技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種深度包檢測(cè)的方法。

背景技術(shù)

隨著近年來基于P2P(peer to peer)流量模型的新型網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)絡(luò)帶寬資源的消耗速度不斷加快，網(wǎng)上傳統(tǒng)業(yè)務(wù)也受到了越來越大的沖擊和影響。P2P本身是一種很好的技術(shù)，有廣闊的使用前景，但同時(shí)P2P也是一種殺傷力很強(qiáng)的技術(shù)。目前，基于P2P的應(yīng)用多為帶寬耗盡型的下載業(yè)務(wù)，使得原本富裕的接入、匯聚和骨干帶寬資源被消耗殆盡，網(wǎng)絡(luò)鏈路經(jīng)常處于滿負(fù)荷狀態(tài)，導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量惡化(丟包率、時(shí)延及抖動(dòng)大大增加)，使部分對(duì)端到端QoS(quality of service)要求較高的語音、視頻、游戲類業(yè)務(wù)的發(fā)展受到很大影響，同時(shí)擠占了傳統(tǒng)互聯(lián)網(wǎng)應(yīng)用的帶寬資源。如何有效控制此類低價(jià)值業(yè)務(wù)流量對(duì)帶寬的侵蝕，解決骨干網(wǎng)增量不增收的現(xiàn)狀，是擺在運(yùn)營(yíng)商面前的一個(gè)現(xiàn)實(shí)問題。

深度包檢測(cè)（DPI）技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI技術(shù)的帶寬管理系統(tǒng)時(shí)，該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對(duì)OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容，然后按照系統(tǒng)定義的管理策略對(duì)流量進(jìn)行整形操作。深度包檢測(cè)法就是基于這種原理，通過檢測(cè)各種 P2P 應(yīng)用協(xié)議使用的固定特征字來識(shí)別各種 P2P應(yīng)用。

使用DPI技術(shù)能帶來以下好處：

a) 檢測(cè)準(zhǔn)確率比基于端口和流量模式的方法高， 端口的變化不會(huì)影響檢測(cè)率。

b) 能夠檢測(cè)使用最廣泛的 P2P 應(yīng)用。

c) 適合流量的精確檢測(cè)。

發(fā)明人在實(shí)現(xiàn)實(shí)際使用DPI技術(shù)時(shí)，發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在如下缺點(diǎn)：

a) 無法識(shí)別新出現(xiàn)的、經(jīng)加密的 P2P 應(yīng)用， 會(huì)出現(xiàn)漏判。

b) 協(xié)議分析和特征搜尋需要投入大量人力及時(shí)間。

c) 難以獲取加密協(xié)議的特征。

d) 特征的選擇對(duì)檢測(cè)性能有很大影響。

e) 系統(tǒng)檢測(cè)模塊需不定期地進(jìn)行升級(jí)。

f)查看應(yīng)用層的內(nèi)容涉及隱私的問題。

g)對(duì)檢測(cè)設(shè)備的處理能力要求較高。

發(fā)明內(nèi)容

本發(fā)明提供了一種利用DPI技術(shù)進(jìn)行P2P網(wǎng)絡(luò)識(shí)別的方法，包括：

步驟202、構(gòu)造將表征識(shí)別模式的正則表達(dá)式，使用有限狀態(tài)機(jī)FSM來表示所述正則表達(dá)式；

步驟204、使用二叉樹的數(shù)據(jù)結(jié)構(gòu)來存儲(chǔ)有限狀態(tài)機(jī)中的狀態(tài)轉(zhuǎn)移關(guān)系，從而使得每一個(gè)正則表達(dá)式均能由二叉樹中的一個(gè)節(jié)點(diǎn)來表示；

步驟206、獲取待測(cè)主機(jī)上當(dāng)前使用的IP連接數(shù)和當(dāng)前所使用的端口數(shù)，計(jì)算他們之間的差值；

步驟208、判斷差值的絕對(duì)值是否大于第一閾值；

步驟210、若否，則進(jìn)入步驟212；若是，則進(jìn)入步驟222；

步驟212、獲取待測(cè)主機(jī)上所有IP連接所已持續(xù)的時(shí)長(zhǎng)，將其與第二閾值比較，并統(tǒng)計(jì)時(shí)長(zhǎng)超過第二閾值的IP連接的個(gè)數(shù)；

步驟214、判斷所述超過第二閾值的時(shí)長(zhǎng)的IP連接個(gè)數(shù)是否大于第三閾值；

步驟216、若是，則進(jìn)入步驟218；若否，則進(jìn)入步驟222；

步驟218、獲取待測(cè)主機(jī)上接收和發(fā)送的報(bào)文，對(duì)報(bào)文進(jìn)行DPI處理，掃描其中的文本，進(jìn)行模式匹配，搜索所述二叉樹，將接收到的文本中的內(nèi)容和二叉樹中存儲(chǔ)的有限狀態(tài)機(jī)中的模式相比較，確定接收到的報(bào)文的模式；所述搜索所述二叉樹的方法是采用左側(cè)匹配的原則，即在二叉樹查找時(shí)使用左側(cè)最先匹配原則進(jìn)行查找；

步驟220、若識(shí)別出該報(bào)文為P2P報(bào)文，則上報(bào)該主機(jī)為P2P網(wǎng)絡(luò)，網(wǎng)絡(luò)識(shí)別結(jié)束；若非P2P報(bào)文則不進(jìn)行上報(bào)，進(jìn)入步驟222；

步驟222、不上報(bào)，網(wǎng)絡(luò)識(shí)別結(jié)束。

根據(jù)P2P網(wǎng)絡(luò)的特性決定了發(fā)生P2P連接的特性，但這些特性有可能帶來不準(zhǔn)確的結(jié)果。本發(fā)明中，通過首先判斷連接的特性，再進(jìn)行有針對(duì)性的識(shí)別的方式，有效的區(qū)別了不同情況下的網(wǎng)絡(luò)識(shí)別方式，能夠比較便捷的獲取識(shí)別結(jié)果。并且，通過正則表達(dá)式構(gòu)成的有限狀態(tài)機(jī)實(shí)現(xiàn)了DPI的處理，并使用二叉樹進(jìn)行查找，提高了查找效率，獲取了精確的處理結(jié)果。通過應(yīng)用以上技術(shù)，能夠使得在流量識(shí)別中更加準(zhǔn)確、快捷的得到識(shí)別結(jié)果，并且在識(shí)別流程上也大幅優(yōu)化，能夠更容易的在現(xiàn)有設(shè)備中實(shí)現(xiàn)。

附圖說明