專利名稱:報文流識別方法及裝置的制作方法
技術領域:
本發(fā)明涉及網絡技術��,尤其涉及一種報文流識別方法及裝置��。
背景技術:
近年來�����,點對點(Peer to Peer���,簡稱P2P)技術飛速發(fā)展�����,其業(yè)務已經占據了互聯(lián) 網業(yè)務總量的60% -80% ����,成為流行的寬帶互聯(lián)網應用����。P2P業(yè)務應用圍繞IP音頻和視頻文 件共享快速發(fā)展���,造成了網絡帶寬的巨大消耗�����,甚至引起網絡擁塞�,降低其他業(yè)務的性能。 運營商為了保護自己的利益�����,對P2P報文進行限制�,以保證其他業(yè)務的正常運行。于是����,P2P 軟件的開發(fā)者將網絡上傳輸?shù)腜2P報文進行加密或模糊,以逃避協(xié)議識別設備的檢測����。
為了限制經過加密或模糊之后的P2P報文在網絡中的傳輸,運營商需要識別網絡 中的采用某種特定協(xié)議加密的P2P報文流�����。 現(xiàn)有技術中這種報文流識別方法存在的問題是P2P協(xié)議報文和其他非P2P報文 協(xié)議都會采用某種特定協(xié)議加密或模糊��,現(xiàn)有技術中報文流識別方法,有可能將非P2P協(xié) 議報文識別出來����,導致誤識別。
發(fā)明內容
本發(fā)明實施例針對現(xiàn)有技術中存在的問題���,提供一種報文流識別方法及裝置����,提 高報文識別準確率���。 本發(fā)明實施例提供了 一種報文流識別方法�����,包括 從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流���; 從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密協(xié)議的報文流; 按照待識別的協(xié)議�,向所述符合第一加密協(xié)議的報文流的目的端或源端發(fā)送符合
所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報文; 如果握手成功����,則確定輸入的報文流為符合所述待識別的協(xié)議的報文流,斷開此 次握手成功的通信���。 本發(fā)明實施例還提供了一種報文流識別裝置�����,包括 傳輸協(xié)議過濾模塊�����,用于從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文 流�; 加密協(xié)議過濾模塊�����,用于從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一 加密協(xié)議的報文流�; 握手模塊,用于按照待識別的協(xié)議����,向所述符合第一加密協(xié)議的報文流的目的端 或源端發(fā)送符合所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報文; 確定模塊����,與所述握手模塊連接,用于在所述握手模塊握手成功后,確定輸入的報 文流為符合所述待識別的協(xié)議的報文流���; 斷開模塊���,用于在所述握手模塊握手成功后斷開此次握手成功的通信。 本發(fā)明實施例提供的報文流識別方法及裝置中����,首先從輸入的報文流中過濾出符合第一傳輸層協(xié)議和第一加密協(xié)議的報文流,然后模擬符合待識別的協(xié)議的客戶端���,主動 與輸入的報文流的目的端或源端握手��,如果握手成功��,則可以確定輸入的報文流符合待識 別的協(xié)議�����,從而避免了將所有符合第一傳輸層協(xié)議和第一加密協(xié)議的報文流識別為符合待 識別的協(xié)議的報文流�����,提高了報文識別準確率�。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn) 有技術描述中所需要使用的附圖作一簡單地介紹����,顯而易見地�����,下面描述中的附圖是本發(fā) 明的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下���,還可以 根據這些附圖獲得其他的附圖��。
圖1所示為本發(fā)明報文流識別方法實施例流程圖����; 圖2所示為本發(fā)明報文流識別裝置一實施例的結構示意圖�; 圖3所示為本發(fā)明報文流識別裝置另一實施例的結構示意圖。
具體實施例方式
為使本發(fā)明實施例的目的�����、技術方案和優(yōu)點更加清楚���,下面將結合本發(fā)明實施例
中的附圖�,對本發(fā)明實施例中的技術方案進行清楚、完整地描述���,顯然�����,所描述的實施例是
本發(fā)明一部分實施例�����,而不是全部的實施例����?;诒景l(fā)明中的實施例,本領域普通技術人員
在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍�。 如圖1所示為本發(fā)明報文流識別方法實施例流程圖,包括 步驟101��、從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流����; 步驟102�����、從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密協(xié)議的報
文流; 步驟103�、按照待識別的協(xié)議,向所述符合第一加密協(xié)議的報文流的目的端或源端 發(fā)送符合所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報文�����; 步驟104��、如果握手成功����,則確定輸入的報文流為符合所述待識別的協(xié)議的報文 流,斷開此次握手成功的通信��。 本發(fā)明提供的報文流識別方法可以用于識別采用各種加密協(xié)議加密之后的符 合待識別的協(xié)議的報文流���,待識別的協(xié)議可以是P2P文件共享協(xié)議等欲識別的協(xié)議�����。第 一加密協(xié)議可以包括消息流加密(Message StreamEncryption����,簡稱MSE)、協(xié)議頭加 密(Protocol Header Encryption,簡稱PHE)等��,P2P文件共享協(xié)議可以包括比特流 (BitTorrent���,簡稱BT)協(xié)議����、Ares協(xié)議�����、eDonkey協(xié)議等�。第一傳輸層協(xié)議是用于傳輸P2P 報文流的協(xié)議,可以是傳輸控制協(xié)議(Transmission Control Protocol,簡稱TCP)或者是 用戶數(shù)據報協(xié)議(User Datagram Protocol,簡稱UDP)��。 下面以如何識別采用TCP傳輸層協(xié)議�、MSE加密協(xié)議的BT報文流為例來說明本發(fā) 明實施例一提供的方法的實現(xiàn)過程。BT協(xié)議為待識別的協(xié)議�����,MSE協(xié)議為第一加密協(xié)議, TCP為第一傳輸層協(xié)議��。 BT是一個著名的P2P文件共享協(xié)議�����,BT客戶端中使用的加密或模糊技術是MSE技 術�����。BT報文流中基于MSE協(xié)議進行加密或模糊�,使得網絡運營商或網絡服務提供商無法識別BT報文流�����。 MSE協(xié)議使用DH(Diffie-Hellman)協(xié)議進行加密密鑰協(xié)商���,并且使用序列密碼加 密算法RC4進行數(shù)據加密�����,消息驗證哈希函數(shù)采用SHA-1����,DH參數(shù)P為768比特(96字節(jié)) 的安全素數(shù),DH參數(shù)G等于2��。 MSE協(xié)議進行密鑰協(xié)商以及數(shù)據通訊的過程如下 以客戶端A和服務端B之間進行密碼協(xié)商及數(shù)據通信為例來介紹�����。首先��,客戶端 A給服務端B發(fā)送密鑰中的部分內容以及隨機數(shù)�,其中隨機數(shù)主要用于抵抗中間人的基于 長度的統(tǒng)計分析識別,服務端B向客戶端A發(fā)送密鑰的一部分和隨機數(shù)�,從而完成密鑰協(xié)商 過程。然后客戶端A和服務端B之間進行密碼算法的選擇和參數(shù)協(xié)商�,協(xié)商完成后客戶端 A采用協(xié)商好的密鑰以及密碼算法對報文流加密,把加密之后的報文流發(fā)送給服務端B�����。
MSE協(xié)議并沒有明確要求其承載協(xié)議����,但目前主要運行在TCP之上。
為了識別出采用MSE加密之后的BT報文流�,首先從輸入的報文流中過濾出符合 TCP協(xié)議的報文流,再過濾出符合MSE協(xié)議的報文流。由于除了 BT報文流之外��,其他報文流 也可能采用TCP協(xié)議傳輸�����,并采用MSE協(xié)議加密或模糊��,所以為了避免將除了 BT報文流之 外的其他報文流誤識別為BT報文流����,需要進一步模擬BT客戶端,向輸入的符合MSE協(xié)議的 報文流的源端或目的端發(fā)送符合TCP協(xié)議和MSE協(xié)議以及BT協(xié)議的握手報文��,如果握手成 功��,則可以確定當前過濾出的符合TCP協(xié)議和MSE協(xié)議的報文流是符合BT協(xié)議的報文流��, 當前過濾出的符合TCP協(xié)議和MSE協(xié)議的報文流的源端或目的端均為BT客戶端���。如果握 手失敗,則可以確定當前過濾出的符合TCP協(xié)議和MSE協(xié)議的報文流不是符合BT協(xié)議的報 文流�。 通過上述的方法,就可以識別出采用TCP協(xié)議傳輸和MSE協(xié)議加密之后的BT報文 流�,并且能夠避免將采用了 TCP協(xié)議傳輸和MSE協(xié)議加密的符合其他協(xié)議的報文流誤識別 為BT報文流。 步驟101可以采用端口識別方法、或特征關鍵字識別方法�、或端口識別方法與特 征關鍵字識別方法的組合方法。端口識別方法具體是識別所述輸入的報文流的通信端口 �����, 如果符合預設的端口 �,則確定為符合第一傳輸層協(xié)議的報文流。特征關鍵字識別方法具體 是識別所述輸入的報文流的特征關鍵字��,如果符合預設的特征關鍵字�����,則確定為第一傳輸 層協(xié)議的報文流���。 步驟102可以采用特征關鍵字識別方法�����。具體地����,識別所述符合第一傳輸層協(xié)議 的報文流的特征關鍵字���,如果符合預設的特征標志��,則確定為符合第一加密協(xié)議的報文流����。
步驟103可以采用如下過程和目的端或源端進行握手生成待識別的協(xié)議的握手 報文;按照第一傳輸層協(xié)議��,對所述握手報文進行封裝���;按照第一加密協(xié)議��,對封裝后的握 手報文進行加密���;向目的端或源端發(fā)送加密后的握手報文。 本發(fā)明實施例提供的報文流識別方法���,首先從輸入的報文流中過濾出符合第一傳 輸層協(xié)議和第一加密協(xié)議的報文流�����,然后模擬符合待識別的協(xié)議的客戶端,主動與輸入的 報文流的目的端或源端握手����,如果握手成功�,則可以確定輸入的報文流符合待識別的協(xié)議����, 從而避免了將所有符合第一傳輸層協(xié)議和第一加密協(xié)議的報文流識別為符合待識別的協(xié) 議的報文流,提高了報文識別準確率�����。 如圖2所示為本發(fā)明報文流識別裝置一實施例的結構示意圖��,該裝置包括傳輸協(xié)議過濾模塊11�����、加密協(xié)議過濾模塊12�����、握手模塊13�����、確定模塊14和斷開模塊15�����。傳輸協(xié)議 過濾模塊11用于從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流;加密協(xié)議過濾 模塊12用于從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密協(xié)議的報文流���; 握手模塊13與加密協(xié)議過濾模塊12連接�����,用于按照待識別的協(xié)議���,向所述符合第一加密協(xié) 議的報文流的目的端或源端發(fā)送符合所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報 文;確定模塊14與握手模塊13連接����,用于在所述握手模塊13握手成功后,確定輸入的報文 流為符合所述待識別的協(xié)議的報文流�����。斷開模塊15用于在所述握手模塊13握手成功后斷 開此次握手成功的通信���。 如圖2所示的報文流識別裝置可以是深度協(xié)議分析(De印Packetlnspection����,簡 稱DPI)裝置�,DPI裝置可以是具有DPI功能的防火墻,相當于在現(xiàn)有的DPI裝置中增加了 加密協(xié)議過濾模塊�、握手模塊、確定模塊和斷開模塊�。 如圖3所示為本發(fā)明報文流識別裝置另一實施例的結構示意圖,該實施例中���,將 加密協(xié)議過濾模塊設置在DPI裝置16中����,該DPI裝置16可以是具備DPI功能的防火墻��。
如圖2和圖3所示的實施例中���,握手模塊可以包括生成子模塊����,封裝子模塊��、加密 子模塊和發(fā)送子模塊���。其中�����,生成子模塊可以用于生成待識別的協(xié)議的握手報文�;封裝子模 塊可以用于按照第一傳輸層協(xié)議,對生成子模塊生成的握手報文進行封裝��;加密子模塊可 以用于按照第一加密協(xié)議�����,對封裝子模塊封裝后的握手報文進行加密�����;發(fā)送子模塊可以用 于向目的端或源端發(fā)送加密子模塊加密后的握手報文���。 傳輸協(xié)議過濾模塊具體可以用于識別輸入的報文流的通信端口 ���,如果符合預設的 端口�����,則確定為符合第一傳輸層協(xié)議的報文流���;和/或識別輸入的報文流的特征關鍵字���,如 果符合預設的特征關鍵字��,則確定為第一傳輸層協(xié)議的報文流���。 加密協(xié)議過濾模塊具體可以用于識別符合第一傳輸層協(xié)議的報文流的特征關鍵 字��,如果符合預設的特征標志�,則確定為符合第一加密協(xié)議的報文流���。 下面以如何識別采用TCP協(xié)議傳輸和MSE協(xié)議加密的BT報文流為例來說明本發(fā) 明報文流識別裝置的工作原理��。 傳輸協(xié)議過濾模塊從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流后���,加 密協(xié)議過濾模塊從所述符合第一傳輸層協(xié)議的報文流中過濾出符合MSE協(xié)議的報文流,由 于除了 BT報文流之外�����,其他報文流也可能采用MSE協(xié)議對報文流加密或模糊�,所以為了避 免將除了 BT報文流之外的其他報文流誤識別為BT報文流,握手模塊需要進一步模擬BT客 戶端��,按照BT協(xié)議,向輸入的符合MSE協(xié)議的報文流的源端或目的端發(fā)送符合MSE協(xié)議以 及TCP協(xié)議的握手報文�,如果握手成功,則確定模塊可以確定當前過濾出的符合MSE協(xié)議的 報文流是符合BT協(xié)議的報文流�,當前過濾出的符合MSE協(xié)議的報文流的遠端或目的端均為 BT客戶端。如果握手失敗�����,則確定模塊可以確定當前過濾出的符合MSE協(xié)議的報文流不是 符合BT協(xié)議的報文流����。 確定模塊確定當前過濾出的符合MSE協(xié)議的報文流是符合BT協(xié)議的報文流之后,
可以向DPI裝置上報報文流識別的結果�����,并由斷開模塊斷開與BT客戶端的連接�����。 本發(fā)明提供的報文流識別裝置可以部署在一個域的網絡出口處�����,這樣就可以識別
流經該裝置的所有網絡報文流。 本發(fā)明實施例提供的報文流識別裝置�,首先從輸入的報文流中過濾出符合第一傳輸層協(xié)議和第一加密協(xié)議的報文流,然后模擬符合待識別的協(xié)議的客戶端��,主動與輸入的 報文流的目的端或源端握手�,如果握手成功,則可以確定輸入的報文流符合待識別的協(xié)議���, 從而避免了將所有符合第一傳輸層協(xié)議和第一加密協(xié)議的報文流識別為符合待識別的協(xié) 議的報文流,提高了報文識別準確率�。 本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過 程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中�,該程序 在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質包括R0M���、 RAM、磁碟或者 光盤等各種可以存儲程序代碼的介質�����。 最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案��,而非對其限制;盡 管參照前述實施例對本發(fā)明進行了詳細的說明��,本領域的普通技術人員應當理解其依然 可以對前述各實施例所記載的技術方案進行修改����,或者對其中部分技術特征進行等同替 換;而這些修改或者替換��,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精 神和范圍�����。
8
權利要求
一種報文流識別方法����,其特征在于,包括從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流�����;從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密協(xié)議的報文流�;按照待識別的協(xié)議,向所述符合第一加密協(xié)議的報文流的目的端或源端發(fā)送符合所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報文��;如果握手成功���,則確定輸入的報文流為符合所述待識別的協(xié)議的報文流�����,斷開此次握手成功的通信���。
2. 根據權利要求1所述的報文流識別方法����,其特征在于��,所述從輸入的報文流中過濾 出符合第一傳輸層協(xié)議的報文流包括識別所述輸入的報文流的通信端口 �,如果符合預設的端口 ���,則確定為符合第一傳輸層 協(xié)議的報文流��;和/或識別所述輸入的報文流的特征關鍵字��,如果符合預設的特征關鍵字���,則確定為第一傳 輸層協(xié)議的報文流。
3. 根據權利要求1所述的報文流識別方法���,其特征在于�,所述從所述符合第一傳輸層 協(xié)議的報文流中過濾出符合第一加密協(xié)議的報文流包括識別所述符合第一傳輸層協(xié)議的報文流的特征關鍵字,如果符合預設的特征標志����,則 確定為符合第一加密協(xié)議的報文流。
4. 根據權利要求1所述的報文流識別方法�����,其特征在于���,所述待識別的協(xié)議包括點對 點P2P文件共享協(xié)議�����。
5. 根據權利要求1所述的報文流識別方法��,其特征在于�����,所述第一加密協(xié)議包括消息 流加密MSE協(xié)議或者協(xié)議頭加密PHE協(xié)議�����。
6. 根據權利要求1所述的報文流識別方法����,其特征在于,所述按照待識別的協(xié)議����,向所 述符合第一加密協(xié)議的報文流的目的端或源端發(fā)送符合所述第一加密協(xié)議和所述第一傳 輸層協(xié)議的握手報文包括生成待識別的協(xié)議的握手報文; 按照第一傳輸層協(xié)議����,對所述握手報文進行封裝; 按照第一加密協(xié)議����,對封裝后的握手報文進行加密; 向目的端或源端發(fā)送加密后的握手報文���。
7. —種報文流識別裝置,其特征在于�����,包括傳輸協(xié)議過濾模塊���,用于從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流�; 加密協(xié)議過濾模塊,用于從所述符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密 協(xié)議的報文流�;握手模塊,用于按照待識別的協(xié)議�,向所述符合第一加密協(xié)議的報文流的目的端或源 端發(fā)送符合所述第一加密協(xié)議和所述第一傳輸層協(xié)議的握手報文;確定模塊����,與所述握手模塊連接,用于在所述握手模塊握手成功后����,確定輸入的報文流 為符合所述待識別的協(xié)議的報文流;斷開模塊��,用于在所述握手模塊握手成功后斷開此次握手成功的通信���。
8. 根據權利要求7所述的裝置�����,其特征在于����,所述傳輸協(xié)議過濾模塊用于 識別所述輸入的報文流的通信端口 ,如果符合預設的端口 �����,則確定為符合第一傳輸層協(xié)議的報文流�;和/或識別所述輸入的報文流的特征關鍵字,如果符合預設的特征關鍵字���,則確定為第一傳 輸層協(xié)議的報文流�����。
9. 根據權利要求7所述的裝置��,其特征在于����,所述加密協(xié)議過濾模塊用于 識別所述符合第一傳輸層協(xié)議的報文流的特征關鍵字��,如果符合預設的特征標志��,則確定為符合第一加密協(xié)議的報文流�����。10. 根據權利要求7所述的裝置�����,其特征在于����,所述握手模塊包括 生成子模塊,用于生成待識別的協(xié)議的握手報文�; 封裝子模塊,用于按照第一傳輸層協(xié)
議�����,對所述握手報文進行封裝����; 加密子模塊,用于按照第一加密協(xié)議��,對封裝后的握手報文進行加密�����; 發(fā)送子模塊,用于向目的端或源端發(fā)送加密后的握手報文�。
全文摘要
本發(fā)明公開了一種報文流識別方法及裝置,其中方法包括從輸入的報文流中過濾出符合第一傳輸層協(xié)議的報文流��;從符合第一傳輸層協(xié)議的報文流中過濾出符合第一加密協(xié)議的報文流�����;按照待識別的協(xié)議���,向符合第一加密協(xié)議的報文流的目的端或源端發(fā)送符合第一加密協(xié)議和第一傳輸層協(xié)議的握手報文����;如果握手成功�,則確定輸入的報文流為符合待識別的協(xié)議的報文流,斷開此次握手成功的通信���。本發(fā)明實施例提供的報文流識別方法和裝置�����,主動與輸入的報文流的目的端或源端握手�����,如果握手成功�����,則可以確定輸入的報文流符合待識別的協(xié)議�,從而避免了將所有符合第一加密協(xié)議的報文流識別為符合待識別的協(xié)議的報文流����,提高了報文識別準確率。
文檔編號H04L29/08GK101702733SQ20091022215
公開日2010年5月5日 申請日期2009年11月18日 優(yōu)先權日2009年11月18日
發(fā)明者劉永京, 沈華林, 馬勺布 申請人:成都市華為賽門鐵克科技有限公司