[发明专利]一种基于自主学习的对等网络流量识别方法

说明书

技术领域

本发明是一种在应用于互联网流量管理的P2P流量识别方法，在保证效率的前提下，提高了识别准确性，属于P2P网络技术领域。

 

背景技术

近年来P2P技术的快速发展给用户带来了丰富和便捷的网络共享资源，在现在Internet中，P2P网络流量已经占有现有互联网网络带宽的80%以上，如P2P网络共享系统（BT、EMULE、EDonkey、ARES等）、P2P语音通信软件（如SKYPE、MSN、QQ、Gtalk等）、P2P视频点播系统（PPLIVE、PPSTREAM等）和CDN系统等，并且P2P网络的开放性引发了带宽、安全等方面的问题。如何对P2P流量进行识别和进一步的管理和控制，并将其进行有效合理的应用成为亟待解决的问题。

本发明结合P2P网络首先分析目前典型P2P流量检测技术的优缺点，在此基础上，提出了一种基于DPI和DFI的P2P流量识别方法，通过有效结合DPI识别精度高及DFI能识别未知和加密流量的优点，可同时对网络流量进行三层过滤，减少了后续DPI检测和DFI检测的工作负载。

目前P2P协议识别技术主要分为三大类：基于端口的识别技术，其主要针对特定应用；基于协议的深层数据包进行识别，主要针对通信协议中的特殊报文；基于流量的特殊性，即针对流量特征进行识别；上述三类识别技术各有优势。

与本发明相关的现有技术分析

针对P2P流量的识别方法常见的主要有三种，下面分别介绍：

1）基于端口的识别技术，针对特定应用，基于通信端口的分析方法，简单的说就是通过检查网络中通信节点之间的交互协议的端口号，如TCP的端口号，从而实现对特定P2P应用的识别。这种分析方法优势在于协议分析的直接性、有效性、快速性，但随着P2P网络中开始应用可变端口号，甚至是动态端口号（动态端口的范围从1024到65535，这些端口号一般不会固定地分配给某个服务，大部分的应用服务都可以使用这类端口。一旦运行当中的程序向该程序所在系统提出访问网络的申请，那么该系统就会从这些端口号中分配一个空闲端口供该程序使用；如1024端口就是分配给第一个向系统发出申请的程序，在关闭程序进程后，就会释放所占用的端口号），其导致直接基于端口号进行P2P协议识别的P2P流量识别方案的失败；

2）基于协议的深层数据包进行识别，针对通信协议中的特殊报文，深层数据包检测技术DPI，该技术是一种基于应用层的流量检测和控制技术，该技术需要对IP数据包的载荷（payload）进行组合、分析以确定该数据包的应用类型。当IP数据包、TCP或UDP数据流通过基于DPI技术的协议识别或者网络带宽管理系统时，系统首先深入读取IP包载荷的内容，然后对应用层信息进行重组，从而还原出整个应用程序的内容，再对照识别库进行协议比对，并进行相应的处理操作。基于深度数据包解析的P2P协议识别技术可以精确地定位每一类已经识别的协议，这是DPI识别的最大优势，同时还可以实时解析该协议的运行流程，但基于DPI的识别技术需要存储一个已识别的协议特征库，用于特征比对，因此无法用于识别未知协议；

3）基于流量的特殊性，即基于流量特征的协议识别技术DFI，其通过获取网络数据包中各种不同类型流量所表现出来的不同的流量属性特征，从而根据这些特征以确定各种流量的应用类别的一种协议分析方法，但基于DFI技术的P2P协议识别对协议的分类则相对较弱，对某些比较相似的P2P协议，很难做到有效区分，因此单纯的DFI技术更适合于对P2P整体数据流的识别，而不适合于对某个P2P协议的精确识别。

以上DPI和DFI两种方法各有优缺点，表1对两种方法进行了比较。

 

表1  DPI技术和DFI技术特性对比