專利名稱:一種基于實(shí)時(shí)行為特征識(shí)別p2p流量的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別涉及一種基于實(shí)時(shí)行為特征識(shí)別P2P流量的方法。
背景技術(shù):
傳統(tǒng)的P2P流量識(shí)別方法主要依靠應(yīng)用層數(shù)據(jù)特征檢測法���、固定端口檢測法等方法,依靠應(yīng)用層數(shù)據(jù)特征檢測法只能識(shí)別出P2P軟件連接固定域名或者主機(jī)時(shí)的流量,而對(duì)于固定端口檢測法���,目前大多數(shù)P2P協(xié)議使用隨機(jī)端口或協(xié)議偽裝技術(shù),此方法的精度很差����。為了有效地對(duì)P2P流量進(jìn)行識(shí)別�,又提出了端口關(guān)聯(lián)或者數(shù)據(jù)傳輸關(guān)聯(lián)的方法����,端口關(guān)聯(lián)的前提是監(jiān)聽端口或者新建的連續(xù)端口所屬的連接必須滿足至少有一條連接能被內(nèi)容識(shí)別的條件,否則將無法關(guān)聯(lián)���。而數(shù)據(jù)傳輸關(guān)聯(lián)的前提是必須首先滿足P2P流量的某些共同特征����,但這些共同特征并不適用于所有的P2P流量���,比如共同特征的條件要求協(xié)議端口大于4096���,但并不是所有的P2P流量都能滿足這個(gè)條件。也就是說����,端口關(guān)聯(lián)或者數(shù)據(jù)傳輸關(guān)聯(lián)都必須在滿足某種前提條件的情況下才能進(jìn)行關(guān)聯(lián),如果不滿足這些條件�,這些P2P流量將不能被成功識(shí)別。
發(fā)明內(nèi)容
(一 )所要解決的技術(shù)問題本發(fā)明的目的為提供一種利用實(shí)時(shí)行為特征識(shí)別P2P流量的方法�,解決了不滿足端口關(guān)聯(lián)和數(shù)據(jù)傳輸關(guān)聯(lián)的前提條件但又屬于P2P流量的識(shí)別問題�。( 二 )技術(shù)方案本發(fā)明提供了一種基于實(shí)時(shí)行為特征識(shí)別P2P流量的方法����,所述方法包括:S1、獲取當(dāng)前IP下所有連接的信息��;S2�����、根據(jù)獲取的連接信息�,判斷連接的端口是否出現(xiàn)了聚集分布現(xiàn)象或序列分布現(xiàn)象���;S3����、查看出現(xiàn)端口聚集分布現(xiàn)象或序列分布現(xiàn)象的連接的所屬應(yīng)用�,若出現(xiàn)P2P應(yīng)用,則將所述連接識(shí)別為所述P2P應(yīng)用���,若未出現(xiàn)P2P應(yīng)用����,則將所述連接識(shí)別為“其它P2P應(yīng)用”; S4����、對(duì)所述“其它P2P應(yīng)用”進(jìn)行連續(xù)抽樣跟蹤,并進(jìn)行關(guān)聯(lián)識(shí)別���。其中����,步驟SI中的所述信息包括:連接的五元組信息����、所屬應(yīng)用和創(chuàng)建時(shí)間。其中�,所述步驟S2包括:若連接為UDP連接,則統(tǒng)計(jì)相同端口上連接的個(gè)數(shù)�����,根據(jù)所述連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例來判斷是否出現(xiàn)端口的聚集分布現(xiàn)象���;若連接為TCP連接�����,則根據(jù)鄰近端口上連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例和連接的時(shí)間分布判斷是否出現(xiàn)端口的序列分布現(xiàn)象�����。(三)有益效果
傳統(tǒng)的內(nèi)容識(shí)別只能識(shí)別P2P協(xié)議的很少一部分流量�,而不滿足端口關(guān)聯(lián)和數(shù)據(jù)傳輸關(guān)聯(lián)的前提條件但又確實(shí)屬于P2P流量的連接并不在少數(shù),本發(fā)明提出了一種利用實(shí)時(shí)行為特征識(shí)別P2P協(xié)議的方法�����,與傳統(tǒng)方法相比�,這種發(fā)明可以拋棄端口關(guān)聯(lián)和數(shù)據(jù)傳輸關(guān)聯(lián)“先識(shí)別其中一部分”的約束,直接將符合現(xiàn)象的流量識(shí)別成“其它P2P應(yīng)用”�,然后再進(jìn)行關(guān)聯(lián)識(shí)別,從而提高協(xié)議識(shí)別率����,對(duì)P2P現(xiàn)有識(shí)別機(jī)制做了一個(gè)有效補(bǔ)充����。
圖1為本發(fā)明提供方法的步驟流程圖。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明做進(jìn)一步詳細(xì)說明�����。本發(fā)明提供一種基于實(shí)時(shí)行為特征的識(shí)別P2P流量的方法,實(shí)時(shí)行為特征為:TCP端口的序列分布和m)P端口的聚集分布�,是P2P協(xié)議的實(shí)時(shí)行為特征。TCP端口的序列分布是指:應(yīng)用的TCP協(xié)議的連接�,其端口呈現(xiàn)出序列分布現(xiàn)象,如出現(xiàn)好多端口分別為4945�����、4947����、4912、4943等的TCP連接��,即端口鄰近��;UDP端口的聚集分布是指:應(yīng)用的UDP協(xié)議的連接��,其端口完全一樣����,如出現(xiàn)好多端口均為4015的UDP連接。如圖1所示�����,該方法的步驟為:S1、獲取當(dāng)前IP下所有連接的信息�;獲取所有連接的信息,信息包括:連接的五元組信息���,連接的創(chuàng)建時(shí)間����,連接所屬的應(yīng)用等��。S2��、根據(jù)獲取的連接信息��,判斷連接的端口是否出現(xiàn)了聚集分布現(xiàn)象或序列分布現(xiàn)象�;根據(jù)獲取的連接信息,判斷若連接為UDP連接�����,則統(tǒng)計(jì)相同端口上連接的個(gè)數(shù)���,根據(jù)所述連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例來判斷是否出現(xiàn)端口的聚集分布現(xiàn)象;若連接為TCP連接�����,則根據(jù)鄰近端口上連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例和連接的時(shí)間分布判斷是否出現(xiàn)端口的序列分布現(xiàn)象。這里并不是所有連接都需判斷�,只對(duì)需要關(guān)注的連接包括P2P協(xié)議、未知協(xié)議�、數(shù)據(jù)傳輸協(xié)議的連接進(jìn)行判斷。具體判斷UDP端口聚集現(xiàn)象的過程:一條UDP連接�,獲取它的五元組信息,進(jìn)而得知連接的端口����,假設(shè)為A,當(dāng)來下一條UDP連接時(shí)����,獲取它的五元組信息,如果它的端口也是A����,以此類推,若出現(xiàn)端口都為A的UDP連接占該IP下所有連接達(dá)到一定的比率時(shí)����,那就認(rèn)為這些連接的端口出現(xiàn)了聚集分布,這里“一定的比率”會(huì)根據(jù)實(shí)驗(yàn)結(jié)果不斷調(diào)試,在實(shí)驗(yàn)結(jié)果為最佳的情況下取值�����;判斷TCP端口的序列分布現(xiàn)象的過程:一條TCP連接�,獲取到它的五元組信息,得知這條連接的端口����,假設(shè)為4015,當(dāng)來下一條連接時(shí)�����,獲取到它的五元組信息��,假設(shè)它的端口是4018����,以此類推,若出現(xiàn)端口都在一定的范圍內(nèi)即端口相鄰(比如端口差值為正負(fù)32)的連接占該IP下所有連接達(dá)到一定的比率時(shí)����,且這些連接的創(chuàng)建時(shí)間必須接近,這時(shí)就認(rèn)為這些連接的端口出現(xiàn)了序列分布����,這里采用多個(gè)條件約束,使識(shí)別更精確�����,說明在短時(shí)間范圍內(nèi)出現(xiàn)了端口的序列分布�����。S3���、查看出現(xiàn)端口聚集分布現(xiàn)象或序列分布現(xiàn)象的連接的所屬應(yīng)用����,若出現(xiàn)P2P應(yīng)用�����,則將所述連接識(shí)別為所述P2P應(yīng)用����,若未出現(xiàn)P2P應(yīng)用,則將所述連接識(shí)別為“其它P2P應(yīng)用”�����;當(dāng)出現(xiàn)端口分布現(xiàn)象時(shí),如果這些連接中所屬的應(yīng)用為P2P應(yīng)用�,如迅雷,那么這些連接都被識(shí)別為迅雷���,如果不是P2P應(yīng)用而為未知應(yīng)用或數(shù)據(jù)傳輸應(yīng)用���,那么這些連接都被識(shí)別為“其它P2P應(yīng)用”。S4��、對(duì)所述“其它P2P應(yīng)用”進(jìn)行連續(xù)抽樣跟蹤����,并進(jìn)行關(guān)聯(lián)識(shí)別。針對(duì)“其它P2P應(yīng)用”的連接里面的數(shù)據(jù)包����,比如:一條連接的第I個(gè)包參與一次識(shí)別,第8個(gè)包參與一次識(shí)別�,第16個(gè)包參與一次識(shí)別……而并不是每個(gè)包都進(jìn)行識(shí)別流程。抽樣跟蹤是為了節(jié)省性能�����,如果“其它P2P應(yīng)用”的連接的每個(gè)數(shù)據(jù)包都進(jìn)行關(guān)聯(lián)識(shí)別的流程,會(huì)很耗費(fèi)性能而且沒有必要。本發(fā)明的最終目的是為了識(shí)別出具體的P2P應(yīng)用,本發(fā)明中先將連接識(shí)別為“其它P2P應(yīng)用”����,然后使用關(guān)聯(lián)機(jī)制做進(jìn)一步的識(shí)別���,提高了識(shí)別精度,對(duì)現(xiàn)有識(shí)別的方法進(jìn)行了補(bǔ)充。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�����,應(yīng)當(dāng)指出��,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說����,在不脫離本發(fā)明技術(shù)原理的前提下,還可以做出若干改進(jìn)和替換,這些改進(jìn)和替換也應(yīng)視為本發(fā)明的保護(hù)范圍。`
權(quán)利要求
1.一種基于實(shí)時(shí)行為特征識(shí)別P2P流量的方法,其特征在于����,所述方法包括: 51��、獲取當(dāng)前IP下所有連接的信息; 52��、根據(jù)獲取的連接信息,判斷連接的端口是否出現(xiàn)了聚集分布現(xiàn)象或序列分布現(xiàn)象; 53���、查看出現(xiàn)端口聚集分布現(xiàn)象或序列分布現(xiàn)象的連接的所屬應(yīng)用,若出現(xiàn)P2P應(yīng)用,則將所述連接識(shí)別為所述P2P應(yīng)用,若未出現(xiàn)P2P應(yīng)用,則將所述連接識(shí)別為“其它P2P應(yīng)用”; 54���、對(duì)所述“其它P2P應(yīng)用”進(jìn)行連續(xù)抽樣跟蹤,并進(jìn)行關(guān)聯(lián)識(shí)別。
2.如權(quán)利要求1所述方法���,其特征在于,步驟SI中的所述信息包括:連接的五元組信息、所屬應(yīng)用和創(chuàng)建時(shí)間。
3.如權(quán)利要求1所述方法��,其特征在于���,所述步驟S2包括:若連接為UDP連接�,則統(tǒng)計(jì)相同端口上連接的個(gè)數(shù),根據(jù)所述連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例來判斷是否出現(xiàn)端口的聚集分布現(xiàn)象;若連接為TCP連接,則根據(jù)鄰近端口上連接的個(gè)數(shù)占所述當(dāng)前IP下的所有連接的比例和連接的時(shí)間分布判斷是否出現(xiàn)端口的序列分布現(xiàn)象。
全文摘要
本發(fā)明提供了一種基于實(shí)時(shí)行為特征識(shí)別P2P流量的方法,該方法包括獲取當(dāng)前IP下所有連接的信息��;根據(jù)獲取的連接信息�,判斷連接的端口是否出現(xiàn)了聚集分布現(xiàn)象或序列分布現(xiàn)象���;查看出現(xiàn)端口聚集分布現(xiàn)象或序列分布現(xiàn)象的連接的所屬應(yīng)用,若出現(xiàn)P2P應(yīng)用����,則將所述連接識(shí)別為所述P2P應(yīng)用��,若未出現(xiàn)P2P應(yīng)用,則將所述連接識(shí)別為“其它P2P應(yīng)用”;對(duì)所述“其它P2P應(yīng)用”進(jìn)行連續(xù)抽樣跟蹤�,并進(jìn)行關(guān)聯(lián)識(shí)別�。通過本發(fā)明解決了不滿足端口關(guān)聯(lián)和數(shù)據(jù)傳輸關(guān)聯(lián)的前提條件但又屬于P2P流量的識(shí)別問題。
文檔編號(hào)H04L12/26GK103200045SQ20131009461
公開日2013年7月10日 申請(qǐng)日期2013年3月22日 優(yōu)先權(quán)日2013年3月22日
發(fā)明者楊宇云, 董茂培, 陳金達(dá), 余兆, 許晶, 劉偉, 祝方方 申請(qǐng)人:漢柏科技有限公司