專利名稱:P2p流量識別方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種P2P流量識別方法及系統(tǒng)�����,尤其是涉及一種DFI P2P流量識別方法及系統(tǒng)����。背景技術(shù):
目前主要的P2P流量識別方法可分三類,第一類基于端口的流量檢測方法��;第二類基于payload的流量檢測方法��,即通過識別報文中的應(yīng)用層特征串來識別P2P ;第三類基于流量特征的流量檢測方法��,指利用網(wǎng)絡(luò)流量的流量特征如IP�、報文長度等信息檢測P2P流量的方法。上述方法雖然能檢測P2P流量����,但檢測的精度較低。
發(fā)明內(nèi)容· 為了解決上述問題����,本發(fā)明的目的是提供一種P2P流量識別方法。本發(fā)明的另一目的是提供一種P2P流量識別系統(tǒng)�。其中,本發(fā)明一實施方式的P2P流量識別方法包括以下步驟
51����、正向查找,如果某個鏈接通過DPI/DFI被第一次識別出來���,并且識別出來的協(xié)議類型為P2P協(xié)議���,則查找同一個內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接;如果查找到的鏈接沒有被識別���,則將所述鏈接的7層協(xié)議ID號設(shè)置成與已經(jīng)識別出來的P2P協(xié)議類型一樣的值�;
52��、反向查找,如果某個鏈接未被識別出來����,則找同一個內(nèi)網(wǎng)源IP地址下,且源端口相同����,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個鏈接的協(xié)議類型已經(jīng)被識別�����,且該鏈接類型為P2P協(xié)議����,則將正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到并已識別出來且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值。作為本發(fā)明的進一步改進�,所述方法還包括
53、如果在SI����、S2步驟中未得到合適的7層協(xié)議ID號,則繼續(xù)在同內(nèi)網(wǎng)源IP���、同源端口�����、不同4層協(xié)議的鏈接中查找��,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來���,且該鏈接類型為P2P協(xié)議,則將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值���。作為本發(fā)明的進一步改進�����,所述SI步驟中�����,查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量���,最大100個,100個以后的則不再進行查找����。相應(yīng)地,本發(fā)明一實施方式的P2P流量識別系統(tǒng)包括
正向查找單元��,用于正向查找�����,如果某個鏈接通過DPI/DFI被第一次識別出來���,并且識別出來的協(xié)議類型為P2P協(xié)議,則查找同一個內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接����;如果查找到的鏈接沒有被識別,則將所述鏈接的7層協(xié)議ID號設(shè)置成與已經(jīng)識別出來的P2P協(xié)議類型一樣的值�;
反向查找單元,用于反向查找���,如果某個鏈接未被識別出來�����,則找同一個內(nèi)網(wǎng)源IP地址下����,且源端口相同��,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個鏈接的協(xié)議類型已經(jīng)被識別�����,且該鏈接類型為P2P協(xié)議��,則將正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到并已識別出來且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值����。作為本發(fā)明的進一步改進���,所述系統(tǒng)還包括
其他查找單元����,用于如果在正向查找單元和反向查找單元中未得到合適的7層協(xié)議ID號�����,則繼續(xù)在同內(nèi)網(wǎng)源IP��、同源端口���、不同4層協(xié)議的鏈接中查找��,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來����,且該鏈接類型為P2P協(xié)議,則將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值����。作為本發(fā)明的進一步改進,所述正向查找單元中�����,查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量���,最大100個���,100個以后的則不再進行查找。相比于現(xiàn)有技術(shù)��,本發(fā)明的P2P流量識別方法及系統(tǒng)可較為精確的檢測P2P流量�����。
圖I是本發(fā)明一實施例的P2P流量識別方法的流程 圖2是本發(fā)明一實施例的P2P流量識別系統(tǒng)的模塊圖。
具體實施方式
為了使本發(fā)明的目的���、技術(shù)方案和優(yōu)點更加清楚����,下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細(xì)描述����?���;ヂ?lián)網(wǎng)上大量的個人用戶沒有公有IP地址,多個客戶端往往通過NAT技術(shù)共同享有一個IP��,聯(lián)網(wǎng)方式一般都是通過局域網(wǎng)接入因特網(wǎng)���。由于NAT的存在�,P2P軟件可使用各種穿越NAT的技術(shù)來實現(xiàn)直接通信���,一般來說鏈接的發(fā)起者是處于NAT后的個人用戶而不能是互聯(lián)網(wǎng)上的用戶���。傳統(tǒng)通信模型與P2P通用通信模型的區(qū)別傳統(tǒng)通信模型是NAT后的節(jié)點和互聯(lián)網(wǎng)上少數(shù)幾個IP發(fā)生鏈接,該節(jié)點與這些IP發(fā)生的鏈接數(shù)較多,這是因為傳統(tǒng)流量模型中用戶要訪問的資源集中在服務(wù)器上�����,所以需要建立更多的鏈接從而獲得更高的通信帶寬�����;而傳統(tǒng)P2P通信模型是NAT后的對等點與互聯(lián)網(wǎng)上多個不同的IP地址存在鏈接����,該對等點和每個IP的鏈接數(shù)并不多,這是因為對等點總是傾向于把通信壓力分布到各個節(jié)點上���,而不是聚集到一個特定的節(jié)點����。由于大部分P2P應(yīng)用為了逃避端口檢測����,往往采用隨機選取端口的方式來指定監(jiān)聽端口,而NAT后的對等點總是主動鏈接互聯(lián)網(wǎng)上的對等點���,故隨機選取端口的方式表現(xiàn)在流量特征上就是互聯(lián)網(wǎng)上這些對等點的監(jiān)聽端口是隨機的�。源端口的選擇遵循如下規(guī)律TCP源端口隨機選擇,UDP源端口盡量使用相同的端口號��。目前大多數(shù)流控設(shè)備普遍根據(jù)上述的P2P通用通信模型而開發(fā)出的P2P通用流量檢測模塊��,下面的描述的一般P2P流量特征�,而大多數(shù)的P2P流量識別模塊也是按照這些規(guī)律特征而開發(fā)
O TCP流量特征任一時刻在檢測點觀察NAT后的P2P對等點A,A和互聯(lián)網(wǎng)上η個節(jié)點存在鏈接��,A和任意一個節(jié)點之間至多存在一條TCP鏈接���,該鏈接由A發(fā)起。如果計算這些鏈接的不同目的地址數(shù)TCP_Gdiff_dest����,不同源端口數(shù)TCP_Gdiff_sport,不同目的端口數(shù)TCP_Gdiff_dport�����,這些值滿足如下等式(n0為閥值�����,可調(diào))
TCP_Gdiff_sport= TCP_Gdiff_destTCP—Gdiff—dest= TCP—Gdiff—dport�����,n ^ nOTCP—Gdiff—dest=n
2)UDP流量特征使用與TCP流量特征相同的描述,但滿足如下等式(nl為閥值����,可
調(diào))
UDP—Gdiff—sport〈〈n
UDP—Gdiff—dest= UDP—Gdiff—dport,n ^ nlUDP—Gdi f f—dest=n
兩種流量特征的差別很小��,只在Gdiff_dport的取值上不同���,將閥值nO�����、nl設(shè)置為一個合理的值能夠使P2P和非P2P有效區(qū)分���。但是現(xiàn)在互聯(lián)網(wǎng)上一些主流P2P應(yīng)用往往是多種傳輸方式、多種資源整合技術(shù)相·結(jié)合的軟件���,這些P2P應(yīng)用所表現(xiàn)出的流量特征遠遠比一般的P2P應(yīng)用流量特征要復(fù)雜的很多�����,而本發(fā)明所要優(yōu)化就是應(yīng)用了 P2P通用流量檢測模塊后再應(yīng)用此P2P特殊流量檢測模塊�,這樣引擎設(shè)備在檢測目前互聯(lián)網(wǎng)上這些優(yōu)秀的主流P2P應(yīng)用或檢測到未知P2P應(yīng)用流量或P2P加密流量時,而避免了引擎設(shè)備所出現(xiàn)嚴(yán)重的誤判�����、漏判問題���,這也是主要針對一些主流復(fù)雜應(yīng)用的流量特征而定制�����。本發(fā)明中�����,檢測TCP流量特征
I) TCP流量特征任一時刻在檢測點觀察P2P對等點A
①假如A和互聯(lián)網(wǎng)上η個節(jié)點存在鏈接,A和任意一個節(jié)點之間存在η2(η2>1)條TCP鏈接���,該鏈接由A發(fā)起�,發(fā)起這樣的多條鏈接為P2P的多線程鏈接����,這里要引入一個變量,SP要統(tǒng)計使用多線程鏈接的不同目的地址數(shù)TCP_Tdiff_dest (設(shè)備里設(shè)為可調(diào));值滿足如下等式
2 ( TCP_Tdiff_dest(可調(diào))
2彡n2彡10(可調(diào))
②假如A和互聯(lián)網(wǎng)上η個節(jié)點存在鏈接�����,A和任意一個節(jié)點之間至多存在一條TCP鏈接,如果計算這些鏈接的不同目的地址數(shù)TCP_Pdiff_dest����,這些鏈接的目的端口將不納入判斷條件,不同源端口數(shù)TCP_Pdiff_sp0rt ;這些值滿足如下等式(n3為閥值�,可調(diào))
TCP_Pdiff_dest=n n ^ n3(n3 測試時設(shè)為 40)
TCP_Pdiff_sport= TCP_Pdiff_dest
③另外還要考慮到一種情況假如A和互聯(lián)網(wǎng)上η個節(jié)點存在鏈接,A和任意一個節(jié)點之間至多存在一條TCP鏈接����,如果計算這些鏈接的不同目的地址數(shù)TCP_Ddiff_dest (設(shè)備里設(shè)為可調(diào)),且這些鏈接的目的端口都相同�,不同源端口數(shù)TCP_Ddiff_sp0rt ;這些值滿足如下等式(n4為閥值,可調(diào))
TCP_Ddiff_dest=n n ^ n4(n4 測試時設(shè)為 5)
TCP_Ddiff_sport= TCP_Ddiff_dest
④假如A和任意一個節(jié)點之間先后存在多條TCP鏈接��,且這些鏈接的源端口不同��,目的地址與目的端口都相同����,將與此目的地址通信的所有TCP鏈接看作一個鏈接,劃入②中進行統(tǒng)計�����,查詢,判斷�;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量;(經(jīng)測試最后這樣的鏈接就只有一條)
為了提高準(zhǔn)確性����,這樣在針對單個應(yīng)用可以作相應(yīng)的的動態(tài)調(diào)節(jié)。本發(fā)明中檢測UDP流量特征①考慮到檢測點A處于公網(wǎng)上或處于常用的NAT后�,使用與P2P通用流量特征UDP流量特征相同的描述,滿足如下等式(n5為閥值�,可調(diào))
UDP_Pdiff_sport<<n
UDP—Pdiff—dest= UDP—Pdiff—dport , n ^ n5UDP—P diff_dest=n
②假如A和互聯(lián)網(wǎng)上n個節(jié)點存在鏈接,A和任意一個節(jié)點之間至多存在一條UDP鏈接�,如果計算這些鏈接的不同目的地址數(shù)UDP_Ddiff_dest (設(shè)備里設(shè)為可調(diào)),且這些鏈接的目的端口都相同�,不同源端口數(shù)UDP_Ddiff_sp0rt ;這些值滿足如下等式(n6為閥值,可調(diào))
UDP_Ddiff_dest=n n ^ n6 (n6 測試時設(shè)為 5)
UDP_Ddi f f_sport= UDP_Ddiff_dest或者
UDP_Ddiff_dest=n n ^ n6 (n6 測試時設(shè)為 10)
UDP_Ddi f f _spor t= I (這些鏈接的源端口都相同)
③考慮到一些檢測點A處于對稱NAT后���,假如檢測點A和互聯(lián)網(wǎng)上η個節(jié)點存在鏈接�����,A和任意一個節(jié)點之間至多存在一條UDP鏈接,如果計算這些鏈接的不同目的地址數(shù)UDP_Sdiff_dest,這些鏈接的源端口將不納入判斷條件�����,不同目的端口數(shù)UDP_Sdiff_dport ;這些值滿足如下等式(n7為閥值,可調(diào))
UDP_Sdiff_dest=n η 彡 n7 (n7 測試時設(shè)為 20)
UDP_S d i f f_dp or t = UDP_Sdiff_dest
④假如A和互聯(lián)網(wǎng)上n個節(jié)點存在鏈接���,A和任意一個節(jié)點之間存在多條UDP鏈接���,這樣的多條UDP鏈接的目的端口不相同,且這些鏈接的源端口都相同���,可以將與此目的地址通信的所有UDP鏈接看作一個鏈接����,劃入①中進行統(tǒng)計����,查詢,判斷���;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量���;計算這些鏈接的不同目的地址數(shù)UDP_PHdiff_dest,這個值滿足如下等式(n8為閥值�����,可調(diào))
UDP_PHdiff_dest=n n ^ n8 (n8 測試時設(shè)為 5)
這一情況主要針對迅雷而寫,且發(fā)現(xiàn)大量的這樣的檢測點A和任意一個節(jié)點之間存在2條UDP鏈接�,其中一條鏈接僅是A —B的單方向數(shù)據(jù)傳送,而沒有B —A的應(yīng)答包�����,一般可能是檢測NAT設(shè)備類型的通信特征�����。一般情況下�,只要發(fā)現(xiàn)上列的等式成立,就可以認(rèn)為是P2P流量��,考慮到準(zhǔn)確性(以及迅雷的特殊情況)�,才將其劃入①中再判斷。⑤假如A和任意一個節(jié)點之間先后存在多條UDP鏈接����,且這些鏈接的源端口不同,目的地址與目的端口都相同��,將與此目的地址通信的所有UDP鏈接看作一個鏈接����,劃入③中進行統(tǒng)計,查詢���,判斷�;最后將與此目的地址通信的所有鏈接都?xì)w為P2P流量�����;計算這些鏈接的不同目的地址數(shù)UDP_SHdiff_dest��,這個值滿足如下等式(n9為閥值�,可調(diào))
UDP_SHdiff_dest=n n ^ n9 (n9 測試時設(shè)為 5)
一般情況下,只要發(fā)現(xiàn)上列的等式成立���,就可以認(rèn)為是P2P流量����,考慮到準(zhǔn)確性(以及PPFILM的特殊情況)��,才將其劃入③中再判斷�����。如圖I所示,在本發(fā)明一實施方式中���,所述P2P流量識別方法���,包括以下步驟SI、正向查找����,如果某個鏈接,通過DPI/DFI被第一次識別出來���,并且識別出來的協(xié)議類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的)��,則查找同一個內(nèi)網(wǎng)源IP地址下�����,且源端口相同的其他的鏈接����,如果找到的某個鏈接目前也沒有被識別出來(正在分析中的協(xié)議����、Others協(xié)議)�,則會將該鏈接的7層協(xié)議ID號設(shè)置成跟前述已經(jīng)識別出來的那個P2P鏈接協(xié)議類型一樣的值�����。優(yōu)選地���,默認(rèn)遍歷深度x(X=IOO),該參數(shù)可以通過Π供用戶調(diào)整���,即上述查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量�,最大為X(IOO)個����,100個以后的則不再進行查找,并且遍歷的這100個鏈接包含所有已經(jīng)識別出來和未被識別出來的����,并非僅是那些未被識別出來的鏈接。S2���、反向查找�����,某個鏈接��,在創(chuàng)建時�,或者經(jīng)過了 DPI的識別,如果該鏈接仍然未被識別出來(正在分析中的協(xié)議��、Others協(xié)議)�,則首先會找同一個內(nèi)網(wǎng)源IP地址下,且源端口相同����,且4層協(xié)議也相同(TCP/UDP)的其他的鏈接,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來����,且該鏈接類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的),則
會將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值�����。S3���、如果在上述的同內(nèi)網(wǎng)源IP�����、同源端口���、同4層協(xié)議的鏈接查找中����,仍未得到合適的7層協(xié)議ID號���,則會繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口��、不同4層協(xié)議(如如果該新創(chuàng)建的鏈接時UDP類型的�����,則會查找TCP類型的鏈接)的鏈接中查找�,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來,且該鏈接類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的)����,將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值。優(yōu)選地�,默認(rèn)遍歷深度1 (該參數(shù)可以通過UI調(diào)整,即時生效)��。如圖2所示,在本發(fā)明一實施方式中�����,所述P2P流量識別系統(tǒng)���,包括
正向查找單元����,用于進行正向查找����,如果某個鏈接,通過DPI/DFI被第一次識別出來�����,并且識別出來的協(xié)議類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的)�,則查找同一個內(nèi)網(wǎng)源IP地址下,且源端口相同的其他的鏈接���,如果找到的某個鏈接目前也沒有被識別出來(正在分析中的協(xié)議�����、Others協(xié)議)����,則會將該鏈接的7層協(xié)議ID號設(shè)置成跟前述已經(jīng)識別出來的那個P2P鏈接協(xié)議類型一樣的值。優(yōu)選地����,默認(rèn)遍歷深度χ(χ=100),該參數(shù)可以通過Π供用戶調(diào)整���,S卩上述查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量���,最大為X (100)個���,100個以后的則不再進行查找�,并且遍歷的這100個鏈接包含所有已經(jīng)識別出來和未被識別出來的��,并非僅是那些未被識別出來的鏈接�。反向查找單元,用于進行反向查找��,某個鏈接,在創(chuàng)建時�����,或者經(jīng)過了 DPI的識別�����,如果該鏈接仍然未被識別出來(正在分析中的協(xié)議����、Others協(xié)議)�����,則首先會找同一個內(nèi)網(wǎng)源IP地址下,且源端口相同��,且4層協(xié)議也相同(TCP/UDP)的其他的鏈接,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來,且該鏈接類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的)��,則會將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值��。其他查找單元����,用于如果在上述的同內(nèi)網(wǎng)源IP、同源端口��、同4層協(xié)議的鏈接查找中�,仍未得到合適的7層協(xié)議ID號����,則會繼續(xù)在同內(nèi)網(wǎng)源IP����、同源端口���、不同4層協(xié)議(如如果該新創(chuàng)建的鏈接時m)P類型的,則會查找TCP類型的鏈接)的鏈接中查找��,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來�����,且該鏈接類型為P2P協(xié)議(這個是由加載的特征碼中的P2P Flag決定的)��,將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值。優(yōu)選地,默認(rèn)遍歷深度1 (該參數(shù)可以通過UI調(diào)整���,即時生效)�。綜上所述,本發(fā)明的P2P流量識別方法及系統(tǒng)可較為精確的檢測P2P流量�。應(yīng)當(dāng)理解,雖然本說明書按照實施方式加以描述�,但并非每個實施方式僅包含一個獨立的技術(shù)方案���,說明書的這種敘述方式僅僅是為清楚起見��,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)將說明書作為一個整體�����,各實施方式中的技術(shù)方案也可以經(jīng)適當(dāng)組合���,形成本領(lǐng)域技術(shù)人員可以理解的其他實施方式����。上文所列出的一系列的詳細(xì)說明僅僅是針對本發(fā)明的可行性實施方式的具體說明,它們并非用以限制本發(fā)明的保護范圍��,凡未脫離本發(fā)明技藝精神所作的等效實施方式或變更均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�?����!?br>
權(quán)利要求
1.一種P2P流量識別方法���,其特征在于�����,所述方法包括 51�、正向查找����,如果某個鏈接通過DPI/DFI被第一次識別出來��,并且識別出來的協(xié)議類型為P2P協(xié)議�����,則查找同一個內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接���;如果查找到的鏈接沒有被識別�,則將所述鏈接的7層協(xié)議ID號設(shè)置成與已經(jīng)識別出來的P2P協(xié)議類型一樣的值�; 52�����、反向查找�����,如果某個鏈接未被識別出來���,則找同一個內(nèi)網(wǎng)源IP地址下����,且源端口相同�,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個鏈接的協(xié)議類型已經(jīng)被識別����,且該鏈接類型為P2P協(xié)議,則將正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到并已識別出來且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值���。
2.根據(jù)權(quán)利要求I所述的P2P流量識別方法�,其特征在于��,所述方法還包括 53����、如果在SI、S2步驟中未得到合適的7層協(xié)議ID號�,則繼續(xù)在同內(nèi)網(wǎng)源IP��、同源端口��、不同4層協(xié)議的鏈接中查找��,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來,且該鏈接類型為P2P協(xié)議���,則將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值����。
3.根據(jù)權(quán)利要求I所述的P2P流量識別方法����,其特征在于,所述SI步驟中��,查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量�,最大100個,100個以后的則不再進行查找��。
4.一種P2P流量識別系統(tǒng)��,其特征在于���,所述系統(tǒng)包括 正向查找單元����,用于正向查找,如果某個鏈接通過DPI/DFI被第一次識別出來�,并且識別出來的協(xié)議類型為P2P協(xié)議,則查找同一個內(nèi)網(wǎng)源IP地址下且源端口相同的其他鏈接���;如果查找到的鏈接沒有被識別�,則將所述鏈接的7層協(xié)議ID號設(shè)置成與已經(jīng)識別出來的P2P協(xié)議類型一樣的值�����; 反向查找單元�����,用于反向查找�,如果某個鏈接未被識別出來����,則找同一個內(nèi)網(wǎng)源IP地址下,且源端口相同�,且4層協(xié)議也相同的其他鏈接,如果找到的其他鏈接中的某個鏈接的協(xié)議類型已經(jīng)被識別�����,且該鏈接類型為P2P協(xié)議����,則將正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到并已識別出來且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值�����。
5.根據(jù)權(quán)利要求4所述的P2P流量識別系統(tǒng)��,其特征在于�����,所述系統(tǒng)還包括 其他查找單元����,用于如果在正向查找單元和反向查找單元中未得到合適的7層協(xié)議ID號��,則繼續(xù)在同內(nèi)網(wǎng)源IP、同源端口、不同4層協(xié)議的鏈接中查找,如果找到的某個鏈接的協(xié)議類型已經(jīng)被識別出來,且該鏈接類型為P2P協(xié)議����,則將這個正在創(chuàng)建的且未被識別出來的新的鏈接的7層協(xié)議的ID號設(shè)置成跟找到的這個已識別出來并且具有P2P flag的鏈接的7層協(xié)議的ID號一樣的值���。
6.根據(jù)權(quán)利要求4所述的P2P流量識別系統(tǒng),其特征在于�,所述正向查找單元中��,查找同一個內(nèi)網(wǎng)源IP且源端口相同的鏈接的數(shù)量���,最大100個,100個以后的則不再進行查找�。
全文摘要
本發(fā)明提供了一種P2P流量識別方法及系統(tǒng)��,包括正向查找和反向查找兩種方式��。本發(fā)明的有益效果在于P2P流量識別方法及系統(tǒng)可較為精確地檢測P2P流量。
文檔編號H04L12/26GK102891893SQ20121039195
公開日2013年1月23日 申請日期2012年10月16日 優(yōu)先權(quán)日2012年10月16日
發(fā)明者權(quán)建中, 王俊華 申請人:蘇州邁科網(wǎng)絡(luò)安全技術(shù)股份有限公司