专利名称:基于综合统计特征的斯盖普流量识别策略的制作方法
技术领域:
本发明是一种用于对当前流行的对等网络软件斯盖普(Skype)进行流量识别的策略,属于网络新业务流量识别的技术领域,涉及网络业务流量的管理与控制。
背景技术:
计算机对等网络P2P(peer-to-peer),作为目前改变现有Internet应用模式的主要技术之一,成为新一代互连网技术研究的热点问题。随着P2P网络技术的研究以及各种P2P软件的出现,以及P2P业务量的不断增长,给传统的Internet应用带来了巨大的冲击,尤其是P2P网络模式本身带宽抢占的特点,给网络资源管理带来了巨大挑战。据统计,目前国内外P2P流量占总网络流量的60%以上,严重影响了某些正常业务的运行,同时给运营商及网络管理人员以及某些企业带来了带宽资源的浪费。因此,随着P2P网络技术的发展,P2P网络流量识别与管理也成了目前网络研究的一大热点。
基于第三代P2P技术,Skype正以优质的语音质量和低廉的通话费用吸引着越来越多的用户。它的出现给传统的VOIP业务带来了巨大的冲击,尽管成立不过两年,但Skype在全球已经有了超过2亿次的下载量,并成为传统固网运营商的“眼中钉”,全球各地封杀Skype的消息不绝于耳,据IDG消息称,目前中国一电信运营商正在付费试用Verso的NetSpeetive M级过滤器。为了能够对Skype流量进行有效管理与控制,首先要能够对其进行准确识别。
目前国内外对P2P网络流量的识别与管理有了一定的研究,提出了比如IPPair以及第七层静荷特征等识别方法,这些方法可用于目前大多数比较流行的P2P软件的流量识别,如BT、Emule、eDonkey等。但是对于Skype,由于其协议不公开,并且使用了比较安全的加密算法,因此,目前尚没有Skype流量的准确识别策略。
现有技术中,对于Skype流量识别,主要是通过静荷中某个固定字节进行识别。现有技术的缺点为1)识别不完整。由于现有技术只是根据某个固定字节进行静荷识别,对于Skype,并不是所有传输数据都存在该特征,因此,不能保证识别所有Skype数据。
2)识别不准确。现有技术只是根据一个字节进行识别,对于非Skype数据,也有可能与识别特征字节一致,从而被识别为Skype流量,从而不能保证识别的准确性。
3)识别策略不灵活。
发明内容
技术问题本发明的目的是提出基于综合统计特征的斯盖普(Skype)流量识别策略,结合Skype流统计特征识别策略与静荷统计特征识别策略,实现Skype流量的准确识别。
技术方案本发明提出了基于流统计特征的Skype流量识别策略、基于静荷统计特征的Skype流量识别策略,并综合上述两种策略,提出了基于综合统计特征的Skype流量识别策略及策略部署。其中,Skype流量识别策略提出了三种识别策略,基于流统计特征的识别策略针对Skype的流量特征分析,制定出专门针对Skype的流量识别策略,并提出了二维条件性综合流统计识别策略;基于静荷统计特征的识别策略通过对Skype静荷特征的分析,生成多个Skype静荷组成的集合,制定出基于动态静荷特征的识别策略;综合统计特征的识别策略是在上面两种策略的基础上,综合两者的优点,提出的结合Skype流统计特征与静荷统计特征的识别策略。基于综合统计特征的Skype流量识别策略的部署给出了实现及部署该识别策略的主要功能模块,从而最终实现网络流量的管理与控制。
斯盖普应用识别策略包括基于流统计特征的Skype应用识别策略、基于静荷统计特征的Skype应用识别策略、基于综合统计特征的Skype应用识别策略及策略部署;其中,基于综合统计特征的应用识别策略综合了前面两种识别策略,综合运用Skype的流统计特征和静荷统计特征进行识别,识别策略为
1)根据UDP静荷中远端IP字节所对应的IP与该数据包的远端IP一致,确定该UDP数据包为Skype数据,从而获得本地Skype端口;2)将所有与本地Skype端口对应的UDP数据包的远端IP和端口写入SkypeIP+Port策略库;3)由于Skype除了与超级节点或普通客户端通信外,还与某些特殊节点通信,如ES、LS和ui.skype.com,因此,也要将这三类地址和端口写入Skype IP+Port策略库;4)判断每一个数据包,无论是TCP数据包还是UDP数据包,只要源地址+源端口或者目的地址+目的端口中有一个在Skype IP+Port策略库中,则可以判定该数据包为Skype应用。
以下详细介绍Skype流量识别策略及策略部署。
1、基于流统计特征的Skype应用识别策略基于流统计特征的识别策略是根据Skype流量特征,利用二维条件性综合流统计识别策略进行流量识别。二维条件性综合流统计识别策略主要是从流信息五元组中根据统计需求选出其中的二元组合按给定条件过滤并进行综合统计,如X-Y(C)二元组合要求统计出List Y Group By X Where Packets Satisfy C,最后再综合二元组合统计的结果进行分析识别,从而达到有效实现应用识别的目的。
针对Skype应用识别,提出了以下几种二元组合策略1)LocalPort-RemoteIP(ALL)利用本地Skype客户端端口在较短时间内与多台远程主机进行数据传输的特性,通过对本地端口所连接主机数目统计,可以识别出非常规网络体系业务的本地端口,这里非常规业务主要是针对目前越来越多的P2P业务提出。
2)RemoteIP-Protocol(ALL)根据Skype用户在进行通话或文件传输时,同时使用TCP和UDP两种协议,利用可靠的TCP协议保持基本连接实现信令交互,利用高传输效率的UDP协议实现数据的传输。此外,还有几种熟知的网络应用,如DNS服务等,也是同时使用TCP和UDP两种协议,但是这些网络应用都可以通过常规端口或其他特性很容易识别。因此通过筛选同时使用TCP和UDP的源-目的IP对的业务,并且去掉那些已知的正常业务,如去掉远端端口为53的DNS业务,可以对这些非常规业务进行准确识别。
3)RemotePort-LoealPort(UDP)通过对和远程某个端口利用UDP连接的本地端口以及本地端口数的统计,在上一步的基础上进一步从远端主机端口的角度进行应用识别,对于某个远端主机端口,可以根据所连接的本地端口中是否包含上一步中统计所得的非常规端口,判断出该远端端口上的应用与本地非常规端口对应的业务是否相同。例如,若识别出本地2558端口为Skype本地端口,某个远端主机的3380端口通过UDP与本地主机进行数据传输,则该远端端口上所有数据传输均为Skype业务。
4)RemotePort-Protocol(同一IP对)通过对Skype流量统计特性的研究发现,虽然Skype客户端与某些超级节点间以及某些普通客户端之间进行数据传输时同时使用TCP和UDP,但是通常远端主机的TCP和UDP使用的同一端口,即Skype随机开放的端口。因此,结合LocalPort-RemoteIP(ALL)策略,对于与本地非正常业务端口连接的主机,如果远端端口同时既使用TCP协议,又使用UDP协议,则可以初步判定为Skype业务。
2、基于静荷统计特征的Skype应用识别策略基于静荷统计特征的Skype应用识别策略是根据Skype静荷特征制定的流量识别策略。Skype的UDP数据包中不含有固定字节的特征字符串,不能根据某一个固定字节的特征来判断是否Skype应用,可以根据对Skype数据包中的静荷的统计分析,不断收集Skype数据包中的静荷特征,生成Skype静荷特征集合,制定基于静荷统计特征的Skype应用识别策略,对每一个数据包,只要其中包含静荷特征集合的特征字符串,便可判定为Skype应用。
Skype静荷中某些字节与数据报头某些参数具有对应关系,如某些数据包静荷中包含本地对外IP地址,某些数据包静荷中包含远端IP地址。因此,通过验证对应关系可用来判断是否是Skype应用。
3、识别策略的部署基于综合统计特征的Skype应用识别一方面要对采集到的数据进行统计,生成识别策略;另一方面要利用生成的识别策略对采集到的数据进行网络流量识别,从而对各种不同的应用进行不同的统计分析与处理。两者是并行处理的,即网络流量识别以动态识别策略为识别依据,从而保证识别的准确性和可扩展性。策略部署模型见附图2所示,其中主要包括数据采集、数据统计、策略生成、业务识别、业务分流、业务统计、业务处理几个功能模块,另外包括识别策略、业务和业务处理策略三个数据库。
有益效果该识别策略与识别模型的优点在于1、识别准确完整识别策略结合了Skype流统计特性与静荷统计特性两者的优点,根据动态多静荷策略数据库准确获得某些确定的流特性,再根据对应的流特性按相应的流特性识别策略进行识别,从而可以保证对Skype数据进行准确完整的识别,这是现有识别技术所不能保证的。
2、识别策略灵活识别策略部署通过数据采集、策略统计与生成等方法,根据采集的数据动态生成灵活的识别策略数据库,最后根据识别策略数据库进行流量识别,从而可以根据识别应用的不同特征进行流量识别,即使应用的某些识别特征有所改变,也不会影响流量识别的准确性。
3、识别策略部署模型通用性识别策略的部署不仅可以用于Skype流量识别,也可以用于其他未知协议的网络新业务的流量识别,尤其是新出现的P2P业务。并且该模型可用于通用的网络流量管理与控制系统,在对业务进行识别分类之后对相应业务按优先级进行流量管理。
图1是基于综合统计特征的Skype应用识别策略。图中给出了识别策略的整个识别流程。
图2是基于综合统计特征的Skype应用识别策略的部署模型。图中包括识别过程中的数据采集、策略生成、以及流量识别后业务处理等功能模块。
具体实施例方式
本发明提出了基于流统计特征的Skype流量识别策略、基于静荷统计特征的Skype流量识别策略,并综合上述两种策略,提出了基于综合统计特征的Skype流量识别策略及策略部署。其中,Skype流量识别策略提出了三种识别策略,基于流统计特征的识别策略针对Skype的流量特征分析,制定出专门针对Skype的流量识别策略,并提出了二维条件性综合流统计识别策略;基于静荷统计特征的识别策略通过对Skype静荷特征的分析,生成多个Skype静荷组成的集合,制定出基于动态静荷特征的识别策略;综合统计特征的识别策略是在上面两种策略的基础上,综合两者的优点,提出的结合Skype流统计特征与静荷统计特征的识别策略。基于综合统计特征的Skype流量识别策略的部署给出了实现及部署该识别策略的主要功能模块,从而最终实现网络流量的管理与控制。
以下详细介绍Skype流量识别策略及策略部署。
1、基于流统计特征的Skype应用识别策略基于流统计特征的识别策略是根据Skype流量特征,利用二维条件性综合流统计识别策略进行流量识别。二维条件性综合流统计识别策略主要是从流信息五元组中根据统计需求选出其中的二元组合按给定条件过滤并进行综合统计,如X-Y(C)二元组合要求统计出List Y Group By X Where Packets Satisfy C,最后再综合二元组合统计的结果进行分析识别,从而达到有效实现应用识别的目的。
针对Skype应用识别,提出了以下几种二元组合策略1)LocalPort-RemoteIP(ALL)利用本地Skype客户端端口在较短时间内与多台远程主机进行数据传输的特性,通过对本地端口所连接主机数目统计,可以识别出非常规网络体系业务的本地端口,这里非常规业务主要是针对目前越来越多的P2P业务提出。
2)RemoteIP-Protocol(ALL)根据Skype用户在进行通话或文件传输时,同时使用TCP和UDP两种协议,利用可靠的TCP协议保持基本连接实现信令交互,利用高传输效率的UDP协议实现数据的传输。此外,还有几种熟知的网络应用,如DNS服务等,也是同时使用TCP和UDP两种协议,但是这些网络应用都可以通过常规端口或其他特性很容易识别。因此通过筛选同时使用TCP和UDP的源-目的IP对的业务,并且去掉那些已知的正常业务,如去掉远端端口为53的DNS业务,可以对这些非常规业务进行准确识别。
3)RemotePort-LocalPort(UDP)通过对和远程某个端口利用UDP连接的本地端口以及本地端口数的统计,在上一步的基础上进一步从远端主机端口的角度进行应用识别,对于某个远端主机端口,可以根据所连接的本地端口中是否包含上一步中统计所得的非常规端口,判断出该远端端口上的应用与本地非常规端口对应的业务是否相同。例如,若识别出本地2558端口为Skype本地端口,某个远端主机的3380端口通过UDP与本地主机进行数据传输,则该远端端口上所有数据传输均为Skype业务。
4)RemotePort-Protocol(同一IP对)通过对Skype流量统计特性的研究发现,虽然Skype客户端与某些超级节点间以及某些普通客户端之间进行数据传输时同时使用TCP和UDP,但是通常远端主机的TCP和UDP使用的同一端口,即Skype随机开放的端口。因此,结合LocalPort-RemoteIP(ALL)策略,对于与本地非正常业务端口连接的主机,如果远端端口同时既使用TCP协议,又使用UDP协议,则可以初步判定为Skype业务。
2、基于静荷统计特征的Skype应用识别策略基于静荷统计特征的Skype应用识别策略是根据Skype静荷特征制定的流量识别策略。Skype的UDP数据包中不含有固定字节的特征字符串,不能根据某一个固定字节的特征来判断是否Skype应用,可以根据对Skype数据包中的静荷的统计分析,不断收集Skype数据包中的静荷特征,生成Skype静荷特征集合,制定基于静荷统计特征的Skype应用识别策略,对每一个数据包,只要其中包含静荷特征集合的特征字符串,便可判定为Skype应用。
Skype静荷中某些字节与数据报头某些参数具有对应关系,如某些数据包静荷中包含本地对外IP地址,某些数据包静荷中包含远端IP地址。因此,通过验证对应关系可用来判断是否是Skype应用。
3、基于综合统计特征的Skype应用识别策略基于综合统计特征的Skype应用识别策略是上述两种策略的结合,具体识别策略如附图1所示。策略执行过程如下1)根据UDP静荷中远端IP字节所对应的IP与该数据包的远端IP一致,确定该UDP数据包为Skype数据,从而获得本地Skype端口;2)将所有与本地Skype端口对应的UDP数据包的远端IP和端口写入SkypeIP+Port策略库;3)由于Skype除了与超级节点或普通客户端通信外,还与某些特殊节点通信,如ES、LS和ui.skype.com,因此,也要将这三类地址和端口写入Skype IP+Port策略库;
4)判断每一个数据包,无论是TCP数据包还是UDP数据包,只要源地址+源端口或者目的地址+目的端口中有一个在Skype IP+Port策略库中,则可以判定该数据包为Skype应用。
4、识别策略的部署基于综合统计特征的Skype应用识别一方面要对采集到的数据进行统计,生成识别策略;另一方面要利用生成的识别策略对采集到的数据进行网络流量识别,从而对各种不同的应用进行不同的统计分析与处理。两者是并行处理的,即网络流量识别以动态识别策略为识别依据,从而保证识别的准确性和可扩展性。策略部署模型见附图2所示,其中主要包括数据采集、数据统计、策略生成、业务识别、业务分流、业务统计、业务处理几个功能模块,另外包括识别策略、业务和业务处理策略三个数据库。
以下通过一个简单的实例来说明该识别策略的工作过程可以将该识别策略与识别系统模型应用于企业网或某电信网的网络流量管理设备,设备串接部署在网络出口,该网络所有网络传输数据都要经过该流管设备进行流量控制再进行传输。参考附图2,系统工作过程描述如下1)进入设备的数据一方面由数据采集模块进入数据统计模块,对各用户的各种网络应用进行相关数据流特性与静荷特性的统计;2)根据1)获得的各种应用的各种统计特性由策略生成模块生成各种网络流量的识别策略,并生成识别策略数据库;3)与1)相对应,另一方面,进入设备的数据利用业务识别模块根据根据识别策略数据库进行业务识别,并通过业务分流模块将数据根据识别出的业务类型进行相应的处理;4)通过3)进行业务分流之后,一方面根据业务数据库利用业务统计模块进行传输业务的统计分析,另一方面利用业务处理模块根据业务处理策略对相应业务的数据进行适当的带宽、优先级分配、数据丢弃等各种处理。
设备接入网络并开始工作后,能够动态统计并生成业务识别策略,并按照生成的业务识别策略进行业务流量识别,最终按不同业务处理策略实现有效的网络流量管理与控制。
权利要求
1.一种基于综合统计特征的斯盖普流量识别策略,其特征在于斯盖普应用识别策略包括基于流统计特征的Skype应用识别策略、基于静荷统计特征的Skype应用识别策略、基于综合统计特征的Skype应用识别策略及策略部署;其中,基于综合统计特征的应用识别策略综合了前面两种识别策略,综合运用Skype的流统计特征和静荷统计特征进行识别,识别策略为1)根据UDP静荷中远端IP字节所对应的IP与该数据包的远端IP一致,确定该UDP数据包为Skype数据,从而获得本地Skype端口;2)将所有与本地Skype端口对应的UDP数据包的远端IP和端口写入SkypeIP+Port策略库;3)由于Skype除了与超级节点或普通客户端通信外,还与某些特殊节点通信,如ES、LS和ui.skype.com,因此,也要将这三类地址和端口写入Skype IP+Port策略库;4)判断每一个数据包,无论是TCP数据包还是UDP数据包,只要源地址+源端口或者目的地址+目的端口中有一个在Skype IP+Port策略库中,则可以判定该数据包为Skype应用。
2.根据权利要求1所述的基于综合统计特征的斯盖普流量识别策略,其特征在于对基于流统计特征的识别策略,有以下几种二元组合策略1)本地端口的远端IP数利用本地Skype客户端端口在较短时间内与多台远程主机进行数据传输的特性,对本地端口所连接主机数目进行统计,筛选连接主机频率较高的本地端口;2)远端IP的协议类型数统计同时使用TCP和UDP的源-目的IP对,去掉那些已知的正常业务,对非常规业务进行准确识别。3)远端UDP端口的本地端口数通过对和远程某个端口利用UDP连接的本地端口以及本地端口数的统计,在上一步的基础上进一步从远端主机端口的角度进行应用识别,对于某个远端主机端口,根据所连接的本地端口中是否包含上一步中统计所得的非常规端口,判断出该远端端口上的应用与本地非常规端口对应的业务是否相同。4)同一IP对间远端端口的协议数结合1)的策略,对于与本地非正常业务端口连接的主机,如果远端端口同时既使用TCP协议,又使用UDP协议,则可以初步判定为Skype业务。
3.根据权利要求1所述的基于综合统计特征的斯盖普流量识别策略,其特征在于基于静荷统计特征的识别策略根据对Skype数据包中的静荷的统计分析,不断收集Skype数据包中的静荷特征,生成Skype静荷特征集合,制定基于静荷统计特征的Skype应用识别策略,对每一个数据包,只要其中包含静荷特征集合的特征字符串,便可判定为Skype应用。根据Skype静荷中某些字节与数据报头某些参数具有对应关系特征,通过验证静荷中是否存在该对应关系来判断是否是Skype应用。
4.根据权利要求1所述的基于综合统计特征的斯盖普流量识别策略,其特征在于基于综合统计特征的识别策略的具体部署方法为1)进入设备的数据一方面由数据采集模块进入数据统计模块,对各用户的各种网络应用进行相关数据流特性与静荷特性的统计;2)根据1)获得的各种应用的各种统计特性由策略生成模块生成各种网络流量的识别策略,并生成识别策略数据库;3)与1)相对应,另一方面,进入设备的数据利用业务识别模块根据根据识别策略数据库进行业务识别,并通过业务分流模块将数据根据识别出的业务类型进行相应的处理;4)通过3)进行业务分流之后,一方面根据业务数据库利用业务统计模块进行传输业务的统计分析,另一方面利用业务处理模块根据业务处理策略对相应业务的数据进行适当的带宽、优先级分配、数据丢弃等各种处理。
全文摘要
基于综合统计特征的斯盖普流量识别策略是结合Skype流统计特征识别策略与静荷统计特征识别策略,准确识别Skype流量的流量。斯盖普应用识别策略包括基于流统计特征的Skype应用识别策略、基于静荷统计特征的Skype应用识别策略、基于综合统计特征的Skype应用识别策略及策略部署;其中,基于综合统计特征的应用识别策略综合了前面两种识别策略,结合Skype流统计特征识别策略与静荷统计特征识别策略,实现Skype流量的准确识别。
文档编号H04L29/06GK1838613SQ200610039058
公开日2006年9月27日 申请日期2006年3月24日 优先权日2006年3月24日
发明者张顺颐, 王振华, 饶翔, 孙雁飞, 王攀 申请人:南京邮电大学