專利名稱:P2p流量檢測(cè)方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域����,尤其涉及一種P2P流量檢測(cè)方法及裝置。
背景技術(shù):
互聯(lián)網(wǎng)上大量的個(gè)人用戶沒(méi)有公有IP地址����,多個(gè)客戶端往往通過(guò)NAT技術(shù)共同享有一個(gè)IP,聯(lián)網(wǎng)方式一般都是通過(guò)局域網(wǎng)接入因特網(wǎng)���。由于NAT的存在����,P2P軟件可使用各種穿越NAT的技術(shù)來(lái)實(shí)現(xiàn)直接通信���,一般來(lái)說(shuō)連接的發(fā)起者是處于NAT后的個(gè)人用戶而不能是互聯(lián)網(wǎng)上的用戶��。傳統(tǒng)通信模型與P2P通用通信模型的區(qū)別傳統(tǒng)通信模型是NAT后的節(jié)點(diǎn)和互聯(lián)網(wǎng)上少數(shù)幾個(gè)IP發(fā)生連接�,該節(jié)點(diǎn)與這些IP發(fā)生的連接數(shù)較多��,這是因?yàn)閭鹘y(tǒng)流量模型中用戶要訪問(wèn)的資源集中在服務(wù)器上�,所以需要建立更多的連接從而獲得更高的通信帶寬�����; 而傳統(tǒng)P2P通信模型是NAT后的對(duì)等點(diǎn)與互聯(lián)網(wǎng)上多個(gè)不同的IP地址存在連接�����,該對(duì)等點(diǎn)和每個(gè)IP的連接數(shù)并不多�����,這是因?yàn)閷?duì)等點(diǎn)總是傾向于把通信壓力分布到各個(gè)節(jié)點(diǎn)上��,而不是聚集到一個(gè)特定的節(jié)點(diǎn)�����。由于大部分P2P應(yīng)用為了逃避端口檢測(cè)����,往往采用隨機(jī)選取端口的方式來(lái)指定監(jiān)聽端口�����,而NAT后的對(duì)等點(diǎn)總是主動(dòng)連接互聯(lián)網(wǎng)上的對(duì)等點(diǎn)��,故隨機(jī)選取端口的方式表現(xiàn)在流量特征上就是互聯(lián)網(wǎng)上這些對(duì)等點(diǎn)的監(jiān)聽端口是隨機(jī)的�����。源端口的選擇遵循如下規(guī)律TCP源端口隨機(jī)選擇���,UDP源端口盡量使用相同的端口號(hào)����。目前互聯(lián)網(wǎng)上一些主流P2P應(yīng)用往往是多種傳輸方式���、多種資源整合技術(shù)相結(jié)合的軟件��,這些P2P應(yīng)用所表現(xiàn)出的流量特征遠(yuǎn)遠(yuǎn)比一般的P2P應(yīng)用流量特征要復(fù)雜的很多�, 而DPI設(shè)備在檢測(cè)目前互聯(lián)網(wǎng)上這些優(yōu)秀的主流P2P應(yīng)用或檢測(cè)到未知P2P應(yīng)用流量或 P2P加密流量時(shí)��,容易出現(xiàn)嚴(yán)重的誤判����、漏判。
發(fā)明內(nèi)容
為了解決上述問(wèn)題�,本發(fā)明提供了一種P2P流量檢測(cè)方法及裝置,該P(yáng)2P流量檢測(cè)方法及裝置可針對(duì)DPI設(shè)備檢測(cè)互聯(lián)網(wǎng)上P2P應(yīng)用流量或P2P加密流量��。具體技術(shù)方案如下
本發(fā)明實(shí)施例提供的一種P2P流量檢測(cè)方法,包括
51�����、使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包����;
52、對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析�,按TCP與UDP歸納;
53��、在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系�;
54、根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)用的流量�。作為本發(fā)明的進(jìn)一步改進(jìn),所述S2步驟前還包括重復(fù)多次所述Sl步驟��。作為本發(fā)明的進(jìn)一步改進(jìn)�����,TCP與UDP被統(tǒng)計(jì)的流量特征包括不同源端口數(shù)�����、不同目標(biāo)端口數(shù)��、不同目標(biāo)地址數(shù)����。
作為本發(fā)明的進(jìn)一步改進(jìn),所述S4步驟具體包括
根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式進(jìn)行測(cè)試���,調(diào)整相關(guān)閾值�; 根據(jù)所述閾值判斷P2P應(yīng)用的流量�����。本發(fā)明實(shí)施例提供的一種P2P流量檢測(cè)裝置���,包括
抓取單元����,用于使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包���;
統(tǒng)計(jì)單元��,用于對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析�,按TCP與UDP 歸納;
觀察單元���,用于在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系���;
計(jì)算單元,用于根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)
用的流量��。作為本發(fā)明的進(jìn)一步改進(jìn)���,所述執(zhí)行所述統(tǒng)計(jì)單元前重復(fù)執(zhí)行多次所述抓取單元��。作為本發(fā)明的進(jìn)一步改進(jìn)��,TCP與UDP被統(tǒng)計(jì)的流量特征包括不同源端口數(shù)����、不同目標(biāo)端口數(shù)���、不同目標(biāo)地址數(shù)���。作為本發(fā)明的進(jìn)一步改進(jìn),所述計(jì)算單元還用于
根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式進(jìn)行測(cè)試,調(diào)整相關(guān)閾值�����; 根據(jù)所述閾值判斷P2P應(yīng)用的流量�����。由以上技術(shù)方案可以看出��,本發(fā)明可提高對(duì)特殊P2P流量檢測(cè)的準(zhǔn)確度��,避免了引擎設(shè)備所出現(xiàn)嚴(yán)重的誤判�、漏判問(wèn)題���,是主要針對(duì)一些主流復(fù)雜應(yīng)用的流量特征而定制的優(yōu)化途徑�����。
圖1是本發(fā)明一實(shí)施方式P2P流量檢測(cè)方法的流程圖�; 圖2是本發(fā)明一實(shí)施方式P2P流量檢測(cè)裝置的模塊示意圖��。
具體實(shí)施方式
為了使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)描述。如圖1所示����,在本發(fā)明一實(shí)施方式中,所述P2P流量檢測(cè)方法包括
51���、使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用(譬如迅雷�,皮皮影視客戶端等等)的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包��;優(yōu)選地����,為了提高數(shù)據(jù)的準(zhǔn)確度,可以重復(fù)此步驟多次�����;
52���、對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析���,按TCP與UDP歸納;優(yōu)選地�,所有TCP與UDP會(huì)話被統(tǒng)計(jì)的主要流量特征包括不同源端口數(shù)���、不同目標(biāo)端口數(shù)、不同目標(biāo)地址數(shù)����。其中,TCP與UDP方式歸納為本領(lǐng)域普通技術(shù)人員的公知常識(shí)���,在此不再贅述;
53���、在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系�����;優(yōu)選地��,在任一時(shí)刻在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)A���,它有可能處于公網(wǎng)上或處于常用的NAT、對(duì)稱NAT后���。S4��、根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)用的流量����。優(yōu)選地,只要滿足對(duì)應(yīng)的TCP和/或UDP統(tǒng)計(jì)等式�,則認(rèn)為該流量為P2P流量。
其中����,在不同連接關(guān)系中,TCP和UDP的統(tǒng)計(jì)等式可為 TCP流量特征
①假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接��,A和任意一個(gè)節(jié)點(diǎn)之間存在π2 (η2>1)條TCP 連接�,該連接由A發(fā)起,發(fā)起這樣的多條連接為P2P的多線程連接���,這里要引入一個(gè)變量�����,即要統(tǒng)計(jì)使用多線程連接的不同目的地址數(shù)TCP_Tdiff_dest (設(shè)備里設(shè)為可調(diào));值滿足如下等式2 ( TCP_Tdiff_dest ���;2 彡 n2 彡 10。②假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接��,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP 連接,如果計(jì)算這些連接的不同目的地址數(shù)TCP_PdifT_dest��,這些連接的目的端口將不納入判斷條件���,不同源端口數(shù)TCP_Pdiff_sp0rt ���;這些值滿足如下等式(n3為閥值,可調(diào)) TCP_Pdiff_dest=n η ^ n3 �;TCP_Pdiff_sport= TCP_Pdiff_dest。③假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接�����,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP 連接�,如果計(jì)算這些連接的不同目的地址數(shù)TCP_DdifT_dest (設(shè)備里設(shè)為可調(diào))�����,且這些連接的目的端口都相同��,不同源端口數(shù)TCP_Ddiff_sp0rt �;這些值滿足如下等式(n4為閥值, 可調(diào))TCP_Ddiff_dest=n�����,η 彡 n4 ;TCP_Ddiff_sport= TCP_Ddiff_dest��。④假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條TCP連接��,且這些連接的源端口不同�����, 目的地址與目的端口都相同�����,將與此目的地址通信的所有TCP連接看作一個(gè)連接�����,劃入② 中進(jìn)行統(tǒng)計(jì)����,查詢,判斷�;最后將與此目的地址通信的所有連接都?xì)w為P2P流量。值得一提的是為了提高準(zhǔn)確性�,可在針對(duì)單個(gè)應(yīng)用可以作相應(yīng)的的動(dòng)態(tài)調(diào)節(jié)�����。UDP流量特征
①假如檢測(cè)點(diǎn)A處于公網(wǎng)上或處于常用的NAT后�,使用與P2P通用流量特征UDP流量特征相同的描述����,滿足如下等式(n5為閥值,可調(diào)):UDP_Pdiff_sport n �;UDP_Pdiff_ dest=UDP_Pdiff_dport, η 彡 n5 ;UDP_Pdiff_dest=n
②假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接����,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP連接,如果計(jì)算這些連接的不同目的地址數(shù)UDP_Ddiff_dest (設(shè)備里設(shè)為可調(diào))��,且這些連接的目的端口都相同��,不同源端口數(shù)UDP_Ddiff_sp0rt ����;這些值滿足如下等式(n6為閥值����,可調(diào))UDP_Ddiff_dest=n η 彡 n6 �;UDP_Ddiff_sport= UDP_Ddiff_dest �;或者 UDP_Ddiff_ dest=n η 彡 n6 ;UDP_Ddiff_sport= 1���。③假如檢測(cè)點(diǎn)A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接����,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP連接���,如果計(jì)算這些連接的不同目的地址數(shù)UDP_Sdiff_dest����,這些連接的源端口將不納入判斷條件�,不同目的端口數(shù)UDP_Sdiff_dport ;這些值滿足如下等式(n7為閥值���, 可調(diào))UDP_Sdiff_dest=n η 彡 n7 (n7 測(cè)試時(shí)設(shè)為 20) ��;UDP_Sdiff_dport= UDP_Sdiff_ desto④假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接��,A和任意一個(gè)節(jié)點(diǎn)之間存在多條UDP連接���,這樣的多條UDP連接的目的端口不相同��,且這些連接的源端口都相同��,可以將與此目的地址通信的所有UDP連接看作一個(gè)連接�����,劃入①中進(jìn)行統(tǒng)計(jì)����,查詢����,判斷;最后將與此目的地址通信的所有連接都?xì)w為Ρ2Ρ流量�;計(jì)算這些連接的不同目的地址數(shù)UDP_PHdiff_dest, 這個(gè)值滿足如下等式(n8為閥值����,可調(diào)):UDP_PHdiff_dest=n, η彡n8�。大量的這樣的檢測(cè)點(diǎn)A和任意一個(gè)節(jié)點(diǎn)之間存在2條UDP連接,其中一條連接僅是A — B]的單方向數(shù)據(jù)傳送�����,而沒(méi)有B — A]的應(yīng)答包,一般可能是檢測(cè)NAT設(shè)備類型的通信特征����。一般情況下,只要發(fā)現(xiàn)上列的等式成立����,就可以認(rèn)為是P2P流量,考慮到準(zhǔn)確性���, 才將其劃入①中再判斷���。⑤假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條UDP連接,且這些連接的源端口不同���,目的地址與目的端口都相同��,將與此目的地址通信的所有UDP連接看作一個(gè)連接�����,劃入 ③中進(jìn)行統(tǒng)計(jì)����,查詢,判斷�;最后將與此目的地址通信的所有連接都?xì)w為P2P流量;計(jì)算這些連接的不同目的地址數(shù)UDP_SHdiff_dest��,這個(gè)值滿足如下等式(π9為閥值���,可調(diào)):UDP_ SHdiff_dest=n η > n9�����。一般情況下��,只要發(fā)現(xiàn)上列的等式成立�,就可以認(rèn)為是P2P流量�����,考慮到準(zhǔn)確性 (以及PPFILM的特殊情況)���,才將其劃入③中再判斷��。由于整個(gè)互聯(lián)P2P網(wǎng)絡(luò)的時(shí)間上和空間上都在不停地動(dòng)態(tài)變化著,各種應(yīng)用或協(xié)議也是在升級(jí)與更新,各個(gè)P2P應(yīng)用網(wǎng)絡(luò)拓?fù)涞膹?fù)雜度和網(wǎng)絡(luò)節(jié)點(diǎn)的活躍度也在不停改變���,這樣需要不停地測(cè)試����,調(diào)整閾值���,將閥值n2�����、n3�����、n4�����、n5��、η6��、η7�、η8、η9設(shè)置為一個(gè)合理的值完全能夠使Ρ2Ρ和非Ρ2Ρ有效區(qū)分���。如圖2所示�����,在本發(fā)明一實(shí)施方式中����,所述Ρ2Ρ流量檢測(cè)裝置包括
抓取單元���,用于使用嗅探工具抓取互聯(lián)網(wǎng)上的Ρ2Ρ應(yīng)用(譬如迅雷�����,皮皮影視客戶端等等)的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包的�����;優(yōu)選地�����,為了提高數(shù)據(jù)的準(zhǔn)確度��,可以重復(fù)進(jìn)行多次抓?��。?br>
統(tǒng)計(jì)單元�,用于對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析,按TCP與UDP 歸納�����;優(yōu)選地����,所有TCP與UDP會(huì)話被統(tǒng)計(jì)的主要流量特征包括不同源端口數(shù)、不同目標(biāo)端口數(shù)����、不同目標(biāo)地址數(shù)。其中��,TCP與UDP方式歸納為本領(lǐng)域普通技術(shù)人員的公知常識(shí)���, 在此不再贅述�;
觀察單元�����,用于在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系;優(yōu)選地��,在任一時(shí)刻在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)A��,它有可能處于公網(wǎng)上或處于常用的NAT�����、對(duì)稱NAT后�。計(jì)算單元,用于根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P 應(yīng)用的流量�。優(yōu)選地,只要滿足對(duì)應(yīng)的TCP和/或UDP統(tǒng)計(jì)等式����,則認(rèn)為該流量為P2P流量。其中����,在不同連接關(guān)系中,TCP和UDP的統(tǒng)計(jì)等式可為 TCP流量特征
①假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接�����,A和任意一個(gè)節(jié)點(diǎn)之間存在π2 (η2>1)條TCP 連接,該連接由A發(fā)起���,發(fā)起這樣的多條連接為P2P的多線程連接��,這里要引入一個(gè)變量����,即要統(tǒng)計(jì)使用多線程連接的不同目的地址數(shù)TCP_Tdiff_dest (設(shè)備里設(shè)為可調(diào));值滿足如下等式2 ( TCP_Tdiff_dest �;2 彡 n2 彡 10���。②假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接���,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP 連接,如果計(jì)算這些連接的不同目的地址數(shù)TCP_PdifT_dest����,這些連接的目的端口將不納入判斷條件,不同源端口數(shù)TCP_Pdiff_sp0rt �����;這些值滿足如下等式(n3為閥值��,可調(diào)) TCP_Pdiff_dest=n η ^ n3 ;TCP_Pdiff_sport= TCP_Pdiff_dest��。③假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接���,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條TCP 連接����,如果計(jì)算這些連接的不同目的地址數(shù)TCP_DdifT_dest (設(shè)備里設(shè)為可調(diào))���,且這些連接的目的端口都相同���,不同源端口數(shù)TCP_Ddiff_sp0rt ;這些值滿足如下等式(n4為閥值���,可調(diào))TCP_Ddiff_dest=n�,η 彡 n4 ���;TCP_Ddiff_sport= TCP_Ddiff_dest���。④假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條TCP連接,且這些連接的源端口不同, 目的地址與目的端口都相同��,將與此目的地址通信的所有TCP連接看作一個(gè)連接�����,劃入② 中進(jìn)行統(tǒng)計(jì)����,查詢,判斷�����;最后將與此目的地址通信的所有連接都?xì)w為P2P流量��。值得一提的是為了提高準(zhǔn)確性���,可在針對(duì)單個(gè)應(yīng)用可以作相應(yīng)的的動(dòng)態(tài)調(diào)節(jié)。UDP流量特征
①假如檢測(cè)點(diǎn)A處于公網(wǎng)上或處于常用的NAT后��,使用與P2P通用流量特征UDP流量特征相同的描述�,滿足如下等式(n5為閥值,可調(diào)):UDP_Pdiff_sport n ����;UDP_Pdiff_ dest=UDP_Pdiff_dport, η 彡 n5 �;UDP_Pdiff_dest=n
②假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接���,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP連接����,如果計(jì)算這些連接的不同目的地址數(shù)UDP_Ddiff_dest (設(shè)備里設(shè)為可調(diào))����,且這些連接的目的端口都相同,不同源端口數(shù)UDP_Ddiff_sp0rt ����;這些值滿足如下等式(π6為閥值,可調(diào))UDP_Ddiff_dest=n η 彡 n6 ���;UDP_Ddiff_sport= UDP_Ddiff_dest ��;或者 UDP_Ddiff_ dest=n η 彡 n6 ;UDP_Ddiff_sport= 1�����。③假如檢測(cè)點(diǎn)A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接����,A和任意一個(gè)節(jié)點(diǎn)之間至多存在一條UDP連接,如果計(jì)算這些連接的不同目的地址數(shù)UDP_Sdiff_dest��,這些連接的源端口將不納入判斷條件�����,不同目的端口數(shù)UDP_Sdiff_dport �;這些值滿足如下等式(n7為閥值, 可調(diào))UDP_Sdiff_dest=n η 彡 n7 (n7 測(cè)試時(shí)設(shè)為 20) �;UDP_Sdiff_dport= UDP_Sdiff_ desto④假如A和互聯(lián)網(wǎng)上η個(gè)節(jié)點(diǎn)存在連接,A和任意一個(gè)節(jié)點(diǎn)之間存在多條UDP連接��,這樣的多條UDP連接的目的端口不相同�����,且這些連接的源端口都相同����,可以將與此目的地址通信的所有UDP連接看作一個(gè)連接��,劃入①中進(jìn)行統(tǒng)計(jì)��,查詢,判斷���;最后將與此目的地址通信的所有連接都?xì)w為Ρ2Ρ流量����;計(jì)算這些連接的不同目的地址數(shù)UDP_PHdiff_dest�, 這個(gè)值滿足如下等式(n8為閥值,可調(diào)):UDP_PHdiff_dest=n, η彡n8�。大量的這樣的檢測(cè)點(diǎn)A和任意一個(gè)節(jié)點(diǎn)之間存在2條UDP連接,其中一條連接僅是A — B]的單方向數(shù)據(jù)傳送���,而沒(méi)有B — A]的應(yīng)答包�,一般可能是檢測(cè)NAT設(shè)備類型的通信特征��。一般情況下�,只要發(fā)現(xiàn)上列的等式成立,就可以認(rèn)為是P2P流量���,考慮到準(zhǔn)確性�, 才將其劃入①中再判斷�����。⑤假如A和任意一個(gè)節(jié)點(diǎn)之間先后存在多條UDP連接,且這些連接的源端口不同��,目的地址與目的端口都相同�����,將與此目的地址通信的所有UDP連接看作一個(gè)連接��,劃入 ③中進(jìn)行統(tǒng)計(jì)����,查詢,判斷�;最后將與此目的地址通信的所有連接都?xì)w為P2P流量;計(jì)算這些連接的不同目的地址數(shù)UDP_SHdiff_dest����,這個(gè)值滿足如下等式(π9為閥值,可調(diào)):UDP_ SHdiff_dest=n η > n9��。一般情況下���,只要發(fā)現(xiàn)上列的等式成立,就可以認(rèn)為是P2P流量�����,考慮到準(zhǔn)確性 (以及PPFILM的特殊情況),才將其劃入③中再判斷���。由于整個(gè)互聯(lián)P2P網(wǎng)絡(luò)的時(shí)間上和空間上都在不停地動(dòng)態(tài)變化著�,各種應(yīng)用或協(xié)議也是在升級(jí)與更新���,各個(gè)P2P應(yīng)用網(wǎng)絡(luò)拓?fù)涞膹?fù)雜度和網(wǎng)絡(luò)節(jié)點(diǎn)的活躍度也在不停改變����,這樣需要不停地測(cè)試���,調(diào)整閾值���,將閥值n2、n3��、n4��、n5�、η6、η7����、η8����、η9設(shè)置為一個(gè)合理的值完全能夠使P2P和非P2P有效區(qū)分�����。由上述說(shuō)明可知�,本發(fā)明應(yīng)用了 P2P通用流量檢測(cè)和P2P特殊流量檢測(cè),使DPI引擎設(shè)備在檢測(cè)互聯(lián)網(wǎng)上P2P應(yīng)用流量或P2P加密流量時(shí)�,避免了 DPI引擎設(shè)備出現(xiàn)嚴(yán)重的誤判、漏判問(wèn)題�,特別是針對(duì)一些主流復(fù)雜應(yīng)用(如迅雷、eMule等等)流量識(shí)別的準(zhǔn)確度有了極大地提高��。為了描述的方便�,描述以上裝置時(shí)以功能分為各種單元分別描述。當(dāng)然�,在實(shí)施本申請(qǐng)時(shí)可以把各單元的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)。通過(guò)以上的實(shí)施方式的描述可知����,本領(lǐng)域的技術(shù)人員可以清楚地了解到本申請(qǐng)可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)。基于這樣的理解����,本申請(qǐng)的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)���,該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中���,如ROM/RAM、磁碟�、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備 (可以是個(gè)人計(jì)算機(jī)����,服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施方式或者實(shí)施方式的某些部分所述的方法�����。以上所描述的裝置實(shí)施方式僅僅是示意性的����,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元��,即可以位于一個(gè)地方����,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�����?���?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本實(shí)施方式方案的目的�����。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下���,即可以理解并實(shí)施����。本申請(qǐng)可用于眾多通用或?qū)S玫挠?jì)算系統(tǒng)環(huán)境或配置中���。例如個(gè)人計(jì)算機(jī)��、服務(wù)器計(jì)算機(jī)����、手持設(shè)備或便攜式設(shè)備、平板型設(shè)備����、多處理器系統(tǒng)��、基于微處理器的系統(tǒng)����、置頂盒、可編程的消費(fèi)電子設(shè)備��、網(wǎng)絡(luò)PC���、小型計(jì)算機(jī)�、大型計(jì)算機(jī)��、包括以上任何系統(tǒng)或設(shè)備的分布式計(jì)算環(huán)境等等�。本申請(qǐng)可以在由計(jì)算機(jī)執(zhí)行的計(jì)算機(jī)可執(zhí)行指令的一般上下文中描述,例如程序模塊��。一般地��,程序模塊包括執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的例程、程序��、對(duì)象���、組件�、數(shù)據(jù)結(jié)構(gòu)等等�����。也可以在分布式計(jì)算環(huán)境中實(shí)踐本申請(qǐng)�,在這些分布式計(jì)算環(huán)境中,由通過(guò)通信網(wǎng)絡(luò)而被連接的遠(yuǎn)程處理設(shè)備來(lái)執(zhí)行任務(wù)���。在分布式計(jì)算環(huán)境中����,程序模塊可以位于包括存儲(chǔ)設(shè)備在內(nèi)的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)中�����。應(yīng)當(dāng)理解���,雖然本說(shuō)明書按照實(shí)施方式加以描述����,但并非每個(gè)實(shí)施方式僅包含一個(gè)獨(dú)立的技術(shù)方案,說(shuō)明書的這種敘述方式僅僅是為清楚起見���,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說(shuō)明書作為一個(gè)整體����,各實(shí)施方式中的技術(shù)方案也可以經(jīng)適當(dāng)組合����,形成本領(lǐng)域技術(shù)人員可以理解的其他實(shí)施方式����。上文所列出的一系列的詳細(xì)說(shuō)明僅僅是針對(duì)本發(fā)明的可行性實(shí)施方式的具體說(shuō)明,它們并非用以限制本發(fā)明的保護(hù)范圍���,凡未脫離本發(fā)明技藝精神所作的等效實(shí)施方式或變更均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)����。
權(quán)利要求
1.一種P2P流量檢測(cè)方法�,其特征在于,所述P2P流量檢測(cè)方法包括以下步驟51����、使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包��;52�、對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析���,按TCP與UDP歸納��;53�、在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系���;54��、根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)用的流量���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述S2步驟前還包括重復(fù)多次所述Sl步驟�����。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,TCP與UDP被統(tǒng)計(jì)的流量特征包括不同源端口數(shù)���、不同目標(biāo)端口數(shù)、不同目標(biāo)地址數(shù)�����。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述S4步驟具體包括根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式進(jìn)行測(cè)試,調(diào)整相關(guān)閾值��; 根據(jù)所述閾值判斷P2P應(yīng)用的流量�����。
5.一種P2P流量檢測(cè)裝置���,其特征在于��,所述P2P流量檢測(cè)裝置包括 抓取單元���,用于使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包����;統(tǒng)計(jì)單元�,用于對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析,按TCP與UDP 歸納�����;觀察單元��,用于在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系�����;計(jì)算單元��,用于根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)用的流量��。
6.根據(jù)權(quán)利要求5所述的裝置�����,其特征在于,所述執(zhí)行所述統(tǒng)計(jì)單元前重復(fù)執(zhí)行多次所述抓取單元���。
7.根據(jù)權(quán)利要求5所述的裝置����,其特征在于��,TCP與UDP被統(tǒng)計(jì)的流量特征包括不同源端口數(shù)�����、不同目標(biāo)端口數(shù)�����、不同目標(biāo)地址數(shù)�����。
8.根據(jù)權(quán)利要求5所述的裝置�,其特征在于�,所述計(jì)算單元還用于根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式進(jìn)行測(cè)試���,調(diào)整相關(guān)閾值; 根據(jù)所述閾值判斷P2P應(yīng)用的流量����。
全文摘要
本發(fā)明提供了一種P2P流量檢測(cè)方法及裝置,其中��,所述方法包括S1����、使用嗅探工具抓取互聯(lián)網(wǎng)上的P2P應(yīng)用的檢測(cè)點(diǎn)數(shù)據(jù)流通信過(guò)程指定時(shí)間的會(huì)話數(shù)據(jù)包;S2�、對(duì)抓取到的所有會(huì)話數(shù)據(jù)包的流量特征數(shù)據(jù)做統(tǒng)計(jì)分析,按TCP與UDP歸納�;S3、在檢測(cè)點(diǎn)觀察P2P對(duì)等點(diǎn)的連接關(guān)系�����;S4���、根據(jù)所述連接關(guān)系以及對(duì)應(yīng)的TCP和/或UDP的統(tǒng)計(jì)等式計(jì)算P2P應(yīng)用的流量�����。本發(fā)明可提高對(duì)特殊P2P流量檢測(cè)的準(zhǔn)確度�,避免了引擎設(shè)備所出現(xiàn)嚴(yán)重的誤判、漏判問(wèn)題����,是主要針對(duì)一些主流復(fù)雜應(yīng)用的流量特征而定制的優(yōu)化途徑。
文檔編號(hào)H04L29/08GK102333012SQ20111031433
公開日2012年1月25日 申請(qǐng)日期2011年10月17日 優(yōu)先權(quán)日2011年10月17日
發(fā)明者張?jiān)? 張慶, 胡斌 申請(qǐng)人:蘇州邁科網(wǎng)絡(luò)安全技術(shù)股份有限公司