[发明专利]识别对等网络应用流量的方法及其系统

摘要

本发明公开了一种识别对等网络应用流量的方法和系统。试探装置获取全部的数据包，经初级过滤后进行已知P2P应用的明文特征串检测，将数据包对应加入明文或密文标识后送入P2P处理模块，分别对包含明文标识和密文标识的数据包进行查找，统计以明文或密文方式传输的P2P流量；对不匹配的密文数据包，则构造主动探测数据包发送给被探测目标，按被探测目标回复的响应数据包，设别出按密文方式传输的P2P流量或者其他未知流量。本发明提供的技术方案能有效减少流量检测的处理工作量，提高系统的效率，且单个模块的故障、更新均不会影响整个系统。该项技术对现有网络的拓扑和性能不会造成任何影响，便于部署和实施。

主权项

一种识别对等网络应用流量的方法，其特征在于包括如下步骤：(1)试探设备从网络上获取全部的数据包，对数据包进行过滤，滤除无关的以及可识别的非对等网络的数据包；所述的无关数据包包括传输层以下层次的数据包，以及步骤(4)中待检处理模块发送的探测数据包和被探测目标回复的响应数据包；其余数据包送入数据识别模块；(2)在数据识别模块中，按已知的P2P应用的协议特征码，对数据包进行串匹配检测，将检测到的包含P2P协议特征码的数据包添加明文标识，送入P2P处理模块执行步骤(3)；将检测到的未能识别协议特征码的数据包，添加密文标识，送入P2P处理模块执行步骤(4)；(3)P2P处理模块通过明文标识将确定以明文方式传输的P2P流量存储于明文P2P流量存储模块中，累计得到识别到的明文对等网络应用流量；(4)数据识别模块提取该数据包的<源IP，目的IP，源端口，目的端口，应用层载荷字节数，密文标识>六元组信息，按其中的五元组<源IP，目的IP，源端口，目的端口，密文标识>为检索项，查找密文P2P流量存储模块；若存在该数据包的对应存储记录，则将该数据包五元组中<应用层载荷字节数>，累加到密文P2P流量存储模块中对应存储记录的<累计传输字节数>字段，进行密文P2P应用流量统计；否则，执行步骤(5)；(5)按不同的P2P应用所约定的信息，构造主动探测明文数据包，经试探设备的网络接口向被探测目标发送主动探测明文数据包；(6)在设定的等待时间内，试探设备将收到的与发送的主动探测明文数据包内容相对应的被探测目标回复的响应数据包，若探测目标返回明文数据包，执行步骤(3)，若返回密文数据包，则提取该探测数据包对应的原数据包中的<源IP，目的IP，源端口，目的端口，应用层载荷字节数>五元组，添加密文标识构成<源IP，目的IP，源端口，目的端口，应用层载荷字节数，密文标识>六元组，新增该条记录存储于密文P2P流量存储模块中，若被探测目标返回未知数据包或不返回，则将对应的原数据包执行步骤(7)；(7)P2P处理模块提取该未知的应用流量数据包的<源IP，目的IP，源端口，目的端口，应用层载荷字节数>五元组信息，按其中的<源IP，目的IP，源端口，目的端口>为检索项，查找未知流量存储模块，若未知流量存储模块中存在该数据包的对应存储记录，则将该数据包五元组中<应用层载荷字节数>，累加到未知流量存储模块中对应存储记录的<累计传输字节数>字段；否则，试探装置将提取的该数据包的五元组信息，添加到未知流量存储模块中，成为一条新的记录。