技術領域

本發明涉及信息安全與監控技術領域，尤其涉及一種P2P協議流量識別方法及系統。

背景技術

網絡流分類和協議識別技術是信息安全和監控領域中的核心技術。其主要任務是根據網絡流及流內報文包含的信息識別出流所屬的網絡協議類別。

從2006年到2009年全球范圍對等(Peer-to-Peer，P2P)流量占到了互聯網總帶寬的一半以上。迅雷是一款國內最為流行的P2P文件傳輸軟件，它的注冊用戶超過了3.29億，每月活躍用戶超過了1.66億。迅雷除了能夠提供快速的端到服務器和端基于用戶對服務器和用戶機制(Peer?to?Server?&?Peer，P2SP)文件傳輸服務外，還同時支持電驢(eMule)和比特流(Bit?Torrent，BT)格式的P2P文件傳輸，因此其文件傳輸速度很快，用戶也非常廣泛。對迅雷流量的識別有著非常重要的意義，包括：(1)網絡管理，網絡服務提供商(Internet?ServiceProvider，ISP)，尤其是中國的ISP對于迅雷的流量識別非常感興趣，因為牽涉到流量和性能監控，流量策略和收費等；(2)研究，迅雷的快速發展和大用戶群吸引著越來越多P2P及其它領域的學術和商業上的研究者；(3)盜版，迅雷在一定程度上通過P2P傳輸方式助長了網絡上軟件、電影、音樂和游戲等的盜版行為。因此識別迅雷流量有著非常重要的意義。

現有的網絡流分類和協議識別技術包括：基于包頭的技術、基于協議的技術和基于行為的技術。分類和識別方法主要有：基于模式匹配的方法、基于統計的方法和基于機器學習的方法。

基于包頭和協議的技術通過對包中載荷里的字段分析，得到目標協議中特定字段的固定模式，并應用模式匹配的方法進行協議識別。該類方法識別速度快，準確率高，但是更新代價較大，無法識別加密流量和協議。

基于行為的技術主要利用目標協議在網絡中的傳輸行為特征，應用統計和機器學習的方法進行網絡流分類和識別。該類方法一般情況下的識別速度和準確率都遜于基于包頭和協議的匹配方法。但是，該類方法不需要分析載荷中的內容，因此能夠識別加密流量。

P2P協議流量的識別技術最早采用基于端口的方法，但是隨著動態隨機端口的應用，這種方法非常不準確。有一些方法采用基于P2P節點和連接的行為來進行識別，但是這種方法對于很多行為類似的P2P協議無法準確識別。還有一些方法采用協議特征字段來對某類P2P協議進行識別，但是這種方法只對明文協議有效，對于像迅雷這種流量加密且協議格式動態變化的協議效果很差。

現在還沒有一種非常有效的迅雷流量的識別方法。在現有技術中，最常用的方法是封堵迅雷的服務器地址和服務端口，但是其服務器地址和端口都是變化的，因此這種方法不是很有效。

發明內容

(一)要解決的技術問題

本發明所要解決的技術問題是：如何提供一種流量識別方法及系統，以提高對P2P協議流量識別的有效性、速度及其可擴展性。

(二)技術方案

為解決上述問題，本發明提供了一種P2P協議流量識別方法，該方法包括步驟：

S1.對P2P協議流量的初始握手交互過程進行分析，獲得代表選定的交互過程的狀態轉移集合，其中包括所述狀態轉移過程中的關鍵命令；

S2.根據五元組將待識別的流量分成多條流；

S3.按照P2P協議的消息重組的啟發性條件集合判斷待識別的流是否能夠進行P2P協議的消息重組，若能，則載入下一條流，并重新執行步驟S3，否則，執行步驟S4；

S4.檢查待識別的流的消息中是否包含所述關鍵命令，若不包含，則判斷該流為非P2P協議流量，載入下一條流，并返回步驟S3，否則，執行步驟S5；

S5.判斷待識別的流的消息構成是否符合所述交互過程的狀態轉移集合中的項，若不符合，則判斷所述流為非P2P協議流量，載入下一條流，并返回步驟S3，否則，判定所述流為P2P協議流量，載入下一條流，并返回步驟S3；

其中，所述選定的交互過程為空閑狀態與數據傳輸狀態之間的交互過程；

所述P2P協議的消息重組的啟發性條件為：

a.P2P協議頭沒有加密，體是經過加密的；

b.在P2P協議的連接部分，有多個0x00內容的字節，或者連續兩個或三個0x00內容的字節；

c.P2P協議以連續三個0x00字節結束，或者在連續兩個或三個0x00后有一段設定長度的內容之后結束。

其中，步驟S1進一步包括：

S1.1抓取P2P協議純流量；

S1.2對P2P協議純流量進行五元組分流；