技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用領(lǐng)域，特別是涉及一種點(diǎn)對(duì)點(diǎn)流量識(shí)別方法和裝置。

背景技術(shù)

點(diǎn)對(duì)點(diǎn)（Peer-to-Peer，P2P）技術(shù)是一種網(wǎng)絡(luò)新技術(shù)，用戶無需連接到服務(wù)器，可以直接通過網(wǎng)絡(luò)連接到其他用戶的計(jì)算機(jī)進(jìn)行共享和交互。因此，P2P技術(shù)主要依賴于網(wǎng)絡(luò)中參與者的計(jì)算能力和帶寬，而不是幾臺(tái)服務(wù)器。P2P技術(shù)將人們通過互聯(lián)網(wǎng)直接聯(lián)系起來，使得網(wǎng)絡(luò)的溝通變得容易、更直接。

隨著P2P技術(shù)的興起，P2P流量超過了超文本傳送協(xié)議（hypertext?transport?protocol，HTTP）和文件傳輸協(xié)議（File?Transfer?Protocol,FTP）占據(jù)了整個(gè)網(wǎng)絡(luò)流量的一半以上，給網(wǎng)絡(luò)帶來了負(fù)擔(dān)，同時(shí)也影響其他網(wǎng)絡(luò)應(yīng)用。因此，對(duì)P2P流量的識(shí)別和監(jiān)控顯得尤為重要。傳統(tǒng)的P2P流量識(shí)別技術(shù)包括深度包檢測技術(shù)（deep?packet?inspection，DPI)和深度流檢測技術(shù)（Deep/Dynamic?Flow?Inspection，DFI），兩種P2P流量識(shí)別技術(shù)都是細(xì)粒度識(shí)別技術(shù)。

深度包檢測技術(shù)（deep?packet?inspection，DPI)，是一種基于應(yīng)用層的流量檢測和控制技術(shù)，當(dāng)P2P數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，系統(tǒng)讀取P2P流量的單個(gè)數(shù)據(jù)包的屬性，并提取規(guī)則化特征，所述屬性特征包括：協(xié)議類型、固定的數(shù)據(jù)包收發(fā)端口號(hào)、固定的數(shù)據(jù)包載荷長度和固定的數(shù)據(jù)包載荷關(guān)鍵字（串）信息等，將所提取的屬性特征與后臺(tái)數(shù)據(jù)庫進(jìn)行匹配對(duì)比，對(duì)P2P流量進(jìn)行識(shí)別檢測。

使用深度包檢測技術(shù)識(shí)別P2P流量，需要工程師不斷觀察流量樣本數(shù)據(jù)，比較并提取出流量樣本中多個(gè)數(shù)據(jù)包中同時(shí)含有的屬性特征，這是一個(gè)繁瑣復(fù)雜的過程，即便是有經(jīng)驗(yàn)的工程師也常需要花費(fèi)較多的時(shí)間，而且分析過程對(duì)人員依賴較大，因此，其屬性特征分析結(jié)果具有一定的隨意性，不同人員可能分析出不同屬性特征，導(dǎo)致P2P流量識(shí)別精度不高。

深度流檢測技術(shù)（Deep/Dynamic?Flow?Inspection，DFI），一種基于流量行為的應(yīng)用識(shí)別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同。DFI挖掘P2P流量的數(shù)據(jù)流的整體屬性特征，所述屬性特征包括：五元組信息、數(shù)據(jù)包長度信息、發(fā)送時(shí)間（間隔、時(shí)長等）信息和連續(xù)包長特征等。

使用深度流檢測技術(shù)識(shí)別P2P流量，需要同時(shí)比對(duì)大量數(shù)據(jù)流樣本，才可能提取出對(duì)應(yīng)的屬性特征，并對(duì)該屬性特征對(duì)應(yīng)的P2P流量進(jìn)行匹配識(shí)別。對(duì)任何未知流量或特征，如：新版本更新或者新的資源連接引入新的微小屬性特征值變動(dòng)，都會(huì)導(dǎo)致P2P流量無法識(shí)別。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種點(diǎn)對(duì)點(diǎn)流量識(shí)別的方法和裝置，建立知識(shí)庫作為統(tǒng)一標(biāo)準(zhǔn)，提高點(diǎn)對(duì)點(diǎn)流量識(shí)別的精度。

一種點(diǎn)對(duì)點(diǎn)流量識(shí)別的方法，所述方法包括：

獲取已知數(shù)據(jù)流樣本文件；

根據(jù)已知數(shù)據(jù)流樣本文件建立知識(shí)庫，所述知識(shí)庫包括至少一個(gè)已知屬性向量列表，每個(gè)已知屬性向量列表中包含的預(yù)設(shè)屬性特征的個(gè)數(shù)和種類相同；

獲取未知數(shù)據(jù)流；

建立未知數(shù)據(jù)流中的未知屬性向量列表，所述未知屬性向量列表與每個(gè)已知屬性向量列表中包含的預(yù)設(shè)屬性特征的個(gè)數(shù)和種類相同；

判斷未知屬性向量列表與知識(shí)庫是否匹配，如果是，則未知數(shù)據(jù)流為點(diǎn)對(duì)點(diǎn)流量。

優(yōu)選的，所述根據(jù)已知數(shù)據(jù)流樣本文件建立知識(shí)庫具體包括：

將已知數(shù)據(jù)流樣本文件整理成多條已知數(shù)據(jù)流；

提取每條已知數(shù)據(jù)流中多個(gè)預(yù)設(shè)屬性特征的已知特征值；

將多個(gè)已知特征值按照所屬的點(diǎn)對(duì)點(diǎn)流量特征通過機(jī)器學(xué)習(xí)算法進(jìn)行分類，將每個(gè)點(diǎn)對(duì)點(diǎn)流量特征所包含的多個(gè)預(yù)設(shè)屬性特征和每個(gè)預(yù)設(shè)屬性特征對(duì)應(yīng)的多個(gè)已知特征值根據(jù)作為一個(gè)已知屬性向量列表；

將多個(gè)已知屬性向量列表輸出作為知識(shí)庫。

優(yōu)選的，所述將已知數(shù)據(jù)流樣本文件整理成多條已知數(shù)據(jù)流具體為：

將原IP地址、原端口、目的IP地址、目的端口和傳輸層協(xié)議號(hào)相同的數(shù)據(jù)流樣本文件中的數(shù)據(jù)包劃分到同一條已知數(shù)據(jù)流。

優(yōu)選的，所述建立未知數(shù)據(jù)流中的未知屬性向量列表具體為：

提取未知數(shù)據(jù)流中多個(gè)預(yù)設(shè)屬性特征的未知特征值；

將所述多個(gè)預(yù)設(shè)屬性特征和每個(gè)預(yù)設(shè)屬性特征對(duì)應(yīng)的一個(gè)未知特征值輸出作為未知數(shù)據(jù)流中的未知屬性向量列表。

優(yōu)選的，所述判斷未知屬性向量列表與知識(shí)庫是否匹配具體包括：

計(jì)算未知屬性向量與知識(shí)庫中每一個(gè)已知屬性向量的匹配度；