[发明专利]一种基于信任的DPI抽样P2P流量检测系统

说明书

技术领域

本发明属于P2P流量检测系统，特别是一种基于信任的DPI抽样P2P流量检测系统。

背景技术

随着高速信息化时代的到来，P2P对等网络技术得到迅速发展，占到了Internet流量的70%，成为重量级的互联网应用。它在给广大网民带来便利的同时，也因其自身的特点导致长时间占据大量的带宽，吞噬着有限的网络资源。在很大程度上导致网络拥塞，加重了网络负担，导致用户应用性能下降。

因此，如何高效合理的控制网络中的P2P流量显得尤为重要，而对P2P网络数据的识别检测是控制的先决条件。目前，针对P2P流量识别的检测手段主要有端口特征识别、连接模式识别、流量特征识别、深度报文检测（DPI）等。端口特征识别由于新一代的P2P应用软件使用随机端口号，所以不能再准确识别；连接模式识别由于不涉及具体数据，因此无法区分应用类型，流量特征识别对内存空间和处理速度要求较高，深度报文检测需要完整的报文才能分析，因此要求极高的速度分析、检测以及重新组装应用流，因此它们都有各自固有的缺陷。

发明内容

1、本发明的目的。

本发明的目的在于设计一种基于信任的DPI抽样P2P流量检测系统，从准确性和速率两方面提高P2P流量检测的效率。

2、本发明所采用的技术方案。

基于信任的DPI抽样P2P流量检测系统包括抽样采集器和DPI分析器；抽样采集器由抓包模块、抽样策略选择模块、抽样率生成模块、抽样模块和一个抽样策略集组成；抓包模块将监视网卡设置为混杂模式监听流经整个网络的数据包，根据截获的数据包使用的协议进行过滤并上传至抽样模块；抽样策略选择模块拥有人机交互界面，使用者自定义所使用的抽样策略，并在系统初始化期间，从抽样策略集中装载用户指定的抽样策略；抽样率生成模块使用抽样策略选择模块提交的固定格式数据，经过内部固化的公式计算，生成最终的抽样率；抽样模块:是抽样行为的实施者，根据抽样率对数据流进行抽样，生成的抽样后的数据流将由DPI分析器进行辨识；抽样策略集包括时间分片、固定分片和速率分片三种基于分片的抽样策略以及等距方式和随机方式两种抽样模式；引入信任机制，对IP设置信任度，以信任度作为抽样系数。

3、本发明的有益效果。

本发明与现有技术相比，其显著优点：在较低的抽样开销基础上减轻了DPI识别系统的性能开销与系统负担，同时保持了较高的P2P数据流的识别率。 

下面结合附图对本发明作进一步详细描述。

附图说明

图1是抽样策略模型图。

图2是基于IP流信任抽样策略的深度扫描模型图。

图3是系统执行流程图。

具体实施方式

实施例1

结合图1，抽样采集器共有四个模块和一个抽样策略集。抓包模块:该模块将监视网卡设置为混杂模式，以监听流经整个网络的数据包。对于所截获的数据包，根据数据包使用的协议进行过滤。由于P2P应用软件多为资源传输型软件，所建立的连接为TCP或UDP连接，因此该模块只需要截取TCP/IP协议下的TCP和UDP协议数据包，形成TCP用DP协议数据流，并上传至抽样模块。抽样策略选择模块:该模块可以拥有人机交互界面，允许使用者自定义所使用的抽样策略，并在系统初始化期间，从抽样策略集中装载用户指定的抽样策略。抽样率生成模块:该模块使用抽样策略选择模块提交的固定格式数据，经过内部固化的公式计算，生成最终的抽样率。抽样模块:该模块是抽样行为的实施者，根据抽样率对TCP/UDP协议数据流进行抽样，生成的抽样后的数据流将由DPI分析器进行辨识。抽样策略集:该集合包括时间分片、固定分片和速率分片三种基于分片的抽样策略以及等距方式和随机方式两种抽样模式，由分片策略与抽样方式的组合，最终的抽样策略可达六种之多。

结合图2，流信任策略和流量抽样策略共同决定最终的抽样值，并控制抽样采集器对报文进行采集，之后会由传统的特征码提取模块、特征码匹配模块进行分析和识别。一旦发现P2P流，该系统便自动启动对应控制机制，对指定IP进行制裁。

结合图3，一种基于信任的DPI抽样P2P流量检测系统具体步骤如下：