技術領域

本發明涉及可用于入侵檢測防御(IDS/IPS)產品中的對于某些P2P下載軟件 及網絡直播軟件的一種P2P軟件監測方法及系統，它依據網絡數據流中報文所帶 有的特定行為特征對其進行精確識別及阻斷，屬于網絡技術領域。

背景技術

入侵檢測/防御系統(Intrusion?Detection/Protection?System，IDS/IPS) 作為網絡安全防護的重要手段，通常部署在關鍵網絡內部/網絡邊界入口處，實 時捕獲網絡內或進出網絡的報文數據流并進行智能綜合分析，發現可能的入侵 行為并進行實時阻斷。目前絕大多數入侵檢測產品或系統當中采用端口定位(例 如Emule使用4662端口、BT使用6881-6889端口等)或靜態協議特征(如產品 L7-filter，Cisco’s?PDML，Juniper’s?netscreen-IDP等系統)識別的方式進 行協議的識別從而進行進一步的檢測或阻斷。但是隨著網絡通信協議的發展， 協議的設計日趨復雜化，所使用的技術越來越多樣化，單純的依賴端口定位或 靜態協議特征識別的方式往往無法準確的識別網絡通信當中所使用的協議類型 以及使用該應用具體行為階段，例如某些P2P下載軟件和網絡直播軟件采用動 態端口協商或者復用公開協議端口(如迅雷、BT等)，使得單純的基于端口的識 別和阻斷變得不準確。又如很多的P2P下載和網絡直播軟件同時支持TCP和UDP 傳輸方式。尤其在TCP傳輸過程當中如果沒有截獲最初建立鏈接過程的數據包， 則在后續的傳輸過程當中不包含明顯的協議特征。這給精確檢測及阻斷帶來了 前所未有的困難。此外很多的入侵檢測或防御系統采用單一的阻斷模式即在端 口匹配或靜態特征匹配的情況下實施數據包丟棄等方式的阻斷(例如在匹配了 某些靜態特征時采用四元組源IP、目的IP、源端口、目的端口進行連接阻斷)。 而在實際網絡環境當中，很多的軟件可以自動的調整端口(例如在P2P下載當 中進行文件續傳的時候)這使得原本應阻斷的連接依然可以使用。在這些情況 下單純依賴端口定位或靜態報文特征往往不能準確識別并阻斷相應的網絡行為 給精確的入侵檢測或防御帶來非常大的困難。

目前日益廣泛使用的P2P應用(包括文件下載及網絡直播等)已經成為了 未來網絡發展的趨勢，并且P2P應用在實際網絡流量當中占據了越來越多的部 分。很多的用戶及企事業單位對于P2P協議與軟件使用的準確識別和阻斷提出 了很高的要求，這使得基于原有的端口定位或靜態報文特征匹配識別變得不準 確。目前通常所使用的大多數入侵檢測或審計系統當中對于P2P協議的識別都 是基于端口定位或靜態報文特征匹配的，而具有完善靈活的根據P2P協議運行 不同階段進行不同策略的阻斷功能的產品是非常缺乏的。注意到該類軟件在運 行過程當中具有類似的模式，即先登錄服務器，獲得Peer列表，與Peer進行連 接，進行文件傳輸或網絡直播等操作。在此過程當中可能使用TCP或UDP進行 相應傳輸。而在這類的軟件使用過程當中在不同的階段分別具有相應的靜態特 征或流量特征，例如在登錄服務器階段包含明顯的協議靜態特征以聲明具體的 軟件使用，在傳輸階段具有明顯的行為特征或流量特征。因此，依賴于不同階 段的不同特征對于這類軟件進行精確識別和阻斷是可能的。從而有必要發展一 種基于不同階段不同特征的P2P軟件和網絡直播軟件的分策略的精確識別和阻 斷技術。該P2P準確識別即阻斷技術必須滿足以下要求：

盡可能多的準確識別通信過程中P2P軟件的應用及所處階段以提高入侵檢 測或阻斷系統的協議識別準確性；

對于不同P2P應用所處特定階段采用不同的檢測及阻斷策略盡可能準確的 進行特定行為的精確阻斷。

具有很好的可擴展性，對于某些新的P2P應用以及已有協議軟件的新型應 用具有靈活的可擴展性以擴大檢測或阻斷的范圍；

具有非常高的P2P應用識別及阻斷效率，算法實現盡可能簡單；

發明內容

為了克服現有對于P2P應用識別及阻斷技術的不足，本發明提供一種P2P 軟件監測方法及系統。

本發明解決其技術問題所采用的技術方案是：

一種P2P軟件監測方法，包括協議特征模型的建立、應用階段識別定位、相 應阻斷策略實施三個階段步驟，

其中，所述的協議特征模型的建立階段步驟主要包括具體P2P應用數據包靜 態特征提取、行為特征提取和流量特征模型的建立；