【技術領域】

本發明涉及一種P2P流量識別方法及系統，尤其是涉及一種DFI?P2P流量識別方法及系統。

【背景技術】

目前主要的P2P流量識別方法可分三類，第一類基于端口的流量檢測方法；第二類基于payload的流量檢測方法，即通過識別報文中的應用層特征串來識別P2P；第三類基于流量特征的流量檢測方法，指利用網絡流量的流量特征如IP、報文長度等信息檢測P2P流量的方法。上述方法雖然能檢測P2P流量，但檢測的精度較低。

【發明內容】

為了解決上述問題，本發明的目的是提供一種P2P流量識別方法。

本發明的另一目的是提供一種P2P流量識別系統。

其中，本發明一實施方式的P2P流量識別方法包括以下步驟：

S1、正向查找，如果某個鏈接通過DPI/DFI被第一次識別出來，并且識別出來的協議類型為P2P協議，則查找同一個內網源IP地址下且源端口相同的其他鏈接；如果查找到的鏈接沒有被識別，則將所述鏈接的7層協議ID號設置成與已經識別出來的P2P協議類型一樣的值；

S2、反向查找，如果某個鏈接未被識別出來，則找同一個內網源IP地址下，且源端口相同，且4層協議也相同的其他鏈接，如果找到的其他鏈接中的某個鏈接的協議類型已經被識別，且該鏈接類型為P2P協議，則將正在創建的且未被識別出來的新的鏈接的7層協議的ID號設置成跟找到并已識別出來且具有P2P?flag的鏈接的7層協議的ID號一樣的值。

作為本發明的進一步改進，所述方法還包括：

S3、如果在S1、S2步驟中未得到合適的7層協議ID號，則繼續在同內網源IP、同源端口、不同4層協議的鏈接中查找，如果找到的某個鏈接的協議類型已經被識別出來，且該鏈接類型為P2P協議，則將這個正在創建的且未被識別出來的新的鏈接的7層協議的ID號設置成跟找到的這個已識別出來并且具有P2P?flag的鏈接的7層協議的ID號一樣的值。

作為本發明的進一步改進，所述S1步驟中，查找同一個內網源IP且源端口相同的鏈接的數量，最大100個，100個以后的則不再進行查找。

相應地，本發明一實施方式的P2P流量識別系統包括：

正向查找單元，用于正向查找，如果某個鏈接通過DPI/DFI被第一次識別出來，并且識別出來的協議類型為P2P協議，則查找同一個內網源IP地址下且源端口相同的其他鏈接；如果查找到的鏈接沒有被識別，則將所述鏈接的7層協議ID號設置成與已經識別出來的P2P協議類型一樣的值；

反向查找單元，用于反向查找，如果某個鏈接未被識別出來，則找同一個內網源IP地址下，且源端口相同，且4層協議也相同的其他鏈接，如果找到的其他鏈接中的某個鏈接的協議類型已經被識別，且該鏈接類型為P2P協議，則將正在創建的且未被識別出來的新的鏈接的7層協議的ID號設置成跟找到并已識別出來且具有P2P?flag的鏈接的7層協議的ID號一樣的值。

作為本發明的進一步改進，所述系統還包括：

其他查找單元，用于如果在正向查找單元和反向查找單元中未得到合適的7層協議ID號，則繼續在同內網源IP、同源端口、不同4層協議的鏈接中查找，如果找到的某個鏈接的協議類型已經被識別出來，且該鏈接類型為P2P協議，則將這個正在創建的且未被識別出來的新的鏈接的7層協議的ID號設置成跟找到的這個已識別出來并且具有P2P?flag的鏈接的7層協議的ID號一樣的值。

作為本發明的進一步改進，所述正向查找單元中，查找同一個內網源IP且源端口相同的鏈接的數量，最大100個，100個以后的則不再進行查找。

相比于現有技術，本發明的P2P流量識別方法及系統可較為精確的檢測P2P流量。

【附圖說明】

圖1是本發明一實施例的P2P流量識別方法的流程圖；

圖2是本發明一實施例的P2P流量識別系統的模塊圖。

【具體實施方式】

為了使本發明的目的、技術方案和優點更加清楚，下面結合附圖和具體實施例對本發明進行詳細描述。

互聯網上大量的個人用戶沒有公有IP地址，多個客戶端往往通過NAT技術共同享有一個IP，聯網方式一般都是通過局域網接入因特網。由于NAT的存在，P2P軟件可使用各種穿越NAT的技術來實現直接通信，一般來說鏈接的發起者是處于NAT后的個人用戶而不能是互聯網上的用戶。