一种流识别方法及带宽管理设备技术

技术编号:3544866 阅读:211 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种流识别方法,应用于连接管理区域内部和管理区域外部的带宽管理设备上,所述管理区域内部包括至少一个上网用户,管理区域外部包括至少一个上网用户,该方法包括:获取IP发起的会话中被目的端终止的连接数量的统计值;将所述IP发起的会话中被目的端终止的连接数量的统计值与预先设定的阈值进行比较,如果超出所述阈值,则认为所述IP正在使用P2P软件,以所述IP为源端或目的端的未知流量为P2P流。本发明专利技术中,避免使用可变端口或伪装端口的P2P应用软件、负载被加密P2P流量、未知P2P类流量漏报或误报。

【技术实现步骤摘要】

本专利技术涉及通信
,尤其涉及一种流识别方法及带宽管理设备
技术介绍
P2P(Peer-to-Peer,点对点)网络中所有的节点都是对等的,节点之间通过直接互连共享信息资源或进行文件交互,无需依赖集中式服务器。因此,P2P技术促进了互联网发展,使用户可以更加方便的共享各类资源。同时,P2P应用为网络带来的负面影响也不可忽视,例如,由于网络中多对节点同时应用P2P通信时,将占用大量带宽,引起网络拥塞,大大降低网络性能,劣化了网络服务质量,妨碍了正常的网络业务开展和关键应用,严重影响了用户正常的Web、E-mail等应用。另外,P2P应用穿透现有防火墙和安全代理,通过并不安全的网络环境获得应用程序和P2P协议,使得病毒和恶意代码得以躲过安全审查入侵内部网络。因此,现有网络中需要有选择的使用P2P,在要保证正常网络业务及网络安全性较高的情况下,对P2P的应用加以限制。现有技术中使用了端口识别法、DPI(Deep Packet Inspection,深度包检测)识别法和基于行为特征识别法等几种识别P2P流量的方法。其中,端口识别法根据TCP(Transmission Control Protocol,传输控制协议)数据包或UDP(User Datagram Protocol,用户数据报协议)数据包首部的源端口号或目的端口号识别P2P流量。DPI识别法通过数据包深层扫描,在TCP数据包或UDP数据包负载中查找一个协议区别于其它协议的特征字符串来识别P2P协议。基于行为特征识别法是在一段时间内,用户保持的TCP或UDP连接中,目的端口在1024以上的连接数与目的端口在1024以下的连接数的比值大于阈值,则认为用户正在使用P2P软件。现有技术存在以下缺点:随着P2P软件的发展出现了使用可变端口及伪-->装端口的P2P应用软件,端口识别法漏报的问题越来越凸现出来。DPI识别法对于明文的P2P数据流,准确度可以达到95%以上,但是对于加密的P2P流无效,例如,加密的eMule(电驴)、BT等主流P2P协议都已经支持了加密传输。基于行为特征对一些应用流存在较大误报风险,如:游戏流、数据库流等流量。因此,现有技术中无法快速、高效地识别出用户正在使用P2P应用软件,进而实现对P2P流量的控制。
技术实现思路
本专利技术提供了一种流识别方法及带宽管理设备,以迅速、高效的识别出用户正在使用P2P软件,并可以对P2P流量进行相应控制。本专利技术提供了一种流识别方法,应用于连接管理区域内部和管理区域外部的带宽管理设备上,所述管理区域内部包括至少一个上网用户,所述管理区域外部包括至少一个上网用户,所述方法包括以下步骤:获取IP发起的会话中被目的端终止的连接数量的统计值;将所述IP发起的会话中被目的端终止的连接数量的统计值与预先设定的阈值进行比较,如果超出所述阈值,则认为所述IP正在使用P2P软件,以所述IP为源端或目的端的未知流量为P2P流。其中,确认所述IP正在使用P2P软件之后还包括:将所述正在使用P2P软件的IP进行标识。其中,以所述IP为源端或目的端的未知流量为P2P流具体包括:检测网络上经过所述带宽管理设备的报文;判断所述报文所属会话是否为正常上网流量,如果不是,则判断为未知流量,根据所述IP正在使用P2P软件判定以所述IP为源端或目的端的所述未知流量为P2P流量,对所述P2P流量进行流量控制。其中,所述判断报文所属会话是否为正常上网流量具体为:通过DPI识别法识别正常的上网流量。其中,对所述未知流量进一步判断是否是下载流,所述下载流判断具体为:-->设置较长报文个数门限、较长报文负载长度门限和较短报文负载长度门限;当单一方向的超过所述较长报文负载长度门限的报文个数,超出所述较长报文个数门限时,且另一方向只出现ack回应报文或只出现小于所述较短报文负载长度的报文时,所述会话为下载流。其中,所述获取IP发起的会话中被目的端终止的连接数量的统计值具体包括:统计被目的端终止的处于SYN_SENT状态的TCP连接个数,或ICMP报文类型为目的端口不可达的连接个数;定时刷新所述被目的端终止的连接数量的统计值。本专利技术还提供了一种带宽管理设备,应用于连接管理区域内部和管理区域外部的出口处,包括:统计值获取单元,用于获取IP发起的会话中被目的端终止的连接数量的统计值;判断单元,与所述统计值获取单元连接,用于将所述IP发起的会话中被目的端终止的连接数量的统计值与预先设定的阈值进行比较,如果超出所述阈值,则认为所述IP正在使用P2P软件,以所述IP为源端或目的端的未知流量为P2P流。其中,带宽管理设备还包括:标识单元,与所述判断单元连接,用于将所述判断单元确认正在使用P2P软件的IP进行标识;检测单元,与所述标识单元连接,用于检测网络上经过所述带宽管理设备的报文,并判断所述报文所属会话是否为正常上网流量,如果不是,则判断为未知流量,并告知判断单元,使其根据所述IP正在使用P2P软件判定以所述IP为源端或目的端的所述未知流量为P2P流量;流量控制单元,与所述检测单元连接,用于对所述P2P流量进行流量控制。其中,带宽管理设备还包括:-->下载流判断单元,与所述判断单元和所述检测单元连接,用于进一步判断检测单元所确定的未知流量是否是下载流,通过设置较长报文个数门限、较长报文负载长度门限和较短报文负载长度门限,当单一方向的超过所述较长报文负载长度门限的报文个数,超出所述较长报文个数门限时,且另一方向只出现ack回应报文或只出现小于所述较短报文负载长度的报文时,所述会话为下载流。其中,所述统计值获取单元具体包括:第一统计子单元,用于统计被目的端终止的处于SYN_SENT状态的TCP连接个数;或第二统计子单元,用于统计被目的端终止的ICMP报文类型为目的端口不可达的连接个数;刷新子单元,用于定时刷新所述第一统计子单元或所述第二统计子单元统计的被目的端终止的连接数量的统计值。与现有技术相比,本专利技术具有以下优点:本专利技术中,通过统计预定时间内,一个IP发起的连接中被目的上网用户终止的TCP连接或UDP连接的个数超过阈值时,认为该IP发起端正在使用P2P软件。避免了对于使用可变端口或伪装端口的P2P应用软件、负载被加密的P2P流量、未知P2P类流量的漏报或误报,并可以对P2P类流量进行相应控制。附图说明图1是本专利技术中一种流识别方法流程图;图2是本专利技术中一种P2P流量的识别和控制方法流程图;图3是本专利技术中一种流识别设备结构图。具体实施方式本专利技术提供了一种流识别方法,利用P2P软件下载资源时获取到的资源列表的时延特点识别一个IP是否正在使用P2P软件(为P2P客户端)。利用-->现有的DPI识别法识别出正常的HTTP(Hyper Text Transfer Protocol,超文本传输协议)、FTP(File Transfer Protocol,文件传输协议)和POP3(Post OfficeProtocol 3,第三版邮局协议)等正常的上网流量,对未知的上网流量依据目前该IP节点是否正在使用P2P软件进行管理。本专利技术提供了一种流识别方法,应用于连接管理区域内部和管理区域外部的带宽管理设备上,管理区域内部包括至少一个上网用户,管理区域外部包括至少一个Inter本文档来自技高网
...

【技术保护点】
一种流识别方法,应用于连接管理区域内部和管理区域外部的带宽管理设备上,所述管理区域内部包括至少一个上网用户,所述管理区域外部包括至少一个上网用户,其特征在于,所述方法包括以下步骤: 获取IP发起的会话中被目的端终止的连接数量的统计值; 将所述IP发起的会话中被目的端终止的连接数量的统计值与预先设定的阈值进行比较,如果超出所述阈值,则认为所述IP正在使用P2P软件,以所述IP为源端或目的端的未知流量为P2P流。

【技术特征摘要】
1、一种流识别方法,应用于连接管理区域内部和管理区域外部的带宽管理设备上,所述管理区域内部包括至少一个上网用户,所述管理区域外部包括至少一个上网用户,其特征在于,所述方法包括以下步骤:获取IP发起的会话中被目的端终止的连接数量的统计值;将所述IP发起的会话中被目的端终止的连接数量的统计值与预先设定的阈值进行比较,如果超出所述阈值,则认为所述IP正在使用P2P软件,以所述IP为源端或目的端的未知流量为P2P流。2、如权利要求1所述的方法,其特征在于,确认所述IP正在使用P2P软件之后还包括:将所述正在使用P2P软件的IP进行标识。3、如权利要求1所述的方法,其特征在于,以所述IP为源端或目的端的未知流量为P2P流具体包括:检测网络上经过所述带宽管理设备的报文;判断所述报文所属会话是否为正常上网流量,如果不是,则判断为未知流量,根据所述IP正在使用P2P软件判定以所述IP为源端或目的端的所述未知流量为P2P流量,对所述P2P流量进行流量控制。4、如权利要求3所述的方法,其特征在于,所述判断报文所属会话是否为正常上网流量具体为:通过DPI识别法识别正常的上网流量。5、如权利要求1所述的方法,其特征在于,对所述未知流量进一步判断是否是下载流,所述下载流判断具体为:设置较长报文个数门限、较长报文负载长度门限和较短报文负载长度门限;当单一方向的超过所述较长报文负载长度门限的报文个数,超出所述较长报文个数门限时,且另一方向只出现ack回应报文或只出现小于所述较短报文负载长度的报文时,所述会话为下载流。6、如权利要求1至5中任一项所述的方法,其特征在于,所述获取IP发起的会话中被目的端终止的连接数量的统计值具体包括:统计被目的端终止的处于SYN_SENT状态的TCP连接个数,或ICMP报文类型为目的端口不可达的连接个数。7、如权利要求1至5中任一项所述的方法,其特征在于,还包括:定时刷新所述被...

【专利技术属性】
技术研发人员:邹文宇
申请(专利权)人:杭州华三通信技术有限公司
类型:发明
国别省市:86[中国|杭州]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1