規(guī)避p2p流量識(shí)別的通信方法
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及對(duì)等網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,具體涉及一種規(guī)避p2p流量識(shí)別的通信方法�����。
【背景技術(shù)】
[0002]p2p(Peer to Peer�,對(duì)等網(wǎng)絡(luò),簡(jiǎn)稱p2p)技術(shù)出現(xiàn)后��,網(wǎng)絡(luò)網(wǎng)格計(jì)算模式從集中向分布式轉(zhuǎn)移���,網(wǎng)絡(luò)應(yīng)用的核心從中央服務(wù)器向邊緣設(shè)備擴(kuò)散����。由于當(dāng)前網(wǎng)絡(luò)的p2p流量的增大,運(yùn)營(yíng)商�、企業(yè)用戶及教育等行業(yè)的用戶都對(duì)這類流量進(jìn)行限制要求,同時(shí)通過(guò)防火墻����、網(wǎng)管設(shè)備對(duì)p2p流量進(jìn)行設(shè)別、管理和控制�。
[0003]目前識(shí)別p2p流量主要設(shè)備有防火墻、路由器���、應(yīng)用型網(wǎng)關(guān)和旁路統(tǒng)計(jì)系統(tǒng)等��。識(shí)別的主要手段有以下幾種:
[0004]1�、端口識(shí)別法
[0005]在以太網(wǎng)的通訊中��,使用ip地址和應(yīng)用端口進(jìn)行通訊�����,服務(wù)器的應(yīng)用程序端口通常是固定的�,因此應(yīng)用程序的目的端口可能被作為識(shí)別的對(duì)象。
[0006]2、數(shù)據(jù)包特征識(shí)別法
[0007]由于沒(méi)有太大的內(nèi)存空間��,防火墻通常不會(huì)緩存太多的p2p流量�����,防火墻對(duì)p2p協(xié)議的特征識(shí)別通常發(fā)生在掃描數(shù)據(jù)包的前128字節(jié)和尾部64字節(jié)��。
[0008]3�、p2p行為識(shí)別分析法
[0009]行為識(shí)別通過(guò)分析各種應(yīng)用的連接數(shù)����、上下行流量比例關(guān)系,數(shù)據(jù)包發(fā)送頻率等指標(biāo)對(duì)應(yīng)用的進(jìn)行區(qū)分���。以識(shí)別BT協(xié)議為例�����,識(shí)別BT協(xié)議通常采用以下幾種方式��,只要匹配其中一種即認(rèn)為是BT協(xié)議:
[0010]前12個(gè)包中��,第1��、4�����、7�、9包是上行包,其他為下行包��;
[0011]前12個(gè)包中����,至少有3個(gè)包的包長(zhǎng)分別是1200、455����、200字節(jié);
[0012]前12個(gè)包中���,上行負(fù)載的總長(zhǎng)度是8800字節(jié)��;
[0013]前12個(gè)包中�,上行流量和下行流量比率是3;
[0014]前12個(gè)包中�,至少有2個(gè)上行包、4個(gè)下行包����。
[0015]由此可見(jiàn)�����,識(shí)別方法通常是對(duì)包的方向、包的長(zhǎng)度���、包的數(shù)量進(jìn)行統(tǒng)計(jì)以進(jìn)行識(shí)別����。
[0016]4�、p2p流量識(shí)別模型
[0017]前端設(shè)置防火墻等限流設(shè)備、后臺(tái)自動(dòng)采集并分析����,然后將五元組(源IP、源端口���、目的IP����、目的端口���、TCP/UDP)返回給前端進(jìn)行限流�。
[0018]現(xiàn)有技術(shù)中,為了規(guī)避上述p2p流量識(shí)別��,通常采用VPN通信方法或SSL加密通信方法��。一方面���,VPN和SSL兩種通信方法均需要額外建立通道����,需要單獨(dú)設(shè)置模塊進(jìn)行部署����。另一方面,VPN和SSL兩種通信方法在規(guī)避識(shí)別的手段上只是針對(duì)數(shù)據(jù)內(nèi)容進(jìn)行了偽裝�,沒(méi)有從各個(gè)方面進(jìn)行針對(duì)性的規(guī)避,例如��,VPN和SSL兩種通信方法各具有一些易被識(shí)別或被誤識(shí)別為其它被攔截的通信協(xié)議的特征����,導(dǎo)致因被識(shí)別或被誤識(shí)別而被阻隔。
【發(fā)明內(nèi)容】
[0019]鑒于現(xiàn)有技術(shù)中的上述缺陷或不足���,期望提供一種無(wú)需單獨(dú)設(shè)置模塊以建立額外的通信通道����,且規(guī)避識(shí)別手段較全面的規(guī)避p2p流量識(shí)別的通信方法。
[0020]本發(fā)明提供一種規(guī)避p2p流量識(shí)別的通信方法�,所述方法包括:
[0021 ] S20:將待發(fā)送的信息串行化;
[0022]S40:將串行化的信息拆分為長(zhǎng)度隨機(jī)的多個(gè)數(shù)據(jù)包�;
[0023]S60:在各所述數(shù)據(jù)包的頭部和/或尾部添加預(yù)設(shè)長(zhǎng)度的隨機(jī)數(shù)據(jù);
[0024]S80:通過(guò)動(dòng)態(tài)網(wǎng)絡(luò)端口按隨機(jī)順序發(fā)送所述多個(gè)數(shù)據(jù)包��。
[0025]本發(fā)明諸多實(shí)施例提供的規(guī)避p2p流量識(shí)別的通信方法綜合了將信息串行化為二進(jìn)制�����、數(shù)據(jù)分片����、數(shù)據(jù)包長(zhǎng)度隨機(jī)�����、在重點(diǎn)識(shí)別區(qū)域填充隨機(jī)數(shù)據(jù)�、亂序發(fā)送數(shù)據(jù)包、通過(guò)動(dòng)態(tài)端口發(fā)送數(shù)據(jù)包等手段���,有效地實(shí)現(xiàn)了避免被現(xiàn)有的p2p流量識(shí)別手段所識(shí)別并限速或攔截�,并且無(wú)需單獨(dú)設(shè)置模塊以建立額外的通信通道;
[0026]本發(fā)明一些實(shí)施例提供的規(guī)避p2p流量識(shí)別的通信方法還通過(guò)綜合對(duì)數(shù)據(jù)包加密���、加入隨機(jī)的擾亂數(shù)據(jù)包等手段進(jìn)一步減小被識(shí)別的幾率����;
[0027]本發(fā)明一些實(shí)施例提供的規(guī)避p2p流量識(shí)別的通信方法還通過(guò)將指令和數(shù)據(jù)分為雙通道通信進(jìn)一步減小被識(shí)別的幾率���。
【附圖說(shuō)明】
[0028]通過(guò)閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述��,本申請(qǐng)的其它特征�、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0029]圖1為本發(fā)明一實(shí)施例提供的規(guī)避p2p流量識(shí)別的通信方法的流程圖���。
[0030]圖2為圖1所示規(guī)避p2p流量識(shí)別的通信方法中步驟S80的流程圖�����。
[0031]圖3為圖1所示規(guī)避p2p流量識(shí)別的通信方法中步驟S60的流程圖���。
[0032]圖4為圖1所示規(guī)避p2p流量識(shí)別的通信方法中步驟S60—種優(yōu)選實(shí)施方式的流程圖。
[0033]圖5為圖1所示規(guī)避p2p流量識(shí)別的通信方法的一種優(yōu)選實(shí)施方式的流程圖���。
[0034]圖6為圖1所示規(guī)避p2p流量識(shí)別的通信方法的另一種優(yōu)選實(shí)施方式的流程圖�。
[0035]圖7為圖6所示優(yōu)選實(shí)施方式的順序圖。
【具體實(shí)施方式】
[0036]下面結(jié)合附圖和實(shí)施例對(duì)本申請(qǐng)作進(jìn)一步的詳細(xì)說(shuō)明�����??梢岳斫獾氖牵颂幩枋龅木唧w實(shí)施例僅僅用于解釋相關(guān)發(fā)明����,而非對(duì)該發(fā)明的限定。另外還需要說(shuō)明的是����,為了便于描述�,附圖中僅示出了與發(fā)明相關(guān)的部分。
[0037]需要說(shuō)明的是��,在不沖突的情況下�,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本申請(qǐng)��。
[0038]圖1為本發(fā)明一實(shí)施例提供的規(guī)避p2p流量識(shí)別的通信方法的流程圖��。
[0039]如圖1所示,在本實(shí)施例中�����,本發(fā)明提供的規(guī)避p2p流量識(shí)別的通信方法包括:
[0040]S20:將待發(fā)送的信息串行化���;
[0041]S40:將串行化的信息拆分為長(zhǎng)度隨機(jī)的多個(gè)數(shù)據(jù)包����;
[0042]S60:在各所述數(shù)據(jù)包的頭部和/或尾部添加預(yù)設(shè)長(zhǎng)度的隨機(jī)數(shù)據(jù)����;
[0043]S80:通過(guò)動(dòng)態(tài)網(wǎng)絡(luò)端口按隨機(jī)順序發(fā)送所述多個(gè)數(shù)據(jù)包。
[0044]具體地�,將待發(fā)送的信息串行化為二進(jìn)制代碼,增大了對(duì)數(shù)據(jù)包內(nèi)容識(shí)別的難度�;
[0045]將串行化的數(shù)據(jù)以隨機(jī)的長(zhǎng)度分片,使得分片的數(shù)據(jù)包長(zhǎng)度不具有規(guī)律�,降低了對(duì)p2p流量的行為識(shí)別分析的可行性;
[0046]在數(shù)據(jù)包的頭部和/或尾部添加預(yù)設(shè)長(zhǎng)度的隨機(jī)數(shù)據(jù)����,降低了對(duì)數(shù)據(jù)包特征進(jìn)行識(shí)別的可行性;
[0047]按隨機(jī)順序發(fā)送數(shù)據(jù)包同樣降低了對(duì)p2p流量的行為識(shí)別分析的可行性��;
[0048]通過(guò)動(dòng)態(tài)網(wǎng)絡(luò)端口發(fā)送數(shù)據(jù)包,使得網(wǎng)絡(luò)端口變得不可預(yù)測(cè)��,無(wú)法再通過(guò)檢測(cè)固定的端口對(duì)p2p流量進(jìn)行識(shí)別���。
[0049]上述實(shí)施例綜合了將信息串行化為二進(jìn)制��、數(shù)據(jù)分片��、數(shù)據(jù)包長(zhǎng)度隨機(jī)����、在重點(diǎn)識(shí)別區(qū)域填充隨機(jī)數(shù)據(jù)�、亂序發(fā)送數(shù)據(jù)包、通過(guò)動(dòng)態(tài)端口發(fā)送數(shù)據(jù)包等手段�,有效地實(shí)現(xiàn)了避免被現(xiàn)有的p2p流量識(shí)別手段所識(shí)別并限速或攔截,并且無(wú)需單獨(dú)設(shè)置模塊以建立額外的通信通道��。
[0050]圖2為圖1所示規(guī)避p2p流量識(shí)別的通信方法中步驟S80的流程圖��。
[0051]如圖2所示�����,在一優(yōu)選實(shí)施例中����,步驟S80具體包括:
[0052]S81:根據(jù)預(yù)指定的參數(shù)定期重新設(shè)定網(wǎng)絡(luò)端口 ;
[0053]S83:通過(guò)當(dāng)前設(shè)定的網(wǎng)絡(luò)端口按隨機(jī)順序發(fā)送所述多個(gè)數(shù)據(jù)包��。
[0054]在一優(yōu)選實(shí)施例中���,所述預(yù)指定的參數(shù)為系統(tǒng)時(shí)間�。
[0055]