技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種P2P流量首報文識別的方法、裝置、設(shè)備和系統(tǒng)。

背景技術(shù)

近年來，計算機(jī)網(wǎng)絡(luò)中的各種對等網(wǎng)絡(luò)(Peer-to-Peer，P2P)應(yīng)用越來越豐富，出現(xiàn)了許多新的應(yīng)用類型和協(xié)議，這些P2P應(yīng)用消耗了大量的網(wǎng)絡(luò)帶寬。由于不同的網(wǎng)絡(luò)應(yīng)用對帶寬資源的需求不一樣，如網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電話(VOIP，Voice?over?Internet?Protocol)、視頻會議等實時應(yīng)用對網(wǎng)絡(luò)傳輸時延、抖動等特性較為敏感，當(dāng)網(wǎng)絡(luò)上有P2P應(yīng)用流量等高流量型應(yīng)用時，實時應(yīng)用的使用就會受很大的影響。

為了解決上述問題，現(xiàn)有技術(shù)中，通過為企業(yè)、網(wǎng)吧租用兩條或多條廣域網(wǎng)鏈路，其中一條高質(zhì)量線路用于傳輸對網(wǎng)絡(luò)傳輸時延、抖動等特性敏感的關(guān)鍵應(yīng)用，另一條低質(zhì)量線路用于傳輸P2P應(yīng)用等。此種情況，需要出口網(wǎng)關(guān)設(shè)備能夠根據(jù)應(yīng)用類型進(jìn)行策略路由。由于出口網(wǎng)關(guān)設(shè)備通常部署網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network?Address?Translation)功能，連接一旦建立，雖然能夠根據(jù)應(yīng)用類型的識別結(jié)果修改上行流量的線路，但是真正消耗帶寬的下行流量仍然占用連接建立時選擇的線路。因此，為了有效地利用網(wǎng)絡(luò)資源，必須對P2P應(yīng)用流量進(jìn)行有效地管理，而其前提是能夠?qū)崿F(xiàn)對P2P流量的高效、準(zhǔn)確的識別。

傳統(tǒng)的P2P流量識別方法可以分為三類：端口映射(Port?Mapping)、深度數(shù)據(jù)包檢測(DPI，Deep?Packet?Inspection)、流量特征檢測(DFI，Deep?Flow?Identify)。其中：

端口映射方法是根據(jù)各種P2P應(yīng)用所使用的傳輸層端口進(jìn)行識別，但現(xiàn)有的P2P應(yīng)用為了躲避檢測，都已經(jīng)開始使用動態(tài)端口，甚至使用其它網(wǎng)絡(luò)應(yīng)用的端口，如HTTP的80端口，因此該方法無法準(zhǔn)確地識別P2P流量；

深度數(shù)據(jù)包檢測方法是通過分析應(yīng)用層載荷、提取各種P2P應(yīng)用的特征串進(jìn)行識別，該方法準(zhǔn)確性高、易于實現(xiàn)，其缺點是只能對以明文方式傳輸?shù)腜2P應(yīng)用進(jìn)行檢測，而大多數(shù)P2P應(yīng)用已經(jīng)開始采用模糊加密協(xié)議傳輸數(shù)據(jù)。對于TCP連接，當(dāng)獲取到應(yīng)用層載荷的時候，已經(jīng)經(jīng)過了三次握手過程，因此無法在連接建立時識別出P2P流量；

流量特征檢測方法是通過對網(wǎng)絡(luò)流量中所有數(shù)據(jù)包進(jìn)行統(tǒng)計分析，如數(shù)據(jù)包大小、間隔時間、連接數(shù)量等，利用機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等方法，發(fā)現(xiàn)P2P應(yīng)用的流量特征，以此來檢測P2P應(yīng)用的流量。這種方法能夠檢測未知和加密的P2P流量，但是需要對大量數(shù)據(jù)包進(jìn)行統(tǒng)計分析才能做出判斷，處理的數(shù)據(jù)量較大，且存在一定的誤判率，同時，流量特征檢測方法只能在連接建立以后提取P2P應(yīng)用的流量特征，而無法在連接建立時識別出P2P流量。另外，這類方法的檢測依據(jù)是P2P應(yīng)用的流量特征，這是一個統(tǒng)計量，無法準(zhǔn)確區(qū)分各種具體的P2P應(yīng)用流量。

除了以上三種方法，近年來出現(xiàn)了一種利用主動探測識別P2P流量的方法。該方法首先通過深度數(shù)據(jù)包檢測識別明文P2P流量，然后結(jié)合流量特征檢測方法，標(biāo)記出疑似P2P流的未知連接，接著向外網(wǎng)對端發(fā)送特定P2P應(yīng)用協(xié)議的交互報文進(jìn)行主動探測(如發(fā)送電驢edonkey協(xié)議的Hello報文)，如果對端的回應(yīng)報文是該特定P2P協(xié)議交互報文的回應(yīng)(如回應(yīng)電驢edonkey協(xié)議的Hello?answer報文)，則可以判斷出該流量為P2P流量。當(dāng)所有P2P協(xié)議的交互特征庫都嘗試探測后，仍然無法收到相應(yīng)P2P應(yīng)用協(xié)議的應(yīng)答報文，則認(rèn)為該連接為未知應(yīng)用。相比于流量特征檢測方法，主動探測方法能夠準(zhǔn)確地識別出加密P2P流量，并且區(qū)分各種具體的P2P應(yīng)用。但是，這種識別方式是在連接建立以后進(jìn)行的探測，無法做到在建立連接時識別出P2P流量，等到識別出來后，可能這條連接已經(jīng)進(jìn)行了一定量的下載。另外，一個內(nèi)網(wǎng)P2P用戶通常向數(shù)量龐大的外網(wǎng)對端請求資源，隨著加密P2P流量和P2P應(yīng)用協(xié)議種類的增加，需要發(fā)送的主動探測流量可能消耗大量的出口帶寬，無法實現(xiàn)有效的流量管理。

綜上所述，如何在連接建立時對P2P流量進(jìn)行準(zhǔn)確識別，稱為現(xiàn)有技術(shù)中亟待解決的技術(shù)問題之一。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種P2P流量識別方法、裝置、網(wǎng)關(guān)設(shè)備和系統(tǒng)，用以在連接建立時對P2P流量進(jìn)行準(zhǔn)確識別，從而滿足根據(jù)應(yīng)用類型進(jìn)行策略路由的需要，達(dá)到充分利用多條線路、保障關(guān)鍵應(yīng)用正常運(yùn)行的目的。

本發(fā)明實施例提供一種P2P流量識別方法，包括：