技術領域

本發明涉及通信技術，特別涉及點對點(P2P：Peer-to-peer)流量識別方法和裝置。

背景技術

在P2P網絡中，所有的節點都是對等的，節點之間通過直接互聯來共享信息資源或進行文件交互，無需依賴集中式服務器。目前，Internet中有超過80％的流量都是P2P流量。

但是，P2P應用為網絡帶來的負面影響也不可忽視，比如：搶占大量網絡帶寬，有時搶占60％-80％的帶寬，僅將剩余的少量帶寬留給非P2P流量，使得Internet中非P2P流量不能正常傳輸，劣化了網絡服務質量等。因此，為了確保其他正常服務，同時為了更好地發揮P2P技術的優勢，需要識別P2P流量，并對識別的P2P流量進行限制。

現有技術中，對于明文的P2P流量的識別主要使用深度包檢測(DPI)識別法，對于加密的P2P流量的識別主要通過使用解密關鍵數據流或基于行為特征識別法來識別。其中，DPI識別法通過數據包深層掃描，在TCP數據包或UDP數據包負載中查找一個協議區別于其它協議的特征字符串來識別網絡應用流量。解密關鍵數據流是通過解密P2P軟件產生的關鍵數據流，獲取本地監聽節點信息和遠端節點信息，用于后續加密數據流的識別。基于行為特征識別法是指在一段時間內，用戶保持的TCP或UDP連接中，目的端口在1024以上的連接數與目的端口在1024以下的連接數的比值大于閾值，則認為該用戶正在使用P2P軟件。

由于DPI識別法主要依賴于數據包負載來識別流量，因此，其針對已知的、使用明文的P2P流量，識別準確度可以達到95％以上，但是，對于使用未知協議的P2P流量和加密的P2P流量，該DPI識別法卻無效。至于解密關鍵數據流，由于每種P2P協議使用的加密方法不同，甚至使用不對稱的加密方法，這對解密處理提出了很高的要求。而基于行為特征識別法，其會導致一些其它應用(如游戲、數據庫等應用)產生的流量被該錯誤識別，誤報風險較大。因此，一種準確識別P2P流量的方法是當前亟待解決的技術問題。

發明內容

本發明提供了P2P流量識別方法和裝置，實現準確識別P2P流量。

本發明提供的技術方案包括：

一種P2P流量識別方法，該方法應用于連接被管理區域和外網的帶寬管理設備上；該方法包括：

A，所述帶寬管理設備判斷當前接收的UDP報文是否為會話首報文，如果是，執行步驟B，否則，執行步驟C；

B，建立并記錄所述UDP報文所屬的會話，并判斷所述UDP報文的相關節點是否在已建立的P2P節點表中，如果是，確定所述UDP報文為P2P流量，并標識所述UDP報文所屬的會話為P2P流量，結束當前流程；

C，判斷所述UDP報文所屬的會話是否被標識為P2P流量，如果是，確定所述UDP報文為P2P流量，結束當前流程；否則，執行步驟D；

D，判斷所述UDP報文所屬的會話是否滿足下載流匹配條件，如果是，更新所述相關節點上滿足下載流匹配條件的會話信息，并根據所述相關節點上滿足下載流匹配條件的會話信息判斷所述相關節點是否滿足P2P節點的匹配條件，如果是，將所述相關節點添加到所述P2P節點表中。

一種用于識別P2P流量的帶寬管理設備，所述帶寬管理設備連接被管理區域和外網；所述帶寬管理設備包括：

第一判斷單元，用于判斷當前接收的UDP報文是否為會話首報文；

第二判斷單元，用于在所述第一判斷單元的判斷結果為是時，建立并記錄所述UDP報文所屬的會話，并判斷所述UDP報文的相關節點是否在已建立的P2P節點表中，如果是，確定所述UDP報文為P2P流量，并標識所述UDP報文所屬的會話為P2P流量，結束當前流程；

第三判斷單元，用于在所述第一判斷單元的判斷結果為否時，判斷所述UDP報文所屬的會話是否被標識為P2P流量，如果是，確定所述UDP報文為P2P流量，結束當前流程；

第四判斷單元，用于在所述的第三判斷單元的判斷結果為否時，判斷所述UDP報文所屬的會話是否滿足下載流匹配條件；

第五判斷單元，用于在所述第四判斷單元的判斷結果為是時，更新所述相關節點上滿足下載流匹配條件的會話信息，并根據所述相關節點上滿足下載流匹配條件的會話信息判斷所述相關節點是否滿足P2P節點的匹配條件，如果是，將該相關節點添加到所述P2P節點表中。