[发明专利]P2P流量的识别方法和设备

权利要求书

1.一种点对点P2P流量的识别方法，其特征在于，包括以下步骤：

根据当前的流量数据，判断当前主机中是否存在P2P应用的UDP监听端口；

如果判断结果为存在，则收集并统计所述UDP监听端口上的数据包，并将所述数据包所对应的行为特征转换成为特征向量，具体包括：

确定一个取样时间区间，并确定多个连续的数据包长度区间，其中，所述多个连续的数据包长度区间所对应的数据包长度数值范围包含所述UDP监听端口在所述取样时间区间内所有可能传输的数据包的长度数值；

分别统计在所述取样时间区间内，所述UDP监听端口上所传输的长度数值归属于各数据包长度区间的数据包的数量，以及在所述取样时间区间内所述UDP监听端口上所传输的全部数据包的数量；

确定在所述取样时间区间内，所述UDP监听端口上所传输的数据包的最大长度，以及所传输的数据包的最小长度；

根据所述数据包的最大长度、所述数据包的最小长度，以及长度数值归属于各数据包长度区间的数据包的数量与所述全部数据包的数量的比值，确定所述UDP监听端口上的数据包所对应的特征向量；

根据所述特征向量，确定当前所述主机正在运行的，对应于所述UDP监听端口的P2P应用的类型；

根据所述P2P应用的类型，对相应的P2P流量进行识别。

2.如权利要求1所述的方法，其特征在于，所述根据当前的流量数据，判断当前主机中是否存在P2P应用的UDP监听端口，具体包括：

收集所述主机的网卡的流量数据，并根据所述流量数据，判断是否存在满足以下条件的端口：

存在一个端口被同一个应用程序所占用的时间长度超过预设阈值，且所述应用程序使用所述端口与多个不同IP地址的节点进行通信；

如果判断结果为存在，则确定所述端口为当前主机中存在的P2P应用的UDP监听端口，如果判断结果为不存在，则确定当前主机中不存在P2P应用的UDP监听端口。

3.如权利要求1所述的方法，其特征在于，所述收集并统计所述UDP监听端口上的数据包，并将所述数据包所对应的行为特征转换成为特征向量，具体包括：

确定30秒为一个取样时间区间；

在所述UDP监听端口上的数据包的长度区间为1-1499字节的应用场景中，通过统计所述UDP监听端口在所述30秒内的数据包传输情况，确定以下信息：

所述UDP监听端口在所述30秒内所传输的数据包的总数量为N_total；

所述UDP监听端口在所述30秒内所传输的数据包的长度范围在1-99字节的数据包的数量为N₁，数据包的长度范围在100-199字节的数据包的数量为N₂，依次类推，数据包的长度范围在1400-1499字节的数据包的数量为N₁₅；

其中，N_total＝N₁+N₂+……+N₁₅；

确定所述UDP监听端口在所述30秒内所传输的数据包的最大长度为L_max，所传输的数据包的最小长度为L_min；

确定所述UDP监听端口在所述30秒内的特征向量为：(L_max，L_min，N₁/N_total，N₂/N_total，……，N₁₅/N_total)。

4.如权利要求1所述的方法，其特征在于，所述根据所述P2P应用的类型，对相应的P2P流量进行识别，具体包括：

如果确定的所述P2P应用的类型为只使用UDP协议传输数据的应用，则直接根据所述UDP监听端口的流量识别所述P2P的流量；

如果确定的所述P2P应用的类型为同时使用UDP协议和TCP协议传输数据的应用，则在根据所述UDP监听端口的流量识别所述P2P的UDP协议的流量的同时，根据所述P2P应用的TCP端口的状态点阵图描述的规律识别所述P2P应用的TCP协议的流量。