(jié)合P2P系統(tǒng)所表現(xiàn)出來的流量特征來識別某個流是否屬于P2P。由于不需要提取、分析復(fù)雜的應(yīng)用層載荷和協(xié)議,該技術(shù)開銷小,算法性能高,易于識別加密協(xié)議和未知協(xié)議,保護隱私;但是由于網(wǎng)絡(luò)狀況本身很復(fù)雜,流量特征只是經(jīng)驗性的總結(jié),因此識別精度差,存在誤判,不能細分具體協(xié)議;而且大部分流量特征需要觀測一段時間才能得出(例如平均包長、持續(xù)時間等),因此實時性差?;趹?yīng)用層簽名特性的識別技術(shù)其原理是提取報文的應(yīng)用層數(shù)據(jù)(即載荷),通過分析載荷是否包含P2P應(yīng)用協(xié)議的特征值,來判斷是否屬于P2P應(yīng)用。該技術(shù)準確率高,但是由于一些應(yīng)用對載荷加密,提取的載荷無法識別,這樣就無法識別加密的協(xié)議,同時新協(xié)議的特征值需要實驗提取和總結(jié),因此對新協(xié)議的識別滯后,擴展能力差。

      發(fā)明內(nèi)容
      本發(fā)明所要解決的技術(shù)問題是,提供一種實時性強、識別精度高、可識別加密報文的P2P流量識別方法。本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案是,基于IP過濾的跨層P2P流量識別方法,包括以下步驟IP識別步驟流量識別模塊將采集到報文包頭的IP地址取出,在本地存儲的C/S模式下的服務(wù)器的IP庫進行查找,如當前取出的IP地址存在于所述IP庫中,則判定當前報文為非P2P報文,否則,將當前報文判定為P2P報文;端口號識別步驟將判定為非P2P報文的端口號取出,在本地存儲的C/S模式下的Port庫進行查找,如當前取出的端口號存在于所述Port庫中,則判定當前報文為已知的非P2P報文,否則,將當前報文判定為加密或未知的非P2P報文。非P2P的流量主要是由傳統(tǒng)的客戶端/服務(wù)器(Client/Server,C/S)模式產(chǎn)生的,C/S模式的應(yīng)用主要由http、電子郵件等有中心服務(wù)器結(jié)構(gòu)的傳統(tǒng)業(yè)務(wù)構(gòu)成,這些服務(wù)器的IP地址固定且公開,可以通過網(wǎng)絡(luò)協(xié)議從DNS服務(wù)器上查詢到。本發(fā)明首先通過IP地址的識別排除了 C/S模式這一類應(yīng)用產(chǎn)生的非P2P的網(wǎng)絡(luò)流量,只剩P2P流量和少數(shù)特殊的模糊定位的網(wǎng)絡(luò)流量,這對P2P流量識別非常有幫助。本發(fā)明在IP地址識別之后,再利用端口號識別進一步將非P2P流量中的報文作進一步細化分類。本發(fā)明直接提取報文包頭中的IP地址和端口號來識別P2P流量,準確率較高,開銷小,實時性高,且對IP地址的識別在網(wǎng)絡(luò)層進行,對于端口號的識別在傳輸層進行,由于不涉及對應(yīng)用層數(shù)據(jù)內(nèi)容的分析,因此本發(fā)明對報文的識別不受報文加密的影響。具體的,流量識別模塊通過查詢DNS服務(wù)器和查詢網(wǎng)絡(luò)協(xié)議標準,初始化和周期性維護更新本地存儲的C/S模式下的服務(wù)器的IP庫和Port庫。流量識別模塊中的IP庫和Port庫升級方便,擴展性好。進一步的,更為精確地識別P2P流量,在預(yù)算和資源比較充分的情況下加入基于應(yīng)用層簽名的識別步驟可以得到更精確的結(jié)果。IP識別步驟中將當前報文判定為P2P報文之后,還需進入基于應(yīng)用層簽名的識別步驟進一步細分具體的應(yīng)用協(xié)議類型;端口號識別步驟中將當前報文判定為未知的非P2P報文,還需進入基于應(yīng)用層簽名的識別步驟進一步細分具體的應(yīng)用協(xié)議類型?;趹?yīng)用層簽名的識別步驟通過提取報文的應(yīng)用層數(shù)據(jù)分析其所包含的協(xié)議特征值進行精識別。本發(fā)明的有益效果是,能夠快速有效地識別P2P流量、準確率高、開銷小。


      圖1為實施例1的P2P流量識別流程;圖2為實施例2的P2P流量識別流程。
      具體實施例方式實施例1如圖1所示,流量識別模塊初始化和周期性維護更新各類數(shù)據(jù)庫后,將采集報文的IP地址進行識別,再將判斷為非P2P的報文進行端口號識別,具體步驟如下步驟一流量識別模塊通過查詢DNS服務(wù)和查詢網(wǎng)絡(luò)協(xié)議的定義及標準等方法初始化和周期性維護更新C/S模式下的服務(wù)器的IP庫和Port庫;步驟二將采集到報文包頭的IP取出并與C/S模式下的服務(wù)器的IP庫比較,如取出的IP地址存在于IP庫中,則判定當前報文為非P2P報文,否則判定為P2P報文;步驟三將判定為非P2P的報文的端口號取出并與C/S模式的Port庫比較,如取出的IP地址存在于IP庫中,則判定當前報文為已知的非P2P報文,否則判定為加密或未知的非P2P報文;
      步驟四流量識別模塊根據(jù)上述步驟將采集到的報文整理分類為P2P協(xié)議、已知的非P2P協(xié)議和加密或未知的非P2P協(xié)議,并進行記錄和上報。傳統(tǒng)的C/S模式應(yīng)用協(xié)議已經(jīng)較成熟,各大體系都有較成熟的標準,標識明確,各大運營商和網(wǎng)站服務(wù)器的IP也固定和公開,因此基于IP和Port的P2P流量識別技術(shù)的支持數(shù)據(jù)庫建立后長期有效,而且可以通過程序設(shè)置自動查詢DNS服務(wù)從而自動更新。P2P的應(yīng)用正新興蓬勃的發(fā)展,大量新的協(xié)議層出不窮,標準很少且經(jīng)常更新,因此基于應(yīng)用層簽名的識別技術(shù)的支持數(shù)據(jù)庫建立后則經(jīng)常需要利用人工查詢新協(xié)議的特征和更新維護支持數(shù)據(jù)庫。實施例2如圖2所示,實施例2通過過濾IP和Port為非P2P的流量的排除法來初步識別P2P流量,然后將IP識別判斷為P2P報文和端口號識別中判斷為未知的報文進行應(yīng)用層特征精確識別和歸類,提取報文的應(yīng)用層數(shù)據(jù)分析其所包含的協(xié)議特征值,來判斷是否屬于已知協(xié)議,進行第二步精識別?;贗P和Port的P2P流量識別技術(shù)可以有效區(qū)分P2P流量和非P2P流量,不過為了更為精確的識別P2P流量以及細分具體協(xié)議,在預(yù)算和資源比較充分的情況下加入基于應(yīng)用層簽名的識別技術(shù)可以得到更精確的結(jié)果。具體步驟如下步驟一通過查詢DNS服務(wù)和查詢網(wǎng)絡(luò)協(xié)議的定義及標準等方法初始化和周期性維護更新C/S模式下的服務(wù)器的IP庫和Port庫,并通過查詢網(wǎng)絡(luò)協(xié)議標準、文獻及實驗結(jié)論初始化和周期性維護更新基于應(yīng)用層簽名的識別技術(shù)的特征庫,所述特征庫包括有所有已知的網(wǎng)絡(luò)應(yīng)用協(xié)議特征值;步驟二將采集到報文包頭的IP取出并與C/S模式下的服務(wù)器的IP庫比較,如取出的IP地址存在于IP庫中,則判定當前報文為非P2P報文,否則判定為P2P報文
      步驟三將判定為非P2P的報文的端口號取出并與C/S模式的Port庫比較,如取出的IP地址存在于IP庫中,則判定當前報文為已知的非P2P報文,否則判定為加密或未知的非P2P報文;步驟四將判定為P2P的報文的載荷取出與本地存儲的包括所有已知網(wǎng)絡(luò)應(yīng)用協(xié)議特征值的特征庫進行比較,如所述載荷包含有所述特征庫中P2P協(xié)議類的特征值,則判定為已知的P2P報文,否則判定為加密或未知的P2P報文;將加密或未知的非P2P報文的載荷取出與所述特征庫進行比較,如所述載荷包含有特征庫中非P2P協(xié)議類的特征值,則判定為已知的非P2P報文,否則維持加密或未知的非P2P報文的判定;通過特征庫的比較可以進一步細分具體的已知應(yīng)用協(xié)議類型,如已知的P2P協(xié)議BT、迅雷、PPSTREAM、QQ, MSN等,已知的非 P2P 協(xié)議FTP、HTTP、SMTP、TELNET 等;步驟五根據(jù)上述步驟的識別結(jié)果,將收集的報文整理分類為已知的P2P協(xié)議、加密和未知的P2P協(xié)議、已知的非P2P協(xié)議和加密和未知的非P2P協(xié)議并記錄和上報。
      權(quán)利要求
      1.基于IP過濾的跨層P2P流量識別方法,其特征在于,包括以下步驟IP識別步驟流量識別模塊將采集到報文包頭的IP地址取出,在本地存儲的C/S模式下的服務(wù)器的IP庫進行查找,如當前取出的IP地址存在于所述IP庫中,則判定當前報文為非P2P報文,否則,將判定當前報文為P2P報文;端口號識別步驟將判定為非P2P報文的端口號取出,在本地存儲的C/S模式下的Port庫進行查找,如當前取出的端口號存在于所述Port庫中,則判定當前報文為已知的非P2P報文,否則,將當前報文判定為加密或未知的非P2P報文。
      2.如權(quán)利要求1所述基于IP過濾的跨層P2P流量識別方法,其特征在于,所述流量識別模塊通過查詢DNS服務(wù)器和查詢網(wǎng)絡(luò)協(xié)議標準,初始化和周期性維護更新本地存儲的C/S模式下的服務(wù)器的IP庫和Port庫。
      3.如權(quán)利要求1或2所述基于IP過濾的跨層P2P流量識別方法,其特征在于,在完成IP識別步驟和端口號識別步驟后,判定為P2P的報文或已知的非P2P的報文還進入基于應(yīng)用層簽名的識別步驟;基于應(yīng)用層簽名的識別步驟將判定為P2P的報文的載荷取出與本地存儲的包括所有已知的網(wǎng)絡(luò)應(yīng)用協(xié)議特征值的特征庫進行查找,如所述載荷包含有所述特征庫中P2P協(xié)議類的特征值,則判定為已知的P2P報文,否則判定為加密或未知的P2P報文;將加密或未知的非P2P報文的載荷取出與所述特征庫進行比較,如所述載荷包含有特征庫中非P2P協(xié)議類的特征值,則判定為已知的非P2P報文,否則維持加密或未知的非P2P報文的判定。
      4.如權(quán)利要求3所述基于IP過濾的跨層P2P流量識別方法,其特征在于,所述流量識別模塊還通過查詢網(wǎng)絡(luò)協(xié)議標準、文獻及實驗結(jié)論來初始化和周期性維護更新本地存儲的特征庫。
      全文摘要
      本發(fā)明所要一種基于IP過濾的跨層P2P流量識別方法。本發(fā)明在IP地址識別之后,再利用端口號識別進一步將非P2P流量中的報文作進一步細化分類。本發(fā)明直接提取報文包頭中的IP地址和端口號來識別P2P流量,準確率較高,開銷小,實時性高,且對IP地址的識別在網(wǎng)絡(luò)層進行,對于端口號的識別在傳輸層進行,由于不涉及對應(yīng)用層數(shù)據(jù)內(nèi)容的分析,因此本發(fā)明對報文的識別不受報文加密的影響。
      文檔編號H04L12/56GK102368775SQ20111035322
      公開日2012年3月7日 申請日期2011年11月9日 優(yōu)先權(quán)日2011年11月9日
      發(fā)明者呂世超, 文紅, 李建強, 范杰, 韓祺祎 申請人:電子科技大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1