[发明专利]识别对等网络应用流量的方法及其系统

说明书

技术领域

本发明涉及计算机网络流量管理技术领域，尤其涉及一种在计算机网络 流量中识别对等网络应用流量的方法和系统。

背景技术

近年来，计算机网络中的各种对等网络(Peer-to-Peer，P2P)应用越来越 丰富，出现了许多全新的P2P协议和应用。这些P2P应用占用了大量的网络带宽， 降低了Web、Email等传统Internet应用的服务质量，同时P2P应用所传播的内容 还涉及著作权、病毒和淫秽内容等问题。因此，为了有效利用网络资源，保护 知识产权，抑制病毒和淫秽内容的传播，必须对P2P应用的流量进行有效的管理， 首先必须能够实现对P2P流量的高效、准确的检测。

P2P流量的检测方法可以分为三类：端口映射(Port Mapping)、深度数据 包检测(Deep Packet Inspection，DPI)、流量特征检测(Transport Layer Identification，TLI)。

端口映射方法，是根据各种P2P应用所使用的运输层端口号(Port)，来检 测P2P流量的。但现有P2P应用为了躲避检测，开始使用动态端口，甚至使用传 统Internet应用的端口，如HTTP的80端口，因此该方法已不能准确检测P2P流量。

深度数据包检测方法，通过检测应用层载荷(payload)，提取出各种P2P 应用的特征串，从而检测P2P应用。该方法的准确性高、易于实现，是目前运用 最普遍的方法。如中国发明专利“一种流量监控的方法、设备和系统” (CN101350781A)，利用一个DPI设备对应用层数据报文进行识别。但是该方法 只能针对以明文方式传输数据的P2P应用进行检测，目前P2P应用大多开始采用 加密方式传输数据，因此该方法也将逐步失效。

流量特征检测方法，通过对网络流量中所有数据包的进行统计分析，如数 据包大小、间隔时间、连接数量等，利用机器学习、数据挖掘等方法，发现P2P 应用的流量特征，以此来检测P2P应用的流量，该方法能够检测未知和加密的 P2P流量。如中国发明专利“基于支持向量机的混合式点对点流量检测方法” (CN101510873)和“基于支持向量机的对等网络流量检测方法” (CN101345704)，将支持向量机技术应用到P2P流量检测中。由于这类方法需 要在对大量数据包进行统计分析后，才能做出判断，因此需要处理的数据量较 大，机器学习的实现复杂，因此不能做到高效、实时的检测。而且这类方法的 检测依据是P2P应用的流量特征，这是一个统计量，无法准确区分各种具体的 P2P应用流量。

发明内容

本发明的目的是针对现有技术存在的不足，提供一种能够实时、高效、准 确地对以明文和密文方式传输的对等网络流量进行检测的方法和系统。

为达到上述目的，本发明所采用的技术方案是提供一种识别对等网络应用流 量的方法，其特征在于包括如下步骤：

(1)试探设备从网络上获取全部的数据包，对数据包进行过滤，滤除无关 的以及可识别的非对等网络的数据包；所述的无关数据包包括传输层以下层次 的数据包，以及步骤(4)中待检处理模块发送的探测数据包和被探测目标回复 的响应数据包；其余数据包送入数据识别模块；

(2)在数据识别模块中，按已知的P2P应用的协议特征码，对数据包进行 串匹配检测，将检测到的包含P2P协议特征码的数据包添加明文标识，送入P2P 处理模块执行步骤(3)；将检测到的未能识别协议特征码的数据包，添加密文 标识，送入P2P处理模块执行步骤(4)；

(3)P2P处理模块通过明文标识将确定以明文方式传输的P2P流量存储于明 文P2P流量存储模块中，累计得到识别到的明文对等网络应用流量；

(4)数据识别模块提取该数据包的<源IP，目的IP，源端口，目的端口，应 用层载荷字节数，密文标识>六元组信息，按其中的五元组<源IP，目的IP，源 端口，目的端口，密文标识>为检索项，查找密文P2P流量存储模块；若存在该 数据包的对应存储记录，则将该数据包五元组中<应用层载荷字节数>，累加到 密文P2P流量存储模块中对应存储记录的<累计传输字节数>字段，进行密文P2P 应用流量统计；否则，执行步骤(5)；

(5)按不同的P2P应用所约定的信息，构造主动探测明文数据包，经试探 设备的网络接口向被探测目标发送主动探测明文数据包；