技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)流量識(shí)別和管理，尤指一種P2P流量識(shí)別系統(tǒng)和方法。

發(fā)明背景

由于對(duì)帶寬的搶占、對(duì)網(wǎng)絡(luò)安全帶來的新問題以及版權(quán)糾紛等問題，對(duì)P2P應(yīng)用流量進(jìn) 行識(shí)別和管理具有很重要的意義。

當(dāng)前可見到的P2P流量識(shí)別方法有：

(1)傳輸層識(shí)別，只檢查數(shù)據(jù)文的IP頭和傳輸層頭，利用P2P連接特性和傳輸層流 量特征識(shí)別，這種方法的好處是處理速度快，可利用在網(wǎng)絡(luò)設(shè)備中廣為采用的 流表處理，因此較易應(yīng)用于現(xiàn)有的網(wǎng)絡(luò)設(shè)備上，問題是誤檢率高，且無法識(shí)別 P2P流量的具體應(yīng)用類別。端口識(shí)別只利用傳輸層端口號(hào)來識(shí)別數(shù)據(jù)流類型，因 此也可以歸入傳輸層識(shí)別，這種方法的問題是大多數(shù)P2P應(yīng)用采用了動(dòng)態(tài)端口， 有些還采用80等通用端口，以便穿越防火墻設(shè)備，因此誤檢和漏檢都高。

(2)應(yīng)用層識(shí)別，利用各種P2P應(yīng)用的應(yīng)用層特征字串對(duì)數(shù)據(jù)報(bào)文進(jìn)行匹配，這種 方法的好處是可識(shí)別P2P流量的具體應(yīng)用類別，問題是處理速度慢，在掌握應(yīng) 用層特征字串之前無法進(jìn)行識(shí)別。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的主要目的在于提供一種P2P流量識(shí)別系統(tǒng)和方法，與傳統(tǒng)傳輸層識(shí) 別方法相比降低了誤檢，與傳統(tǒng)應(yīng)用層識(shí)別方法相比，提高了檢測(cè)速率，并可在掌握應(yīng)用 層特征字串之前對(duì)P2P流量提出預(yù)警。

為了達(dá)到上述目的，本發(fā)明的系統(tǒng)和方法包括如圖1中所示的各個(gè)模塊：傳輸層識(shí)別模 塊、應(yīng)用層識(shí)別模塊和應(yīng)用層特征分析模塊。所述傳輸層識(shí)別模塊與所述應(yīng)用層識(shí)別模塊在 接口A、B上具有交互。

傳輸層識(shí)別模塊利用P2P應(yīng)用的傳輸層流量特征和應(yīng)用層識(shí)別模塊的識(shí)別結(jié)果，只檢查 IP頭和傳輸層TCP/UDP頭來進(jìn)行識(shí)別，并利用應(yīng)用層識(shí)別模塊的識(shí)別結(jié)果降低傳輸層識(shí)別的 誤檢，傳輸層識(shí)別可標(biāo)識(shí)以下數(shù)據(jù)流量：

(a)由應(yīng)用層識(shí)別模塊識(shí)別的易與P2P誤檢的流量

(b)由傳輸層流量特征確定不符合P2P流量特征的流量。

(c)已由應(yīng)用層識(shí)別模塊識(shí)別為P2P應(yīng)用的流量。

接口A上的數(shù)據(jù)流為其它流量，將送入應(yīng)用層識(shí)別模塊，進(jìn)一步確認(rèn)是否為被誤檢的， 如果不是則確認(rèn)P2P應(yīng)用類別。傳輸層識(shí)別模塊由于只檢查數(shù)據(jù)包的IP頭和傳輸層頭，可采 用目前已非常成熟的流表、HASH等數(shù)據(jù)流處理機(jī)制，因此可以達(dá)到較高的處理速率，經(jīng)過傳 輸層過濾后可降低應(yīng)用層識(shí)別模塊處理數(shù)據(jù)量，提高檢測(cè)速率。傳輸層識(shí)別模塊還可以在掌 握應(yīng)用層特征字串之前對(duì)未知類型的P2P流量提出預(yù)警。

應(yīng)用層特征字串庫(kù)記錄P2P應(yīng)用特征字串，也記錄易與P2P應(yīng)用誤檢的其它應(yīng)用的特征 字串，利用所述的應(yīng)用層特征庫(kù)可定位P2P應(yīng)用類別，并可確認(rèn)數(shù)據(jù)包是否為傳輸層識(shí)別模 塊誤檢的非P2P應(yīng)用。

應(yīng)用層識(shí)別模塊利用應(yīng)用層特征字串庫(kù)對(duì)經(jīng)過傳輸層過濾的數(shù)據(jù)流進(jìn)行特征匹配，對(duì)可 成功匹配的應(yīng)用，包括確定數(shù)據(jù)流為某種P2P應(yīng)用或確定數(shù)據(jù)流不是P2P應(yīng)用，可根據(jù)匹配 結(jié)果修改P2P用戶記錄表，并通過接口B通知傳輸層識(shí)別模塊，此數(shù)據(jù)流為P2P應(yīng)用或肯定 不是P2P應(yīng)用，傳輸層識(shí)別模塊利用應(yīng)用層識(shí)別模塊的結(jié)果可直接對(duì)數(shù)據(jù)流進(jìn)行過濾，并可 降低誤檢。對(duì)利用應(yīng)用層特征字串庫(kù)無法成功匹配的，給出報(bào)警提示，此為未知流量，并記 錄數(shù)據(jù)流報(bào)文，通過接口C送入應(yīng)用層特征分析模塊。

應(yīng)用層特征分析模塊記錄應(yīng)用層識(shí)別模塊根據(jù)當(dāng)前的應(yīng)用層特征字庫(kù)無法識(shí)別的數(shù)據(jù) 流，可進(jìn)一步通過人工和自動(dòng)的離線分析，進(jìn)行特征字串提取，并確認(rèn)是否為P2P應(yīng)用，經(jīng) 試驗(yàn)確認(rèn)后將應(yīng)用層特征字串記入應(yīng)用層特征字庫(kù)。

可見，本發(fā)明所提供的P2P流量識(shí)別系統(tǒng)和方法，具有以下的優(yōu)點(diǎn)和特點(diǎn)：

(1)可定位數(shù)據(jù)流的P2P應(yīng)用類別。

(2)可對(duì)未知類型或加密的P2P應(yīng)用提出預(yù)警，并可通過離線的特征提取分析算法分 析其特征字串。

(3)通過應(yīng)用層識(shí)別模塊，解決了以往傳輸層識(shí)別誤檢率高的問題。

(4)通過傳輸層識(shí)別模塊提高了應(yīng)用層檢測(cè)的速率。

(5)結(jié)構(gòu)靈活，可以根據(jù)實(shí)際組網(wǎng)環(huán)境和P2P流理管理策略需求，選擇其中的一個(gè)或 多個(gè)模塊，以多種形式對(duì)P2P流量進(jìn)行管理，如限定和過濾指定類型的P2P流量帶寬、管理 用戶的P2P應(yīng)用使用情況、測(cè)量和預(yù)測(cè)網(wǎng)絡(luò)流量分布情況等

附圖說明

圖1P2P流量識(shí)別系統(tǒng)和方法框圖