技術領域

本發明涉及計算機網絡流量管理技術領域，尤其涉及一種在計算機網絡流 量中檢測對等網絡應用流量的方法和系統。

背景技術

近年來，計算機網絡中的各種對等網絡(Peer-to-Peer，P2P)應用越來 越豐富，出現了許多新的應用類型和協議。這些P2P應用消耗了大量的網絡帶 寬，降低了Web、Email等傳統Internet應用的服務質量，而且P2P應用所傳播 的內容還涉及著作權、病毒和淫穢內容等問題。因此，為了有效利用網絡資源， 保護知識產權，抑制病毒和淫穢內容的傳播，必須對P2P應用的流量進行有效 的管理，而首先必須能夠實現對P2P流量的高效、準確的檢測。

P2P流量的檢測方法可以分為三類：端口映射(Port?Mapping)、深度數 據包檢測(Deep?Packet?Inspection，DPI)、流量特征檢測(Transport?Layer Identification，TLI)。

端口映射方法，是根據各種P2P應用所使用的運輸層端口號(Port)，來 檢測P2P流量的。但現有P2P應用為了躲避檢測，都開始使用動態端口，甚至 使用其他Internet應用的端口，如HTTP的80端口，因此該方法已不能準確檢 測P2P流量。

深度數據包檢測方法，通過提取應用層載荷(payload)，提取出各種P2P 應用的特征串，從而檢測P2P應用。該方法的準確性高、易于實現，是目前運 用最普遍的方法。如中國發明專利“一種流量監控的方法、設備和系統” (CN101350781A)，利用一個DPI設備對應用層數據報文進行識別。但是該 方法只能針對以明文方式傳輸數據的P2P應用進行檢測，目前P2P應用大多開 始采用加密方式傳輸數據，因此該方法也將逐步失效。

流量特征檢測方法，通過對網絡流量中所有數據包的進行統計分析，如數 據包大小、間隔時間、連接數量等，利用機器學習、數據挖掘等方法，發現P2P 應用的流量特征，以此來檢測P2P應用的流量，該方法能夠檢測未知和加密的 P2P流量。如中國發明專利“基于支持向量機的混合式點對點流量檢測方法” (CN101510873)和“基于支持向量機的對等網絡流量檢測方法” (CN101345704)，將支持向量機技術應用到P2P流量檢測中。由于這類方面 需要在對大量數據包進行統計分析后，才能做出判斷，因此需要處理的數據量 較大，機器學習的實現復雜，因此不能做到高效、實時的檢測。而且這類方法 的檢測依據是P2P應用的流量特征，這是一個統計量，無法準確區分各種具體 的P2P應用流量。

發明內容

本發明的目的是針對現有技術存在的不足，提供一種能夠實時、高效、準 確地對以明文和密文方式傳輸的對等網絡流量進行檢測的方法和系統。

為達到上述目的，本發明所采用的技術方案是提供一種對等網絡流量檢測 方法，包括如下步驟：

(1)初級過濾設備從網絡轉發設備上獲取全部的數據包，對數據包進行 初級過濾，濾除傳輸干擾發生的錯誤數據包，以及無關的數據包；所述的無關 數據包包括傳輸層以下層次的數據包，以及步驟(4)中待檢處理模塊發送的 主動探測數據包和被探測目標回復的響應數據包；

(2)按已知的P2P應用的明文特征串，初級過濾設備對數據包進行串匹 配檢測，將檢測到的包含明文特征串的數據包，通過已確定明文通道(D通道)， 送入明文處理模塊執行步驟(3)；將檢測到的未包含明文特征串的數據包， 通過未確定通道(U通道)，送入待檢處理模塊執行步驟(4)；所述的已知 的P2P應用的明文特征串，其形式包括：明文字符串、明文特征串的十六進制 數表示以及明文特征串的正則表達式中的至少一種；

(3)明文處理模塊統計得到以明文方式傳輸的P2P流量，并存儲于明文 P2P流量存儲模塊中；

(4)待檢處理模塊提取該數據包的<源IP，目的IP，源端口，目的端口， 應用層載荷字節數>五元組信息，按其中的<源IP，目的IP，源端口，目的端口 >為檢索項，查找密文P2P流量存儲模塊；若密文P2P流量存儲模塊中存在該數 據包的對應存儲記錄，則將該數據包五元組中<應用層載荷字節數>，累加到密 文P2P流量存儲模塊中對應存儲記錄的<累計載荷字節數>字段，進行密文P2P 流量統計；否則，執行步驟(5)；