P2P应用加密流量的识别方法技术

技术编号:3541372 阅读:603 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种P2P应用加密流量的识别方法,包括:首先根据应用层数据特征获得节点同种子服务器通讯的报文信息,并对其进行解码且获得二元组信息;对分布式网络的返回报文进行解码并获得二元组节信息;将所获得二元组信息存储至一个二元组信息表中,同时获取所有流量的目的IP地址和目的端口号;其次,将获得目的IP地址和目的端口号去匹配二元组信息表,如果匹配则标记为对应的P2P应用;最后,根据特定的报文长度组合对交换数据过程中的报文长度组合进行判断,如果所述报文长度组合满足特定的报文长度组合,则其识别为拥有该特定报文长度组合的P2P应用软件加密流量。本发明专利技术优点在于可对P2P应用加密流量进行识别并且识别准确。

【技术实现步骤摘要】

本专利技术涉及一种在流量管理中识别加密流量的方法,尤其涉及一种针对P2P网络中双向连接和动态端口的特点,灵活利用对等协议中节点信息交换特性的识别方法。
技术介绍
对等网络(Peer to Peer,简称P2P)技术的出现,使得网络应用的核心从中央服务器向网络边缘扩散。目前,以文件共享类应用BitTorrent和eMule为代表的对等网络应用加密流量占到了运营商50%以上的带宽,成为网络带宽的最大消费者,由此也妨碍了正常网络业务的开展和关键应用的普及。P2P是一种分布式网络,其中每个节点既是资源提供者,又是资源获取者,其所产生的流量具有不确定性、海量性和加密性等特点。这些特点给P2P流量的管理带来很多困难,由于管理的基础是识别,而传统的端口识别法是根据TCP数据包或UDP数据包首部的源端口号或目的端口号识别业务流量。另,而大部分P2P的应用软件是使用随机端口号或者伪装成正常的业务端口号(如HTTP的TCP 80端口),因此,采用端口识别法去识别P2P流量是很难达到准确识别P2P流量的目的。时下,对P2P流量识别大致可分为深度包检测(DPI)和动态流-->检测(DFI)两种技术。DPI为通过扫描应用层协议数据字段识别对等网络流量。DFI为通过分析传输层特征,例如数据包长度、连接速率、传输字节量和包间隔等特征,且针对不同的P2P应用建立流量特征模型识别P2P流量。其中,由于大部分P2P应用软件在采用明文传输时存在各自独有的特征字段,所以采用DPI技术去识别P2P流量的准确度较高,但是却无法识别加密的对等网络流量。而DFI技术由于不需要解析应用层数据,虽然能够识别应用层加密数据,但是识别的准确度却是不高。
技术实现思路
鉴于现有技术的不足,本专利技术的主要目的在于提供一种对P2P应用加密流量进行准确识别的方法。为实现上述的专利技术目的,本专利技术采用下述的技术方案:所述P2P应用加密流量的识别方法灵活运用P2P协议交换过程的特点,准确的对P2P应用加密流量进行识别,该方法首先通过以下步骤判断为P2P流量:1)根据应用层数据特征获得节点同种子服务器的报文信息,解码该报文信息并得到二元组信息;2)对分布式网络中的返回报文进行解码,获得二元组信息;3)将步骤(1)和步骤(2)中的二元组信息存放至一个二元组信息表中,同时,获取所有流量的目的IP地址和目的端口号;4)将获得的所有流量的目的IP地址和目的端口号去与所述二元-->组信息表中的信息进行匹配,如果匹配则识别所述报文信息P2P应用。其次,通过对交换数据过程中报文长度组合进行判断出哪种具体P2P软件的流量,如果检测出满足特定的报文长度组合,则进一步将其识别为拥有该特定报文长度组合的P2P软件加密流量;其中,所述二元组由IP地址和端口号对组成,所述特定的数据包长度组合由具体的P2P软件的编程实现而决定。相比现有技术,本专利技术所述识别方法不但可对P2P应用进行识别,亦可对P2P应用的加密流量进行准确识别,从而判定出数据通讯过程中的数据由何种具体的软件产生。附图说明图1为本专利技术所述P2P加密应用的识别方法的流程示意图。具体实施方式下面结合附图来对本专利技术所述P2P加密应用的识别方法作进一步的详细说明。本专利技术所述P2P应用加密流量的识别方法灵活利用了P2P协议信息交换过程的特点,且对P2P应用网络中节点流量进行动态跟踪并实时分析,并且在基于包长过滤器的基础上准确定位会话(session)流量的识别,其中,且引入了IP和端口组成的二元组概念,彻底改变了流量识别的滞后性。-->此外,由于一个典型的P2P网络是由许多节点构成的,且每个节点既是一个服务器,也是一个客户端,既采用TCP的连接来下载数据,又可以基于UDP的分布式哈希表信息进行节点信息数据传送。以下为一个节点在P2P网络中运作的流程,一个下载文件的节点同时扮演服务器和客户端,且在分布式网络中既为其它节点提供节点信息,又可以从其它节点处获取节点信息。所述运作的流程如下:当作为下载服务器时,该节点监听一个对外的TCP端口,等待其它节点来连接,且一旦连接建立以后,数据的传输是双向的,以此为其它节点提供服务,进而扮演服务器的角色。当作为下载客户端时,该节点从种子服务器或分布式网络中获得其它节点的信息,且这个信息为包括一个IP地址和一个端口号,本地客户端向其它节点发起连接时,本地端口随机。当作为分布式网络服务器,该节点监听一个对外的UDP端口,且等待其它节点发送来的请求信息并应答,并且该UDP端口号和作为下载服务器时监听的TCP的端口号是一样的。当作为分布式网络的客户端,该节点某个固定的端口向其它节点作为分布式网络服务器监听的UDP端口发送请求,此时这个固定的端口和作为分布式网络服务器时监听的UDP的端口号是一样的。当得到哪个IP地址的哪个端口向外提供P2P服务,那么就可以判断包含有这些二元组的会话数据包就是P2P流。另外,由于目前P2P软件只会对P2P节点之间的通信进行加密,而对和种子服务器的通信则是不会加密,因此,如何判定P2P应用加-->密流量,则首先必须对和种子服务器的通信是否为P2P应用,而后再对加密流量进行识别。参见图1中所示,该识别方法首先,根据应用层数据特征获得节点同种子服务器之间通讯的报文信息,并对该报文信息进行解码,从中获得一二元组信息(步骤100),其中,为将所述IP和端口地址对定义为一个二元组。其次,对分布式网络的返回报文进行解码,获得另一二元组信息(步骤101)。将上述获得的二元组信息存放到一个二元组信息表中;同时,获取所有流量的目的IP地址和目的端口号(步骤102)。进一步将该所述目的IP地址和目的端口号与二元组信息表中的IP地址和端口号进行匹配,如果匹配,则将包含该目的IP地址和目的端口号的报文信息识别为P2P应用,反之则不然(步骤103、步骤104和步骤105)。由于上述过程只能对是否为P2P应用进行判定,但是对于通讯中的P2P应用流量为何种P2P软件的应用,则不得而知。而如何识别为何种P2P软件的应用,则又是对P2P应用加密流量的一个识别,该识别为基于不同P2P应用在交互数据过程中,其数据包长度组合是不同的,而这种组合则完全是由具体的P2P软件的编程实现决定的。故在上述方法后,进一步还包括对交换数据过程中报文长度组合的一个判断,如果所述报文长度组合满足特定的报文长度组合,则进-->一步将其识别为拥有该特定报文长度组合的P2P软件加密流量;反之则不是,且结束识别(步骤106、步骤107和步骤108)。其中,具体的P2P应用加密流的判断为基于不同P2P应用在交互数据过程中报文长度组合不同,而该组合又是由具体P2P软件的编程实现来决定的组合特征而设计的包长度过滤器来进行的,具体如下:在本专利技术所述方法中,所述包长度过滤器的设计为:在该包长度过滤器中设置四个计数器(counter1、counter2、counter3、counter4)以及与所述计数器分别对应的四个标志位(flag1、flag2、flag3,、flag4),其中,该这八个变量初始状态为赋值0。在识别过程中,统计一个会话的前N个数据包(N=1,2.....n),计数器counter1负责对传输层有效负载长度(payload length)进行位于(本文档来自技高网
...

【技术保护点】
一种P2P应用加密流量的识别方法,其特征在于,包括以下步骤: 1)根据应用层数据特征获得节点同种子服务器通讯的报文信息,解码该报文信息,从中得到二元组信息; 2)从分布式网络的返回报文中解码得到二元组信息; 3)将步骤(1 )和步骤(2)中获取的二元组信息存储至一个二元组信息表中,同时,获取所有流量的目的IP地址和目的端口号; 4)将获得的所有流量的目的IP地址和目的端口号去匹配二元组信息表,如果匹配则标记对应的报文信息为P2P应用。 5)对交换数 据过程的报文长度组合进行判断,如果所述报文长度组合满足特定的报文长度组合,则进一步判断其为拥有该特定报文长度组合的P2P应用加密流量; 其中,所述二元组由IP地址和端口号对组成,所述特定的报文长度组合由具体的P2P软件的编程实现而决定 。

【技术特征摘要】
1.一种P2P应用加密流量的识别方法,其特征在于,包括以下步骤:1)根据应用层数据特征获得节点同种子服务器通讯的报文信息,解码该报文信息,从中得到二元组信息;2)从分布式网络的返回报文中解码得到二元组信息;3)将步骤(1)和步骤(2)中获取的二元组信息存储至一个二元组信息表中,同时,获取所有流量的目的IP地址和目的端口号;4)将获得的所有流量的目的IP地址和目的端口号去匹配二元组信息表,如果匹配则标记对应的报文信息为P2P应用。5)对交换数据过程的报文长度组合进行判断,如果所述报文长度组合满足特定的报文长度组合,则进一步判断其为拥有该特定报文长度组合的P2P应用加密流量;其中,所述二元组由IP地址和端口号对组成,所述特定的报文长度组合由具体的P2P软件的编程实现而决定。2.根据权利要求1所...

【专利技术属性】
技术研发人员:单衍景白司特
申请(专利权)人:北京畅讯信通科技有限公司
类型:发明
国别省市:11[中国|北京]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1