專利名稱:P2p協(xié)議流量識別方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全與監(jiān)控技術(shù)領(lǐng)域����,尤其涉及一種P2P協(xié)議流量識別方法及系 統(tǒng)。
背景技術(shù):
網(wǎng)絡(luò)流分類和協(xié)議識別技術(shù)是信息安全和監(jiān)控領(lǐng)域中的核心技術(shù)���。其主要任務(wù)是 根據(jù)網(wǎng)絡(luò)流及流內(nèi)報文包含的信息識別出流所屬的網(wǎng)絡(luò)協(xié)議類別���。從2006年到2009年全球范圍對等(Peer-to-Peer,P2P)流量占到了互聯(lián)網(wǎng)總 帶寬的一半以上���。迅雷是一款國內(nèi)最為流行的P2P文件傳輸軟件�,它的注冊用戶超過了 3. 29億��,每月活躍用戶超過了 1.66億����。迅雷除了能夠提供快速的端到服務(wù)器和端基于用 戶對服務(wù)器和用戶機(jī)制(Peer to Server & Peer��,P2SP)文件傳輸服務(wù)外�����,還同時支持電驢 (eMule)和比特流(Bit Torrent, BT)格式的P2P文件傳輸,因此其文件傳輸速度很快��,用 戶也非常廣泛�����。對迅雷流量的識別有著非常重要的意義�����,包括(1)網(wǎng)絡(luò)管理���,網(wǎng)絡(luò)服務(wù)提 供商(Internet ServiceProvider���,ISP),尤其是中國的ISP對于迅雷的流量識別非常感興 趣����,因為牽涉到流量和性能監(jiān)控,流量策略和收費(fèi)等���;(2)研究��,迅雷的快速發(fā)展和大用戶 群吸引著越來越多P2P及其它領(lǐng)域的學(xué)術(shù)和商業(yè)上的研究者����;(3)盜版,迅雷在一定程度上 通過P2P傳輸方式助長了網(wǎng)絡(luò)上軟件����、電影、音樂和游戲等的盜版行為����。因此識別迅雷流量 有著非常重要的意義。現(xiàn)有的網(wǎng)絡(luò)流分類和協(xié)議識別技術(shù)包括基于包頭的技術(shù)��、基于協(xié)議的技術(shù)和基 于行為的技術(shù)����。分類和識別方法主要有基于模式匹配的方法、基于統(tǒng)計的方法和基于機(jī)器 學(xué)習(xí)的方法��?;诎^和協(xié)議的技術(shù)通過對包中載荷里的字段分析����,得到目標(biāo)協(xié)議中特定字段 的固定模式����,并應(yīng)用模式匹配的方法進(jìn)行協(xié)議識別����。該類方法識別速度快,準(zhǔn)確率高�����,但是 更新代價較大����,無法識別加密流量和協(xié)議?����;谛袨榈募夹g(shù)主要利用目標(biāo)協(xié)議在網(wǎng)絡(luò)中的傳輸行為特征�����,應(yīng)用統(tǒng)計和機(jī)器學(xué) 習(xí)的方法進(jìn)行網(wǎng)絡(luò)流分類和識別���。該類方法一般情況下的識別速度和準(zhǔn)確率都遜于基于包 頭和協(xié)議的匹配方法�。但是,該類方法不需要分析載荷中的內(nèi)容��,因此能夠識別加密流量�����。P2P協(xié)議流量的識別技術(shù)最早采用基于端口的方法�,但是隨著動態(tài)隨機(jī)端口的應(yīng) 用,這種方法非常不準(zhǔn)確��。有一些方法采用基于P2P節(jié)點(diǎn)和連接的行為來進(jìn)行識別��,但是這 種方法對于很多行為類似的P2P協(xié)議無法準(zhǔn)確識別��。還有一些方法采用協(xié)議特征字段來對 某類P2P協(xié)議進(jìn)行識別��,但是這種方法只對明文協(xié)議有效����,對于像迅雷這種流量加密且協(xié) 議格式動態(tài)變化的協(xié)議效果很差。現(xiàn)在還沒有一種非常有效的迅雷流量的識別方法�����。在現(xiàn)有技術(shù)中,最常用的方法 是封堵迅雷的服務(wù)器地址和服務(wù)端口����,但是其服務(wù)器地址和端口都是變化的�����,因此這種方 法不是很有效����。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明所要解決的技術(shù)問題是如何提供一種流量識別方法及系統(tǒng),以提高對 P2P協(xié)議流量識別的有效性����、速度及其可擴(kuò)展性。(二)技術(shù)方案為解決上述問題����,本發(fā)明提供了一種P2P協(xié)議流量識別方法,該方法包括步驟Si.對P2P協(xié)議流量的初始握手交互過程進(jìn)行分析��,獲得代表選定的交互過程的 狀態(tài)轉(zhuǎn)移集合�,其中包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令;S2.根據(jù)五元組將待識別的流量分成多條流�����;S3.按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是否能夠進(jìn)行 P2P協(xié)議的消息重組,若能���,則載入下一條流�,并重新執(zhí)行步驟S3�,否則,執(zhí)行步驟S4 ��;S4.檢查待識別的流的消息中是否包含所述關(guān)鍵命令��,若不包含�����,則判斷該流為非 P2P協(xié)議流量����,載入下一條流,并返回步驟S3��,否則�����,執(zhí)行步驟S5 ;S5.判斷待識別的流的消息構(gòu)成是否符合所述交互過程的狀態(tài)轉(zhuǎn)移集合中的項���, 若不符合���,則判斷所述流為非P2P協(xié)議流量����,載入下一條流,并返回步驟S3���,否則��,判定所述 流為P2P協(xié)議流量����,載入下一條流�����,并返回步驟S3 ��;其中���,所述選定的交互過程為空閑狀態(tài)與數(shù)據(jù)傳輸狀態(tài)之間的交互過程�����;所述P2P協(xié)議的消息重組的啟發(fā)性條件為a. P2P協(xié)議頭沒有加密�����,體是經(jīng)過加密的��;b.在P2P協(xié)議的連接部分���,有多個0x00內(nèi)容的字節(jié)�,或者連續(xù)兩個或三個0x00內(nèi)
容的字節(jié)�;c. P2P協(xié)議以連續(xù)三個0x00字節(jié)結(jié)束,或者在連續(xù)兩個或三個0x00后有一段設(shè)定 長度的內(nèi)容之后結(jié)束�����。其中�����,步驟Sl進(jìn)一步包括Si. 1抓取P2P協(xié)議純流量;Si. 2對P2P協(xié)議純流量進(jìn)行五元組分流�;Si. 3根據(jù)P2P協(xié)議的基本結(jié)構(gòu),定義P2P協(xié)議消息�����,得到P2P協(xié)議消息重組的啟發(fā) 性條件集合����;Si. 4將P2P協(xié)議流量中的每個流按照步驟Si. 3中的定義及啟發(fā)性條件集合進(jìn)行 P2P協(xié)議的消息重組;Si. 5按照每個消息的中所包含的有效屬性對消息進(jìn)行相似度聚類����,通過迭代聚 類�,獲得所述選定的交互過程的狀態(tài)轉(zhuǎn)移集合,及所述關(guān)鍵命令集合����。其中,步驟Si. 1中��,抓取方法為在虛擬機(jī)中通過防火墻�����、以及抓包工具����,運(yùn)行P2P 協(xié)議軟件�����,抓取P2P協(xié)議純流量����。其中��,所述五元組為源IP���、目的IP�、源端口�����、目的端口�����、以及協(xié)議號����。其中��,在步驟Si. 3中�����,定義P2P協(xié)議消息為從一個P2P協(xié)議頭開始到下一個頭之
前結(jié)束��。其中���,步驟Si. 4中,每個消息的中所包含的有效屬性包括命令��、頭長度�、以及是 否包含體�。
其中,步驟Si. 5中的相似度聚類為將有效屬性在設(shè)定的相似度閾值范圍內(nèi)接近 的消息判定為同一類消息�����。本發(fā)明還提供了一種P2P協(xié)議流量識別系統(tǒng)�����,該系統(tǒng)包括分析模塊,用于對P2P 協(xié)議流量的初始握手交互過程進(jìn)行分析��,獲得代表選定的交互過程的狀態(tài)轉(zhuǎn)移集合���,其中 包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令���;分流模塊,用于根據(jù)五元組將待識別的流量分成多 條流���;第一識別模塊�����,用于按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是 否能夠進(jìn)行P2P協(xié)議的消息重組���;第二識別模塊,用于檢查待識別的流的消息中是否包含 所述關(guān)鍵命令�;第三識別模塊,用于判斷待識別的流的消息構(gòu)成是否符合所述交互過程的 狀態(tài)轉(zhuǎn)移集合中的項����,若不符合,則判斷所述流為非P2P協(xié)議流量����,否則��,判定所述流為P2P 協(xié)議流量�;其中����,所述選定的交互過程為空閑狀態(tài)與數(shù)據(jù)傳輸狀態(tài)之間的交互過程;所述P2P協(xié)議的消息重組的啟發(fā)性條件為a. P2P協(xié)議的頭沒有加密����,體是經(jīng)過加密的;b.在P2P協(xié)議的頭的連接部分����,有多個0x00內(nèi)容的字節(jié),或者連續(xù)兩個或三個 0x00內(nèi)容的字節(jié)��;c. P2P協(xié)議的頭以連續(xù)三個0x00字節(jié)結(jié)束�,或者在連續(xù)兩個或三個0x00后有一段 設(shè)定長度的內(nèi)容之后結(jié)束���。其中�,所述分析模塊進(jìn)一步包括抓取單元�,用于抓取P2P協(xié)議純流量�����;分流單元����, 用于對P2P協(xié)議純流量進(jìn)行五元組分流��;消息定義單元����,根據(jù)P2P協(xié)議的基本結(jié)構(gòu),定義 P2P協(xié)議消息�����,得到所述消息重組的啟發(fā)性條件集合�����;消息重組單元�����,用于將P2P協(xié)議流量 中的每個流按照步驟Si. 3中的定義及啟發(fā)性條件集合進(jìn)行P2P協(xié)議的消息重組�����;迭代聚類 單元,用于按照每個消息的中所包含的有效屬性對消息進(jìn)行相似度聚類���,通過迭代聚類�,獲 得P2P協(xié)議所述選定的交互過程的狀態(tài)轉(zhuǎn)移集合����,及所述關(guān)鍵命令集合。(三)有益效果本發(fā)明的方法及系統(tǒng)采用了一個有效且高效的框架來對P2P協(xié)議流量進(jìn)行識別��, 設(shè)計了一種啟發(fā)性消息聚類技術(shù)來對P2P協(xié)議流量進(jìn)行分析���,得到關(guān)鍵命令和關(guān)鍵交互過 程�����,并采用基于流的針對P2P協(xié)議消息�、關(guān)鍵命令和關(guān)鍵交互過程狀態(tài)機(jī)的實時識別來對 P2P協(xié)議流量進(jìn)行分類���,該方法及系統(tǒng)有效�、快速���、并有著較好的可擴(kuò)展性���。
圖1為依照本發(fā)明一種實施方式的P2P協(xié)議流量識別方法流程圖;圖2為依照本發(fā)明一種實施方式的P2P協(xié)議流量識別方法中對P2P協(xié)議流量進(jìn)行 分析的方法流程圖��。
具體實施例方式對于本發(fā)明所提出的P2P協(xié)議流量識別方法及系統(tǒng)�,結(jié)合附圖和實施例詳細(xì)說 明。本發(fā)明在基于大量的針對P2P協(xié)議和流量觀察的基礎(chǔ)之上���,總結(jié)出P2P協(xié)議的結(jié) 構(gòu)�����,并創(chuàng)新性的采用了啟發(fā)性消息聚類技術(shù)對P2P協(xié)議流量進(jìn)行分析����,得到了 P2P協(xié)議的工作狀態(tài)下的關(guān)鍵交互過程狀態(tài)機(jī)和其中的關(guān)鍵命令���,在關(guān)鍵命令和關(guān)鍵交互過程狀態(tài)機(jī)的 支持下��,能夠?qū)α髁恐械腜2P協(xié)議流量進(jìn)行實時的識別和分類����。依照本發(fā)明一種實施方式 的P2P協(xié)議流量識別方法,尤指對迅雷流量的識別���,迅雷的消息重組的啟發(fā)性條件包括(1)迅雷頭沒有加密����,但是迅雷體都是經(jīng)過加密的��;(2)在迅雷頭的連接部分����,有較多的0x00內(nèi)容的字節(jié),尤其會經(jīng)常有連續(xù)兩個或 三個0x00內(nèi)容的字節(jié)����;(3)很多迅雷頭以連續(xù)三個0x00字節(jié)結(jié)束,或者在連續(xù)兩個或三個0x00后有一段 特定長度的內(nèi)容之后結(jié)束����。對于這些啟發(fā)性條件,針對條件(1)��,在實際的學(xué)習(xí)和分類過程中����,利用隨機(jī)性檢 驗算法(如卡方檢驗或單游程檢驗算法等)和加密后的數(shù)據(jù)表現(xiàn)為隨機(jī)的這一特性�����,來根 據(jù)數(shù)據(jù)是否隨機(jī)判斷迅雷消息,并結(jié)合啟發(fā)性行條件(2)和(3)來在迅雷消息中劃分迅雷 頭和體���。如圖1所示��,本實施方式的方法包括以下步驟Si.對P2P協(xié)議流量的初始握手交互過程進(jìn)行分析�,獲得代表選定的交互過程的 狀態(tài)轉(zhuǎn)移集合����,其中包括所述選定的交互過程中的關(guān)鍵命令;如圖2所示���,該步驟進(jìn)一步包 括Si. 1抓取海量P2P協(xié)議純流量�,即全部為目標(biāo)協(xié)議的流量�,抓取方法為在沒有或 盡量不啟用其他會產(chǎn)生流量的網(wǎng)絡(luò)應(yīng)用,即干凈的虛擬機(jī)中通過防火墻��,抓包工具等����,運(yùn)行 P2P協(xié)議軟件(迅雷)���,抓取P2P協(xié)議的純凈流量;Si. 2對P2P協(xié)議純流量通過<源IP��、目的IP�����、源端口���、目的端口�、協(xié)議號>五元組 分流���;Si. 3通過觀察P2P協(xié)議基本結(jié)構(gòu)���,包括P2P協(xié)議的頭和體,其中頭是必有的�,體是 可選的,頭的前4個字節(jié)代表命令���,頭剩余字節(jié)表示連接信息�,體則是加密過的數(shù)據(jù),定義 P2P協(xié)議的消息為從一個P2P協(xié)議頭開始到下一個P2P協(xié)議頭之前結(jié)束���,并根據(jù)觀察得到 P2P協(xié)議的消息重組的啟發(fā)性條件集合H �;Si. 4將P2P協(xié)議流量中的每個流按上述定義及啟發(fā)性條件進(jìn)行消息重組��;Si. 5按照每個消息的中所包含的有效屬性��,即命令����、頭長度���、是否包含體等�����,對消 息進(jìn)行相似度聚類�����,通過迭代聚類��,獲得選定的交互過程的狀態(tài)轉(zhuǎn)移集合K�����,及交互過程中 的關(guān)鍵命令集合C���。S2.對待識別的流量按照<源IP����、目的IP�、源端口、目的端口�、協(xié)議號>這五元組 將流量分成多條流;S3.以流為單位進(jìn)行識別��,按照的啟發(fā)性條件集合H判斷待識別流是否能被進(jìn)行 P2P協(xié)議的消息重組��,如果不能�,則該流被判斷為非P2P協(xié)議流量,載入下一條待判斷的流�, 重新執(zhí)行步驟S3,如果能�����,則執(zhí)行步驟S4 ����;S4.檢查待識別的流的消息中是否包含關(guān)鍵命令����,即屬于集合C的命令��,如果不包 含��,則該流被判斷為非P2P協(xié)議流量��,載入下一條待識別的流����,轉(zhuǎn)至步驟S3��,如果包含��,則執(zhí) 行步驟S5 ����;S5.判斷待識別流的消息構(gòu)成是否符合上述選定的交互過程的狀態(tài)轉(zhuǎn)移集合中的 項,若不符合�,則判斷所述流為非P2P協(xié)議流量,載入下一條流并返回步驟S3���,若符合�,則判定所述流為P2P協(xié)議流量,載入下一條流并返回步驟S3��。其中�,消息的相似度聚類是根據(jù)消息的三個有效屬性命令、P2P協(xié)議頭長度和是否 包含P2P協(xié)議體����,在一定范圍內(nèi)三個屬性接近的消息被認(rèn)為是同一類消息。對大量的P2P 協(xié)議流中的消息進(jìn)行相似度聚類���,并根據(jù)聚類結(jié)果調(diào)整消息相似度的閾值���,這樣迭代計算 下去,最終形成收斂�,即無法再繼續(xù)聚類為更小的集合,這時聚類結(jié)束�����,得到的結(jié)果就是P2P 協(xié)議關(guān)鍵交互過程的狀態(tài)轉(zhuǎn)移過程集合K�。對于迅雷的流量識別,最終得到兩個關(guān)鍵交互過程���,分別代表迅雷空閑狀態(tài)和數(shù) 據(jù)傳輸狀態(tài)下的迅雷流中的消息交互過程�����,在這些關(guān)鍵交互過程中包含的所有的消息命 令構(gòu)成了關(guān)鍵命令集合C���,實際過程中得到的集合C = {CMD_TYPEID_HUB_KEEP_ALIVE_ RESP�����、CMD_QUERY_P2PHUB��、CMD_QUERY_P2PHUB_RESP��、CMD_REQUEST���、CMD_REQUEST_RESP����、CMD_ QUERY_TRACKER、CMD_QUERY_TRACKER_RESP}����;在上述過程中���,一般只需要檢查一個流的頭20個包,并且每個包只需要檢查載荷 的頭100個字節(jié)即可�,假設(shè)待分類的流量共有η條流,每條流需要檢查頭A個包����,每個包需 要檢查頭B個字節(jié),這樣識別分類的計算復(fù)雜度0 (n) = Abn��,整體在線識別系統(tǒng)非常簡潔�����, 復(fù)雜度也較低�,能夠有效被運(yùn)用到實際流量識別系統(tǒng)中。本發(fā)明還提供了一種P2P協(xié)議流量識別系統(tǒng)�,該系統(tǒng)包括分析模塊,用于對P2P 協(xié)議流量的初始握手交互過程進(jìn)行分析���,獲得代表選定的交互過程的狀態(tài)轉(zhuǎn)移集合�,其中 包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令���;分流模塊����,用于根據(jù)五元組將待識別的流量分成多 條流;第一識別模塊���,用于按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是 否能夠進(jìn)行P2P協(xié)議的消息重組��;第二識別模塊��,用于檢查待識別的流的消息中是否包含 所述關(guān)鍵命令��;第三識別模塊�,用于判斷待識別的流的消息構(gòu)成是否符合所述交互過程的 狀態(tài)轉(zhuǎn)移集合中的項�,若不符合,則判斷所述流為非P2P協(xié)議流量�����,否則�,判定所述流為P2P 協(xié)議流量。其中���,所述分析模塊進(jìn)一步包括抓取單元,用于抓取P2P協(xié)議純流量�����;分流單元, 用于對P2P協(xié)議純流量進(jìn)行五元組分流�;消息定義單元,根據(jù)P2P協(xié)議的基本結(jié)構(gòu)�,定義 P2P協(xié)議消息,得到所述消息重組的啟發(fā)性條件集合�;消息重組單元,用于將P2P協(xié)議流量 中的每個流按照步驟Si. 3中的定義及啟發(fā)性條件集合進(jìn)行P2P協(xié)議的消息重組����;迭代聚類 單元,用于按照每個消息的中所包含的有效屬性對消息進(jìn)行相似度聚類�����,通過迭代聚類����,獲 得P2P協(xié)議所述選定的交互過程的狀態(tài)轉(zhuǎn)移集合,及所述關(guān)鍵命令集合��。以上實施方式僅用于說明本發(fā)明���,而并非對本發(fā)明的限制�����,有關(guān)技術(shù)領(lǐng)域的普通 技術(shù)人員��,在不脫離本發(fā)明的精神和范圍的情況下��,還可以做出各種變化和變型��,因此所有 等同的技術(shù)方案也屬于本發(fā)明的范疇����,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
一種P2P協(xié)議流量識別方法�,其特征在于,該方法包括步驟S1.對P2P協(xié)議流量的初始握手交互過程進(jìn)行分析�����,獲得代表選定的交互過程的狀態(tài)轉(zhuǎn)移集合�����,其中包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令�����;S2.根據(jù)五元組將待識別的流量分成多條流�����;S3.按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是否能夠進(jìn)行P2P協(xié)議的消息重組�,若能,則載入下一條流�����,并重新執(zhí)行步驟S3��,否則���,執(zhí)行步驟S4���;S4.檢查待識別的流的消息中是否包含所述關(guān)鍵命令,若不包含����,則判斷該流為非P2P協(xié)議流量,載入下一條流����,并返回步驟S3���,否則,執(zhí)行步驟S5�����;S5.判斷待識別的流的消息構(gòu)成是否符合所述交互過程的狀態(tài)轉(zhuǎn)移集合中的項��,若不符合���,則判斷所述流為非P2P協(xié)議流量�,載入下一條流����,并返回步驟S3,否則�,判定所述流為P2P協(xié)議流量,載入下一條流�,并返回步驟S3;其中�����,所述選定的交互過程為空閑狀態(tài)與數(shù)據(jù)傳輸狀態(tài)之間的交互過程;所述P2P協(xié)議的消息重組的啟發(fā)性條件為a.P2P協(xié)議頭沒有加密��,體是經(jīng)過加密的���;b.在P2P協(xié)議的連接部分,有多個0x00內(nèi)容的字節(jié)�,或者連續(xù)兩個或三個0x00內(nèi)容的字節(jié);c.P2P協(xié)議以連續(xù)三個0x00字節(jié)結(jié)束�����,或者在連續(xù)兩個或三個0x00后有一段設(shè)定長度的內(nèi)容之后結(jié)束��。
2.如權(quán)利要求1所述的P2P協(xié)議流量識別方法���,其特征在于�����,步驟Sl進(jìn)一步包括Si. 1抓取P2P協(xié)議純流量�����;Si. 2對P2P協(xié)議純流量進(jìn)行五元組分流�����;Si. 3根據(jù)P2P協(xié)議的基本結(jié)構(gòu)��,定義P2P協(xié)議消息�����,得到P2P協(xié)議消息重組的啟發(fā)性條 件集合�����;Si. 4將P2P協(xié)議流量中的每個流按照步驟Si. 3中的定義及啟發(fā)性條件集合進(jìn)行P2P 協(xié)議的消息重組����;Si. 5按照每個消息的中所包含的有效屬性對消息進(jìn)行相似度聚類,通過迭代聚類�,獲 得所述選定的交互過程的狀態(tài)轉(zhuǎn)移集合,及所述關(guān)鍵命令集合�����。
3.如權(quán)利要求2所述的P2P協(xié)議流量識別方法�����,其特征在于,步驟Si.1中���,抓取方法為 在虛擬機(jī)中通過防火墻�����、以及抓包工具�����,運(yùn)行P2P協(xié)議軟件,抓取P2P協(xié)議純流量�����。
4.如權(quán)利要求2所述的P2P協(xié)議流量識別方法����,其特征在于,所述五元組為源IP�����、目 的IP�����、源端口、目的端口�����、以及協(xié)議號�����。
5.如權(quán)利要求2所述的P2P協(xié)議流量識別方法�,其特征在于,在步驟Si.3中��,定義P2P 協(xié)議消息為從一個P2P協(xié)議頭開始到下一個頭之前結(jié)束����。
6.如權(quán)利要求2所述的P2P協(xié)議流量識別方法,其特征在于�����,步驟Si.4中���,每個消息的 中所包含的有效屬性包括命令�、頭長度、以及是否包含體����。
7.如權(quán)利要求2所述的P2P協(xié)議流量識別方法,其特征在于����,步驟Si.5中的相似度聚 類為將有效屬性在設(shè)定的相似度閾值范圍內(nèi)接近的消息判定為同一類消息。
8.—種P2P協(xié)議流量識別系統(tǒng)�����,其特征在于��,該系統(tǒng)包括分析模塊���,用于對P2P協(xié)議流量的初始握手交互過程進(jìn)行分析,獲得代表選定的交互過程的狀態(tài)轉(zhuǎn)移集合��,其中包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令���; 分流模塊�����,用于根據(jù)五元組將待識別的流量分成多條流�;第一識別模塊,用于按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是否 能夠進(jìn)行P2P協(xié)議的消息重組���;第二識別模塊����,用于檢查待識別的流的消息中是否包含所述關(guān)鍵命令����; 第三識別模塊,用于判斷待識別的流的消息構(gòu)成是否符合所述交互過程的狀態(tài)轉(zhuǎn)移集 合中的項��,若不符合�����,則判斷所述流為非P2P協(xié)議流量��,否則���,判定所述流為P2P協(xié)議流量����; 其中,所述選定的交互過程為空閑狀態(tài)與數(shù)據(jù)傳輸狀態(tài)之間的交互過程���; 所述P2P協(xié)議的消息重組的啟發(fā)性條件為a.P2P協(xié)議的頭沒有加密�,體是經(jīng)過加密的����;b.在P2P協(xié)議的頭的連接部分,有多個0x00內(nèi)容的字節(jié)���,或者連續(xù)兩個或三個0x00內(nèi)容的字節(jié)��;c.P2P協(xié)議的頭以連續(xù)三個0x00字節(jié)結(jié)束�,或者在連續(xù)兩個或三個0x00后有一段設(shè)定 長度的內(nèi)容之后結(jié)束�。
9.如權(quán)利要求8所述的流量識別系統(tǒng),其特征在于��,所述分析模塊進(jìn)一步包括抓取單元���,用于抓取P2P協(xié)議純流量;分流單元���,用于對P2P協(xié)議純流量進(jìn)行五元組分流��;消息定義單元�,根據(jù)P2P協(xié)議的基本結(jié)構(gòu),定義P2P協(xié)議消息����,得到所述消息重組的啟 發(fā)性條件集合;消息重組單元�,用于將P2P協(xié)議流量中的每個流按照步驟Si. 3中的定義及啟發(fā)性條件 集合進(jìn)行P2P協(xié)議的消息重組;迭代聚類單元�,用于按照每個消息的中所包含的有效屬性對消息進(jìn)行相似度聚類,通 過迭代聚類���,獲得P2P協(xié)議所述選定的交互過程的狀態(tài)轉(zhuǎn)移集合��,及所述關(guān)鍵命令集合���。
全文摘要
本發(fā)明公開了一種P2P協(xié)議流量識別方法及系統(tǒng),該方法包括步驟S1.對P2P協(xié)議流量的初始握手交互過程進(jìn)行分析�,獲得代表選定的交互過程的狀態(tài)轉(zhuǎn)移集合,其中包括所述狀態(tài)轉(zhuǎn)移過程中的關(guān)鍵命令�����;S2.根據(jù)五元組將待識別的流量分成多條流;S3.按照P2P協(xié)議的消息重組的啟發(fā)性條件集合判斷待識別的流是否能夠進(jìn)行P2P協(xié)議的消息重組�����;S4.檢查待識別的流的消息中是否包含所述關(guān)鍵命令����;S5.判斷待識別的流的消息構(gòu)成是否符合所述交互過程的狀態(tài)轉(zhuǎn)移集合中的項。本發(fā)明的方法及系統(tǒng)可以提高對P2P流量識別的有效性�����、速度��,且可擴(kuò)展性強(qiáng)��。
文檔編號H04L29/08GK101984635SQ20101056239
公開日2011年3月9日 申請日期2010年11月23日 優(yōu)先權(quán)日2010年11月23日
發(fā)明者李城龍, 薛一波 申請人:清華大學(xué)