技術領域

本發明是一種在應用于互聯網流量管理的P2P流量識別方法，在保證效率的前提下，提高了識別準確性，屬于P2P網絡技術領域。

?

背景技術

近年來P2P技術的快速發展給用戶帶來了豐富和便捷的網絡共享資源，在現在Internet中，P2P網絡流量已經占有現有互聯網網絡帶寬的80%以上，如P2P網絡共享系統（BT、EMULE、EDonkey、ARES等）、P2P語音通信軟件（如SKYPE、MSN、QQ、Gtalk等）、P2P視頻點播系統（PPLIVE、PPSTREAM等）和CDN系統等，并且P2P網絡的開放性引發了帶寬、安全等方面的問題。如何對P2P流量進行識別和進一步的管理和控制，并將其進行有效合理的應用成為亟待解決的問題。

本發明結合P2P網絡首先分析目前典型P2P流量檢測技術的優缺點，在此基礎上，提出了一種基于DPI和DFI的P2P流量識別方法，通過有效結合DPI識別精度高及DFI能識別未知和加密流量的優點，可同時對網絡流量進行三層過濾，減少了后續DPI檢測和DFI檢測的工作負載。

目前P2P協議識別技術主要分為三大類：基于端口的識別技術，其主要針對特定應用；基于協議的深層數據包進行識別，主要針對通信協議中的特殊報文；基于流量的特殊性，即針對流量特征進行識別；上述三類識別技術各有優勢。

與本發明相關的現有技術分析

針對P2P流量的識別方法常見的主要有三種，下面分別介紹：

1）基于端口的識別技術，針對特定應用，基于通信端口的分析方法，簡單的說就是通過檢查網絡中通信節點之間的交互協議的端口號，如TCP的端口號，從而實現對特定P2P應用的識別。這種分析方法優勢在于協議分析的直接性、有效性、快速性，但隨著P2P網絡中開始應用可變端口號，甚至是動態端口號（動態端口的范圍從1024到65535，這些端口號一般不會固定地分配給某個服務，大部分的應用服務都可以使用這類端口。一旦運行當中的程序向該程序所在系統提出訪問網絡的申請，那么該系統就會從這些端口號中分配一個空閑端口供該程序使用；如1024端口就是分配給第一個向系統發出申請的程序，在關閉程序進程后，就會釋放所占用的端口號），其導致直接基于端口號進行P2P協議識別的P2P流量識別方案的失敗；

2）基于協議的深層數據包進行識別，針對通信協議中的特殊報文，深層數據包檢測技術DPI，該技術是一種基于應用層的流量檢測和控制技術，該技術需要對IP數據包的載荷（payload）進行組合、分析以確定該數據包的應用類型。當IP數據包、TCP或UDP數據流通過基于DPI技術的協議識別或者網絡帶寬管理系統時，系統首先深入讀取IP包載荷的內容，然后對應用層信息進行重組，從而還原出整個應用程序的內容，再對照識別庫進行協議比對，并進行相應的處理操作。基于深度數據包解析的P2P協議識別技術可以精確地定位每一類已經識別的協議，這是DPI識別的最大優勢，同時還可以實時解析該協議的運行流程，但基于DPI的識別技術需要存儲一個已識別的協議特征庫，用于特征比對，因此無法用于識別未知協議；

3）基于流量的特殊性，即基于流量特征的協議識別技術DFI，其通過獲取網絡數據包中各種不同類型流量所表現出來的不同的流量屬性特征，從而根據這些特征以確定各種流量的應用類別的一種協議分析方法，但基于DFI技術的P2P協議識別對協議的分類則相對較弱，對某些比較相似的P2P協議，很難做到有效區分，因此單純的DFI技術更適合于對P2P整體數據流的識別，而不適合于對某個P2P協議的精確識別。

以上DPI和DFI兩種方法各有優缺點，表1對兩種方法進行了比較。

?

表1??DPI技術和DFI技術特性對比