專利名稱:P2p流量識(shí)別方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種P2P流量識(shí)別方法及系統(tǒng),尤其是涉及一種DFI P2P流量識(shí)別方法及系統(tǒng)。背景技術(shù):
目前主要的P2P流量識(shí)別方法可分三類,第一類基于端口的流量檢測(cè)方法;第二類基于payload的流量檢測(cè)方法,即通過識(shí)別報(bào)文中的應(yīng)用層特征串來(lái)識(shí)別P2P ;第三類基于流量特征的流量檢測(cè)方法,指利用網(wǎng)絡(luò)流量的流量特征如IP、報(bào)文長(zhǎng)度等信息檢測(cè)P2P流量的方法。上述方法雖然能檢測(cè)P2P流量,但檢測(cè)的精度較低。
發(fā)明內(nèi)容· 為了解決上述問題,本發(fā)明的目的是提供一種P2P流量識(shí)別方法。本發(fā)明的另一目的是提供一種P2P流量識(shí)別系統(tǒng)。其中,本發(fā)明一實(shí)施方式的P2P流量識(shí)別方法包括以下步驟
51、正向查找,如果某個(gè)鏈接通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議,則查找同一個(gè)內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接;如果查找到的鏈接沒有被識(shí)別,則將所述鏈接的7層協(xié)議ID號(hào)設(shè)置成與已經(jīng)識(shí)別出來(lái)的P2P協(xié)議類型一樣的值;
52、反向查找,如果某個(gè)鏈接未被識(shí)別出來(lái),則找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別,且該鏈接類型為P2P協(xié)議,則將正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到并已識(shí)別出來(lái)且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。作為本發(fā)明的進(jìn)一步改進(jìn),所述方法還包括
53、如果在SI、S2步驟中未得到合適的7層協(xié)議ID號(hào),則繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議,則將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。作為本發(fā)明的進(jìn)一步改進(jìn),所述SI步驟中,查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大100個(gè),100個(gè)以后的則不再進(jìn)行查找。相應(yīng)地,本發(fā)明一實(shí)施方式的P2P流量識(shí)別系統(tǒng)包括
正向查找單元,用于正向查找,如果某個(gè)鏈接通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議,則查找同一個(gè)內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接;如果查找到的鏈接沒有被識(shí)別,則將所述鏈接的7層協(xié)議ID號(hào)設(shè)置成與已經(jīng)識(shí)別出來(lái)的P2P協(xié)議類型一樣的值;
反向查找單元,用于反向查找,如果某個(gè)鏈接未被識(shí)別出來(lái),則找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別,且該鏈接類型為P2P協(xié)議,則將正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到并已識(shí)別出來(lái)且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。作為本發(fā)明的進(jìn)一步改進(jìn),所述系統(tǒng)還包括
其他查找單元,用于如果在正向查找單元和反向查找單元中未得到合適的7層協(xié)議ID號(hào),則繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議,則將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。作為本發(fā)明的進(jìn)一步改進(jìn),所述正向查找單元中,查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大100個(gè),100個(gè)以后的則不再進(jìn)行查找。相比于現(xiàn)有技術(shù),本發(fā)明的P2P流量識(shí)別方法及系統(tǒng)可較為精確的檢測(cè)P2P流量。
圖I是本發(fā)明一實(shí)施例的P2P流量識(shí)別方法的流程 圖2是本發(fā)明一實(shí)施例的P2P流量識(shí)別系統(tǒng)的模塊圖。
具體實(shí)施方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述?;ヂ?lián)網(wǎng)上大量的個(gè)人用戶沒有公有IP地址,多個(gè)客戶端往往通過NAT技術(shù)共同享有一個(gè)IP,聯(lián)網(wǎng)方式一般都是通過局域網(wǎng)接入因特網(wǎng)。由于NAT的存在,P2P軟件可使用各種穿越NAT的技術(shù)來(lái)實(shí)現(xiàn)直接通信,一般來(lái)說(shuō)鏈接的發(fā)起者是處于NAT后的個(gè)人用戶而不能是互聯(lián)網(wǎng)上的用戶。傳統(tǒng)通信模型與P2P通用通信模型的區(qū)別傳統(tǒng)通信模型是NAT后的節(jié)點(diǎn)和互聯(lián)網(wǎng)上少數(shù)幾個(gè)IP發(fā)生鏈接,該節(jié)點(diǎn)與這些IP發(fā)生的鏈接數(shù)較多,這是因?yàn)閭鹘y(tǒng)流量模型中用戶要訪問的資源集中在服務(wù)器上,所以需要建立更多的鏈接從而獲得更高的通信帶寬;而傳統(tǒng)P2P通信模型是NAT后的對(duì)等點(diǎn)與互聯(lián)網(wǎng)上多個(gè)不同的IP地址存在鏈接,該對(duì)等點(diǎn)和每個(gè)IP的鏈接數(shù)并不多,這是因?yàn)閷?duì)等點(diǎn)總是傾向于把通信壓力分布到各個(gè)節(jié)點(diǎn)上,而不是聚集到一個(gè)特定的節(jié)點(diǎn)。由于大部分P2P應(yīng)用為了逃避端口檢測(cè),往往采用隨機(jī)選取端口的方式來(lái)指定監(jiān)聽端口,而NAT后的對(duì)等點(diǎn)總是主動(dòng)鏈接互聯(lián)網(wǎng)上的對(duì)等點(diǎn),故隨機(jī)選取端口的方式表現(xiàn)在流量特征上就是互聯(lián)網(wǎng)上這些對(duì)等點(diǎn)的監(jiān)聽端口是隨機(jī)的。源端口的選擇遵循如下規(guī)律TCP源端口隨機(jī)選擇,UDP源端口盡量使用相同的端口號(hào)。目前大多數(shù)流控設(shè)備普遍根據(jù)上述的P2P通用通信模型而開發(fā)出的P2P通用流量檢測(cè)模塊,下面的描述的一般P2P流量特征,而大多數(shù)的P2P流量識(shí)別模塊也是按照這些規(guī)律特征而開發(fā)
O TCP流量特征任一時(shí)刻在檢測(cè)點(diǎn)觀察NAT后的P2P對(duì)等點(diǎn)A,A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP鏈接,該鏈接由A發(fā)起。如果計(jì)算這些鏈接的不同目的地址數(shù)TCP_Gdiff_dest,不同源端口數(shù)TCP_Gdiff_sport,不同目的端口數(shù)TCP_Gdiff_dport,這些值滿足如下等式(n0為閥值,可調(diào))
TCP_Gdiff_sport= TCP_Gdiff_destTCP—Gdiff—dest= TCP—Gdiff—dport,n ^ nOTCP—Gdiff—dest=n
2)UDP流量特征使用與TCP流量特征相同的描述,但滿足如下等式(nl為閥值,可
調(diào))
UDP—Gdiff—sport〈〈n
UDP—Gdiff—dest= UDP—Gdiff—dport,n ^ nlUDP—Gdi f f—dest=n
兩種流量特征的差別很小,只在Gdiff_dport的取值上不同,將閥值nO、nl設(shè)置為一個(gè)合理的值能夠使P2P和非P2P有效區(qū)分。但是現(xiàn)在互聯(lián)網(wǎng)上一些主流P2P應(yīng)用往往是多種傳輸方式、多種資源整合技術(shù)相·結(jié)合的軟件,這些P2P應(yīng)用所表現(xiàn)出的流量特征遠(yuǎn)遠(yuǎn)比一般的P2P應(yīng)用流量特征要復(fù)雜的很多,而本發(fā)明所要優(yōu)化就是應(yīng)用了 P2P通用流量檢測(cè)模塊后再應(yīng)用此P2P特殊流量檢測(cè)模塊,這樣引擎設(shè)備在檢測(cè)目前互聯(lián)網(wǎng)上這些優(yōu)秀的主流P2P應(yīng)用或檢測(cè)到未知P2P應(yīng)用流量或P2P加密流量時(shí),而避免了引擎設(shè)備所出現(xiàn)嚴(yán)重的誤判、漏判問題,這也是主要針對(duì)一些主流復(fù)雜應(yīng)用的流量特征而定制。本發(fā)明中,檢測(cè)TCP流量特征
I) TCP流量特征任一時(shí)刻在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)A
①假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間存在η2(η2>1)條TCP鏈接,該鏈接由A發(fā)起,發(fā)起這樣的多條鏈接為P2P的多線程鏈接,這里要引入一個(gè)變量,SP要統(tǒng)計(jì)使用多線程鏈接的不同目的地址數(shù)TCP_Tdiff_dest (設(shè)備里設(shè)為可調(diào));值滿足如下等式
2 ( TCP_Tdiff_dest(可調(diào))
2彡n2彡10(可調(diào))
②假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP鏈接,如果計(jì)算這些鏈接的不同目的地址數(shù)TCP_Pdiff_dest,這些鏈接的目的端口將不納入判斷條件,不同源端口數(shù)TCP_Pdiff_sp0rt ;這些值滿足如下等式(n3為閥值,可調(diào))
TCP_Pdiff_dest=n n ^ n3(n3 測(cè)試時(shí)設(shè)為 40)
TCP_Pdiff_sport= TCP_Pdiff_dest
③另外還要考慮到一種情況假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP鏈接,如果計(jì)算這些鏈接的不同目的地址數(shù)TCP_Ddiff_dest (設(shè)備里設(shè)為可調(diào)),且這些鏈接的目的端口都相同,不同源端口數(shù)TCP_Ddiff_sp0rt ;這些值滿足如下等式(n4為閥值,可調(diào))
TCP_Ddiff_dest=n n ^ n4(n4 測(cè)試時(shí)設(shè)為 5)
TCP_Ddiff_sport= TCP_Ddiff_dest
④假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條TCP鏈接,且這些鏈接的源端口不同,目的地址與目的端口都相同,將與此目的地址通信的所有TCP鏈接看作一個(gè)鏈接,劃入②中進(jìn)行統(tǒng)計(jì),查詢,判斷;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量;(經(jīng)測(cè)試最后這樣的鏈接就只有一條)
為了提高準(zhǔn)確性,這樣在針對(duì)單個(gè)應(yīng)用可以作相應(yīng)的的動(dòng)態(tài)調(diào)節(jié)。本發(fā)明中檢測(cè)UDP流量特征①考慮到檢測(cè)點(diǎn)A處于公網(wǎng)上或處于常用的NAT后,使用與P2P通用流量特征UDP流量特征相同的描述,滿足如下等式(n5為閥值,可調(diào))
UDP_Pdiff_sport<<n
UDP—Pdiff—dest= UDP—Pdiff—dport , n ^ n5UDP—P diff_dest=n
②假如A和互聯(lián)網(wǎng)上n個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP鏈接,如果計(jì)算這些鏈接的不同目的地址數(shù)UDP_Ddiff_dest (設(shè)備里設(shè)為可調(diào)),且這些鏈接的目的端口都相同,不同源端口數(shù)UDP_Ddiff_sp0rt ;這些值滿足如下等式(n6為閥值,可調(diào))
UDP_Ddiff_dest=n n ^ n6 (n6 測(cè)試時(shí)設(shè)為 5)
UDP_Ddi f f_sport= UDP_Ddiff_dest或者
UDP_Ddiff_dest=n n ^ n6 (n6 測(cè)試時(shí)設(shè)為 10)
UDP_Ddi f f _spor t= I (這些鏈接的源端口都相同)
③考慮到一些檢測(cè)點(diǎn)A處于對(duì)稱NAT后,假如檢測(cè)點(diǎn)A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP鏈接,如果計(jì)算這些鏈接的不同目的地址數(shù)UDP_Sdiff_dest,這些鏈接的源端口將不納入判斷條件,不同目的端口數(shù)UDP_Sdiff_dport ;這些值滿足如下等式(n7為閥值,可調(diào))
UDP_Sdiff_dest=n η 彡 n7 (n7 測(cè)試時(shí)設(shè)為 20)
UDP_S d i f f_dp or t = UDP_Sdiff_dest
④假如A和互聯(lián)網(wǎng)上n個(gè)節(jié)點(diǎn)存在鏈接,A和任意一個(gè)節(jié)點(diǎn)之間存在多條UDP鏈接,這樣的多條UDP鏈接的目的端口不相同,且這些鏈接的源端口都相同,可以將與此目的地址通信的所有UDP鏈接看作一個(gè)鏈接,劃入①中進(jìn)行統(tǒng)計(jì),查詢,判斷;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量;計(jì)算這些鏈接的不同目的地址數(shù)UDP_PHdiff_dest,這個(gè)值滿足如下等式(n8為閥值,可調(diào))
UDP_PHdiff_dest=n n ^ n8 (n8 測(cè)試時(shí)設(shè)為 5)
這一情況主要針對(duì)迅雷而寫,且發(fā)現(xiàn)大量的這樣的檢測(cè)點(diǎn)A和任意一個(gè)節(jié)點(diǎn)之間存在2條UDP鏈接,其中一條鏈接僅是A —B的單方向數(shù)據(jù)傳送,而沒有B —A的應(yīng)答包,一般可能是檢測(cè)NAT設(shè)備類型的通信特征。一般情況下,只要發(fā)現(xiàn)上列的等式成立,就可以認(rèn)為是P2P流量,考慮到準(zhǔn)確性(以及迅雷的特殊情況),才將其劃入①中再判斷。⑤假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條UDP鏈接,且這些鏈接的源端口不同,目的地址與目的端口都相同,將與此目的地址通信的所有UDP鏈接看作一個(gè)鏈接,劃入③中進(jìn)行統(tǒng)計(jì),查詢,判斷;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量;計(jì)算這些鏈接的不同目的地址數(shù)UDP_SHdiff_dest,這個(gè)值滿足如下等式(n9為閥值,可調(diào))
UDP_SHdiff_dest=n n ^ n9 (n9 測(cè)試時(shí)設(shè)為 5)
一般情況下,只要發(fā)現(xiàn)上列的等式成立,就可以認(rèn)為是P2P流量,考慮到準(zhǔn)確性(以及PPFILM的特殊情況),才將其劃入③中再判斷。如圖I所示,在本發(fā)明一實(shí)施方式中,所述P2P流量識(shí)別方法,包括以下步驟SI、正向查找,如果某個(gè)鏈接,通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),則查找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同的其他的鏈接,如果找到的某個(gè)鏈接目前也沒有被識(shí)別出來(lái)(正在分析中的協(xié)議、Others協(xié)議),則會(huì)將該鏈接的7層協(xié)議ID號(hào)設(shè)置成跟前述已經(jīng)識(shí)別出來(lái)的那個(gè)P2P鏈接協(xié)議類型一樣的值。優(yōu)選地,默認(rèn)遍歷深度x(X=IOO),該參數(shù)可以通過Π供用戶調(diào)整,即上述查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大為X(IOO)個(gè),100個(gè)以后的則不再進(jìn)行查找,并且遍歷的這100個(gè)鏈接包含所有已經(jīng)識(shí)別出來(lái)和未被識(shí)別出來(lái)的,并非僅是那些未被識(shí)別出來(lái)的鏈接。S2、反向查找,某個(gè)鏈接,在創(chuàng)建時(shí),或者經(jīng)過了 DPI的識(shí)別,如果該鏈接仍然未被識(shí)別出來(lái)(正在分析中的協(xié)議、Others協(xié)議),則首先會(huì)找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同(TCP/UDP)的其他的鏈接,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),則
會(huì)將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。S3、如果在上述的同內(nèi)網(wǎng)源IP、同源端口、同4層協(xié)議的鏈接查找中,仍未得到合適的7層協(xié)議ID號(hào),則會(huì)繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議(如如果該新創(chuàng)建的鏈接時(shí)UDP類型的,則會(huì)查找TCP類型的鏈接)的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。優(yōu)選地,默認(rèn)遍歷深度1 (該參數(shù)可以通過UI調(diào)整,即時(shí)生效)。如圖2所示,在本發(fā)明一實(shí)施方式中,所述P2P流量識(shí)別系統(tǒng),包括
正向查找單元,用于進(jìn)行正向查找,如果某個(gè)鏈接,通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),則查找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同的其他的鏈接,如果找到的某個(gè)鏈接目前也沒有被識(shí)別出來(lái)(正在分析中的協(xié)議、Others協(xié)議),則會(huì)將該鏈接的7層協(xié)議ID號(hào)設(shè)置成跟前述已經(jīng)識(shí)別出來(lái)的那個(gè)P2P鏈接協(xié)議類型一樣的值。優(yōu)選地,默認(rèn)遍歷深度χ(χ=100),該參數(shù)可以通過Π供用戶調(diào)整,S卩上述查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大為X (100)個(gè),100個(gè)以后的則不再進(jìn)行查找,并且遍歷的這100個(gè)鏈接包含所有已經(jīng)識(shí)別出來(lái)和未被識(shí)別出來(lái)的,并非僅是那些未被識(shí)別出來(lái)的鏈接。反向查找單元,用于進(jìn)行反向查找,某個(gè)鏈接,在創(chuàng)建時(shí),或者經(jīng)過了 DPI的識(shí)別,如果該鏈接仍然未被識(shí)別出來(lái)(正在分析中的協(xié)議、Others協(xié)議),則首先會(huì)找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同(TCP/UDP)的其他的鏈接,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),則會(huì)將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。其他查找單元,用于如果在上述的同內(nèi)網(wǎng)源IP、同源端口、同4層協(xié)議的鏈接查找中,仍未得到合適的7層協(xié)議ID號(hào),則會(huì)繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議(如如果該新創(chuàng)建的鏈接時(shí)m)P類型的,則會(huì)查找TCP類型的鏈接)的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議(這個(gè)是由加載的特征碼中的P2P Flag決定的),將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。優(yōu)選地,默認(rèn)遍歷深度1 (該參數(shù)可以通過UI調(diào)整,即時(shí)生效)。綜上所述,本發(fā)明的P2P流量識(shí)別方法及系統(tǒng)可較為精確的檢測(cè)P2P流量。應(yīng)當(dāng)理解,雖然本說(shuō)明書按照實(shí)施方式加以描述,但并非每個(gè)實(shí)施方式僅包含一個(gè)獨(dú)立的技術(shù)方案,說(shuō)明書的這種敘述方式僅僅是為清楚起見,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說(shuō)明書作為一個(gè)整體,各實(shí)施方式中的技術(shù)方案也可以經(jīng)適當(dāng)組合,形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式。上文所列出的一系列的詳細(xì)說(shuō)明僅僅是針對(duì)本發(fā)明的可行性實(shí)施方式的具體說(shuō)明,它們并非用以限制本發(fā)明的保護(hù)范圍,凡未脫離本發(fā)明技藝精神所作的等效實(shí)施方式或變更均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)?!?br>
權(quán)利要求
1.一種P2P流量識(shí)別方法,其特征在于,所述方法包括 51、正向查找,如果某個(gè)鏈接通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議,則查找同一個(gè)內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接;如果查找到的鏈接沒有被識(shí)別,則將所述鏈接的7層協(xié)議ID號(hào)設(shè)置成與已經(jīng)識(shí)別出來(lái)的P2P協(xié)議類型一樣的值; 52、反向查找,如果某個(gè)鏈接未被識(shí)別出來(lái),則找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別,且該鏈接類型為P2P協(xié)議,則將正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到并已識(shí)別出來(lái)且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。
2.根據(jù)權(quán)利要求I所述的P2P流量識(shí)別方法,其特征在于,所述方法還包括 53、如果在SI、S2步驟中未得到合適的7層協(xié)議ID號(hào),則繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議,則將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。
3.根據(jù)權(quán)利要求I所述的P2P流量識(shí)別方法,其特征在于,所述SI步驟中,查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大100個(gè),100個(gè)以后的則不再進(jìn)行查找。
4.一種P2P流量識(shí)別系統(tǒng),其特征在于,所述系統(tǒng)包括 正向查找單元,用于正向查找,如果某個(gè)鏈接通過DPI/DFI被第一次識(shí)別出來(lái),并且識(shí)別出來(lái)的協(xié)議類型為P2P協(xié)議,則查找同一個(gè)內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接;如果查找到的鏈接沒有被識(shí)別,則將所述鏈接的7層協(xié)議ID號(hào)設(shè)置成與已經(jīng)識(shí)別出來(lái)的P2P協(xié)議類型一樣的值; 反向查找單元,用于反向查找,如果某個(gè)鏈接未被識(shí)別出來(lái),則找同一個(gè)內(nèi)網(wǎng)源IP地址下,且源端口相同,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別,且該鏈接類型為P2P協(xié)議,則將正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到并已識(shí)別出來(lái)且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。
5.根據(jù)權(quán)利要求4所述的P2P流量識(shí)別系統(tǒng),其特征在于,所述系統(tǒng)還包括 其他查找單元,用于如果在正向查找單元和反向查找單元中未得到合適的7層協(xié)議ID號(hào),則繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議的鏈接中查找,如果找到的某個(gè)鏈接的協(xié)議類型已經(jīng)被識(shí)別出來(lái),且該鏈接類型為P2P協(xié)議,則將這個(gè)正在創(chuàng)建的且未被識(shí)別出來(lái)的新的鏈接的7層協(xié)議的ID號(hào)設(shè)置成跟找到的這個(gè)已識(shí)別出來(lái)并且具有P2P flag的鏈接的7層協(xié)議的ID號(hào)一樣的值。
6.根據(jù)權(quán)利要求4所述的P2P流量識(shí)別系統(tǒng),其特征在于,所述正向查找單元中,查找同一個(gè)內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量,最大100個(gè),100個(gè)以后的則不再進(jìn)行查找。
全文摘要
本發(fā)明提供了一種P2P流量識(shí)別方法及系統(tǒng),包括正向查找和反向查找兩種方式。本發(fā)明的有益效果在于P2P流量識(shí)別方法及系統(tǒng)可較為精確地檢測(cè)P2P流量。
文檔編號(hào)H04L12/26GK102891893SQ20121039195
公開日2013年1月23日 申請(qǐng)日期2012年10月16日 優(yōu)先權(quán)日2012年10月16日
發(fā)明者權(quán)建中, 王俊華 申請(qǐng)人:蘇州邁科網(wǎng)絡(luò)安全技術(shù)股份有限公司