[发明专利]P2P流量的识别方法和设备

说明书

本发明实施例公开了一种P2P流量的识别方法和设备，通过应用本发明实施例的技术方案，在当前主机中存在P2P应用的UDP监听端口的情况下，根据所述UDP监听端口上的数据包的特征向量，确定当前所述主机正在运行的，对应于所述UDP监听端口的P2P应用的类型，并对相应的P2P流量进行识别，从而，将对P2P应用行为特征的分析转移到对其相对固定的UDP监听端口的研究上，利用UDP监听端口在某些行为特征上对不同的P2P应用确实具有可区分性，实现了自动化的P2P应用类型以及相应流量的识别。

技术领域

本发明涉及通信技术领域，特别涉及一种P2P流量的识别方法和设备。

背景技术

随着计算机网络规模的扩展和业务种类的不断增长，P2P(Peer-to-Peer,点对点)网络作为一种全新的互联网技术得到了飞速发展。

基于P2P机制的应用在下载数据的同时会上传数据，对于目前上行带宽小于下行带宽的大部分网络会造成网络瓶颈。加强对P2P应用流量的监控，适当控制网络中P2P流量规模的需求也日益增长，因此P2P流量的有效识别就显得尤为重要。

目前国内外学者对于P2P流量和非P2P流量的识别已经研究的比较深入，主要包括以下几种情况：

(1)利用TCP(Transmission Control Protocol，传输控制协议)流的统计特征用贝叶斯方法进行分类；

(2)根据节点主机作为源主机或目的主机时TCP流和UDP(User DatagramProtocol，用户数据包协议)流表现的行为差异所提出的启发式的判别规则；

(3)将主机行为分为社会层、功能层和应用层，利用主机的行为模式识别P2P流量；

(4)提出TDG(Traffic Dispersion Graphs，流量传播图)的概念，将节点之间的通信转换为有向图，并量化有向图中的一些特征(如出度，入度)，利用这些特征识别有向图中节点间的通信协议。

虽然上述方法都能够较好的区分网络中的P2P流量和非P2P流量，但是对于细粒度P2P流量的识别，也就是对具体的P2P应用或协议识别的研究还比较少。

现有的技术方案中提出了几个适用于P2P识别的统计特征，并用互信息和海灵格距离(Hellinger Distance)进行了量化和排序，但从实验结果可以看出分类的效果不是很理想。

在另一种技术方案中，定义了Sherlock框架，从几个层次描述了P2P应用的共性和特性，Sherlock框架提出的描述方式能够适用于不同的P2P应用，但是没有进一步说明

如何将其应用于识别。

还有一种技术方案，利用运行P2P应用的主机要和多个节点通信的特点，根据主机与节点交换的数据报个数对节点进行划分，通过节点数量分布识别P2P应用，但是该方法仅考虑了视频类P2P应用，缺少对下载类应用的分析。

在实现本发明的过程中，发明人发现现有技术中至少存在以下问题：由于P2P应用模型的多样性，对于某一P2P应用的网络流量，如果综合分析观察它的节点通信状态、节点交互方式、传输层协议使用情况和TCP端口状态等节点主机的网络行为，确实能够人工地识别出网络流量是由哪一种P2P应用产生的，但是这些对P2P应用网络行为的描述方式并不适合于机器学习，不能充分地利用计算机的运算和处理能力进行自动化的P2P应用识别。

发明内容

本发明实施例提供一种P2P流量的识别方法和设备，解决现有的技术方案中的缺少自动化的P2P应用类型及相应流量的识别方式的问题。

为达到上述目的，本发明实施例一方面提供了一种P2P流量的识别方法，至少包括以下步骤：

根据当前的流量数据，判断当前主机中是否存在P2P应用的UDP监听端口；