[发明专利]一种基于信任的DPI抽样P2P流量检测系统

权利要求书

1.一种基于信任的DPI抽样P2P流量检测系统，其特征在于：包括抽样采集器和DPI分析器；抽样采集器由抓包模块、抽样策略选择模块、抽样率生成模块、抽样模块和一个抽样策略集组成；抓包模块将监视网卡设置为混杂模式监听流经整个网络的数据包，根据截获的数据包使用的协议进行过滤并上传至抽样模块；抽样策略选择模块拥有人机交互界面，使用者自定义所使用的抽样策略，并在系统初始化期间，从抽样策略集中装载用户指定的抽样策略；抽样率生成模块使用抽样策略选择模块提交的固定格式数据，经过内部固化的公式计算，生成最终的抽样率；抽样模块:是抽样行为的实施者，根据抽样率对数据流进行抽样，生成的抽样后的数据流将由DPI分析器进行辨识；抽样策略集包括时间分片、固定分片和速率分片三种基于分片的抽样策略以及等距方式和随机方式两种抽样模式；引入信任机制，对IP设置信任度，以信任度作为抽样系数。

2.根据权利要求1所述的基于信任的DPI抽样P2P流量检测系统，其特征在于：所述的抓包模块截取TCP/IP协议下的TCP和UDP协议数据包，形成TCP用DP协议数据流，并上传至抽样模块。

3.根据权利要求1所述的基于信任的DPI抽样P2P流量检测系统，其特征在于：抽样策略集的三种分片抽样策略和两种抽样方式组成抽样策略集，包括固定机械抽样，固定随机抽样，时间机械抽样，时间随机抽样，速度机械抽样，速度随机抽样。

4.根据权利要求3所述的基于信任的DPI抽样P2P流量检测系统，其特征在于：所述的以该信任度作为抽样系数，具体步骤如下：

第一步，制作具有IP地址，信任值，基准抽样率，抽样率上限闽值，抽样率下限

闽值，信任度周期六个字段的信任策略表，设置基准抽样率C₀、抽样率上限闽值Cs、抽样率下限闽值Cx、信任度周期T分钟，将信任值赋值为R，基准抽样率，抽样率上、下限闽值均为大于0小于1的实数；

第二步，将网络流量扫描中新发现的IP地址存储在信任策略表的IP地址字段，把该IP地址的信任值R赋值为0，信任度周期赋值为T，并开始信任度周期计时；

第三步，信任策略表中各个IP地址的抽样率C按下式计算：

当C₀(1-R/N)<C_x时，C=C_x

当C₀(1-R/N)>C_x时，C=C_s

其他，C=C₀(1-R/N)；其中:R为信任策略表中该IP地址的信任值，C₀为信任策略表中的基准

抽样率，N为大于等于2的正整数，该值决定R最大有效取值范围，当R的绝对值大于N，其计算出的C将被Cx或Cs取代，使得信任度不再影响C的取值，即，N越大，对每一次检测到的对等网络流量记录的IP地址惩罚力度越小，N越小，则对每一次检测到的对等网络流量记录的IP地址惩罚力度越大；

第四步，按照步骤3所确定的抽样率C抽取各IP地址的报文信息样本；

第五步，对抽取到的报文信息样本采用深度报文检测，如果检测到对等网络流量记录，则将信任策略表中该IP地址的信任值减去1；

第六步，一个IP地址的信任度周期期满，自动转入下一个信任度周期，如果该IP地址在信任度周期内没有对等网络流量记录，则将其下一个信任度周期的信任值加上1，否者信任值不变；

第七步，当某个IP地址的抽样率大于两倍的基准抽样率，即(1-R/N)>2时，可以给于该IP地址警告或者限制其网络流量的处罚;当某个IP地址的抽样率达到抽样率上限闽值，可以给于该IP地址严重警告或者严格限制其网络流量的处罚。

5.根据权利要求4所述的基于信任的DPI抽样P2P流量检测系统，其特征在于：信任度周期为30分钟至60分钟。

6.根据权利要求1所述的基于信任的DPI抽样P2P流量检测系统，其特征在于：抽样策略表拥有三个字段:时间特征，峰值特征，抽样基值；时间特征存储该抽样基值作用时间范围，当且仅当当前时间处于该范围时，该抽样基值才被采纳；峰值特征存储该抽样基值作用的峰值条件范围，当且仅当当前流量满足该峰值条件时，该抽样基值才被采纳；抽样基值存储抽样的基础数值，该数值作为最终抽样值的基础参数；

最终抽样值计算公式如下：

当信任度为零时，最终抽样值C_t=抽样值C

当信任度为负值时，最终抽样值C_t=抽样值C*信任度绝对值|I|

当信任度为正值时，最终抽样值C_t=抽样值C/信任度绝对值|I|

最终抽样值和抽样值均为分数形式，分子表示抽取个数，分母表示报文总数，最终得到多少个报文中需随机提取多少个报文进行检测。