技術領域

本發(fā)明是一種對網絡流量中的ARES(阿瑞斯)協(xié)議特定報文進行識別的解決方案。主要用于解決對ARES協(xié)議特定報文進行識別的問題，進而服務于ARES協(xié)議分析系統(tǒng)，屬于計算機網絡流量識別和監(jiān)控領域。

背景技術

當今P2P的應用已經是非常普遍的事情，然而P2P的廣泛應用也著實讓寬帶運營商感到十分為難。伴隨著P2P應用的不斷增加，普通互聯(lián)網應用將和大量P2P應用共享有限的帶寬資源，這進一步加劇了帶寬的瓶頸，同時P2P應用對帶寬資源的無休止搶占也必將導致建設者的投入和收入不能成正比增加，從而影響產業(yè)鏈上建設環(huán)節(jié)的積極性，導致整個產業(yè)環(huán)境不能夠健康良性地發(fā)展。如果仍然延續(xù)目前的“盡力而為”模式，必將導致普通互聯(lián)網應用服務質量的下降，同時損害了ISP的利益。另一方面，P2P環(huán)境下文件共享的方便和選路機制的快速，為網絡病毒和不健康信息等也提供了更好的入侵機會。目前，根據(jù)幾個大型ISP的最近測量顯示，P2P流量已經占據(jù)了互聯(lián)網流量的60％甚至70％以上的帶寬，這就迫切要求我們建立一個緩存系統(tǒng)來對P2P網絡進行優(yōu)化。要實現(xiàn)這樣一個緩存系統(tǒng)，關鍵是解決對Internet中P2P協(xié)議進行識別的問題。實現(xiàn)P2P流量的準確識別，對于有效管理網絡和合理利用網絡資源都具有非常重要的意義。

DPI(深層數(shù)據(jù)包掃描)是通過對數(shù)據(jù)包應用層協(xié)議的檢測解析發(fā)現(xiàn)P2P應用。通過掃描數(shù)據(jù)包中應用層數(shù)據(jù)，若發(fā)現(xiàn)已知P2P協(xié)議的典型特征串，則可認為該數(shù)據(jù)流屬于P2P應用。這種技術使用一個載荷特征庫存儲載荷特征串，符合載荷特征串的數(shù)據(jù)包即視為P2P數(shù)據(jù)包。例如在一個數(shù)據(jù)包中若發(fā)現(xiàn)“BitTorrent?protocol”字符串，則可以認為該數(shù)據(jù)流屬于BitTorrent應用。IPP2P是通過應用層深層掃描來識別P2P的一個開源項目，它的目標就是在IP流量中識別出P2P數(shù)據(jù)。實現(xiàn)方式是通過一個新的規(guī)則匹配模塊來擴展Netfilter/iptables框架，因此能很容易的集成到現(xiàn)有的Linux防火墻中去，并通過一定的過濾規(guī)則來使用它。IPP2P通過合適的匹配模式，對數(shù)據(jù)包進行深層掃描，來識別P2P流量。在識別的基礎上可將該P2P流丟棄、降低優(yōu)先級、限制帶寬，從而改善網絡性能。

Ares的發(fā)展始于2002年，原本在Gnutella網絡上運營。6個月后，轉換成葉節(jié)?點和超級節(jié)點的網絡和架構。Ares(Ares?Galaxy)是一個免費的帶聊天室和共享文件功能的P2P軟件。支持多種格式，幾乎所有的音樂、影片、圖片、文件、軟件等它都下載得到。ARES的協(xié)議特征及其識別比當前流行其它P2P協(xié)議更加難以確定。目前，國內外對Kazaa、Gnutella、eDonkey、eMule和BitTorrent等協(xié)議的特征及其識別都有一定的研究，而對于ARES協(xié)議的研究甚少，在當前的搜索引擎中幾乎搜不到對于ARES協(xié)議的研究資料。這一點值得國內外P2P方面的科研人員引起重視，需要大家共同來做好對ARES協(xié)議的研究。

發(fā)明內容

技術問題：本發(fā)明的目的是在自主分析ARES協(xié)議特征的基礎上，提供了一種基于阿瑞斯報文特征字的協(xié)議識別方法，用于解決當前國內外對ARES協(xié)議研究甚少以及對其識別困難等問題。本發(fā)明可高效地識別出ARES協(xié)議的各類報文流量，進而服務于ARES協(xié)議分析系統(tǒng)。

技術方案：本發(fā)明首先對網絡中的流量進行大類的區(qū)分，然后通過對具體的ARES協(xié)議及其對應的ARES系統(tǒng)的載荷進行特征提取，建立特征庫。對于流經的實時網絡流，采用模式匹配算法，判斷其中是否包含ARES協(xié)議特征庫中的特征串。如果特征匹配成功，該網絡流就是ARES數(shù)據(jù)。本發(fā)明的識別功能部分采用DPI掃描技術，根據(jù)固定位特征字來協(xié)議識別ARES特定網絡服務中一系列報文。

本發(fā)明充分利用了Linux系統(tǒng)中的Netfilter對網絡流量的實時處理以及可擴展性，來實現(xiàn)ARES流量的實時識別和測量。為了實現(xiàn)實時的ARES協(xié)議識別系統(tǒng)，必須實時地統(tǒng)計流量信息，并對統(tǒng)計的流量信息按照網絡流量測量指標進行數(shù)據(jù)處理。Netfilter是Linux內核里面一套封包過濾框架，能夠對流經網絡接口的所有封包進行實時檢測，保證系統(tǒng)的安全。Linux系統(tǒng)良好的開放性和可擴展性也為利用它來實施流量測量提供了便利。

基于ARES協(xié)議特征字的協(xié)議識別的實現(xiàn)方法為：

步驟1).進行需求分析，對ARES協(xié)議識別系統(tǒng)需要完成的功能進行分析，并生成需求分析文檔；

步驟2).按照步驟1的分析文檔設計模塊，對各模塊的功能進行詳細分析，生成各個模塊之間的邏輯關系和功能說明文檔；