专利名称:在对等网络中采用信任抽样的深度报文扫描方法
技术领域:
本发明涉及计算机网络的应用,尤其涉及计算机对等网络的应用,主要用于识别对等网络流量。
背景技术:
对等网络是有别于服务器/客户端(C/S)结构的新型分布式网络,该网络不存在中心节点(或中心服务器)。处于该网络中的所有节点互为服务器,又互为客户端,这些共享资源能被其他对等点直接访问而无需经过中心服务器。在此网络中的参与者既是资源(服务和内容)提供者,又是资源(服务和内容)获取者。目前,对等网络被广泛用于文件共享、流媒体、网络游戏和协同工作等方面,其网络流量已经成为互联网的主要流量。
对等网络中,由于所有主机均是对等的,因此其流量具有很大的对称性,同时任意节点在与其他节点建立连接时,往往会采用大量广播方式,这对传统Web应用流量下的网络体系造成了很大影响。尤其在网络性能(QoS)上,对等网络软件的广泛使用,其产生的网络数据流使得原本并不富裕的网络带宽更是捉襟见肘。因此无论是网络供应商还是企业网络管理者,都希望能够将对等网流量进行有效的识别,从而便于网络的规划与管理。
目前,识别对等网络流量的检测方法主要有以下几种 1、端口特征识别。对等网络应用软件(P2P软件)安装后,默认会开启对应的端口,并通过该端口与外界通讯,如迅雷默认端口3077、3076,电骡默认端口4662、4661、4242等。通过检测数据包中的端口信息,可以鉴别该比特流是否为对等网络流,以及对等网络应用类型。但新一代的对等网络应用软件使用动态的随机端口号,使得这一识别方法已不再准确。
2、连接模式识别。其基本思想是基于观察源和目的IP地址的连接模式。一些模式是对等网络所独有的,因此可以由此直接将对等网络流识别出来;另外一些模式由对等网络和其它少数应用所共有,这时可以采用启发式方法来减少误判概率。目前有两种启发式方法源和目的IP地址对之间同时使用TCP和UDP协议,并且没有使用常用应用的端口号;具有相同地址和端口号的对等网数据流中,对端的IP地址数和端口号数相等。该方法处理效率高,但由于不涉及具体数据,因此无法区分各对等网络的应用类型。
3、流量特征识别。相对于传统Internet业务流量而言,对等网络流表现出以下特点高速传输、数据量大、在线时间长、上下行流量对称、业务点分布广泛。通过分析不同应用的流量特点,可以实现识别对等网络流的目的。而且这一方法不需要对数据流的具体内容进行检查,因此不受数据是否加密的限制,扩大了其适用范围。但是,由于需要记录每条数据流的信息,这种方法对内存空间以及处理速度都提出了比较大的要求。同时,该方法的准确率还有待进一步提高。
4、深度报文检测(DPI)。每种应用的数据流中都携带有特定的报文信息,例如,HTTP协议报文中会出现GET,PUT,POST等报文字样。与之相类似,在各种对等网络应用协议中也具有类似的信息。深度报文检测对数据包的分析深入到内容,充分理解各种应用协议的payload各个字段的变化规律和流程。该方法在识别对等网络流量时具有极高的准确率,但由于该方法需要捕获完整的报文才能进行分析,因此要求以极高的速度分析、检测及重新组装应用流,以免给应用带来延时。
5、峰值抽样深度报文检测。由于受硬件条件的限制,无法对网络中的所有信息逐一进行检测,只能采取抽样识别,该方法的抽样策略是设定一般抽样率,在网络使用高峰时段提高抽样率,在网络使用低谷时段减少抽样率,对等网络中的每个节点的抽样率都相同;抽取的样本用深度报文检测方法进行识别。该方法对提高识别对等网络流的准确率,提高检测效率,降低硬件负担,减少网络延时起到了一定效果;其不足之处在于,由于各节点使用对等网络的频率和使用时间的长短是不相同的,如对对等网络使用频率高、使用时间长的节点与基本不使用对等网络的节点采取相同的抽样率,这就会使得使用频率高、时间长的节点漏检很多,而对基本不使用的节点进行过多的检测,则是浪费资源,增加硬件负担和网络延时。
发明内容
本发明的目的是提供一种在对等网络中采用信任抽样的深度报文扫描方法。该方法在采用抽样策略与深度报文检测相结合的同时,引入信任机制,根据信任度的高低,调节抽样率,在保证较高准确率的前提下,提高了检测效率,降低了硬件负担,减少了网络延时。
为了达到上述目的,本发明采用如下技术方案 在对等网络中采用信任抽样的深度报文扫描方法,该方法在采用抽样策略与深度报文检测相结合的同时,引入信任机制,根据信任度的高低,调节抽样率,该方法按下列步骤进行 1)、制作具有IP地址,信任值,基准抽样率,抽样率上限阈值,抽样率下限阈值,信任度周期六个字段的信任策略表;设置基准抽样率C0,抽样率上限阈值CS、抽样率下限阈值Cx、信任度周期T分钟(一般为30分钟至60分钟,但也可根据具体情况自行增加或减少时间),将信任值赋值为R;基准抽样率、抽样率上、下限阈值均为大于0小于1的实数; 2)、将网络流量扫描中新发现的IP地址存储在信任策略表的IP地址字段,把该IP地址的信任值R赋值为0,信任度周期赋值为T,并开始信任度周期计时; 3)、信任策略表中各个IP地址的抽样率C按下式计算 当时,C=CX 当时,C=CS 其它, 其中R为信任策略表中该IP地址的信任值,C0为信任策略表中的基准抽样率,N为大于等于2的正整数,该值决定R最大有效取值范围,当R的绝对值大于N,其计算出的C将被Cx或CS取代,使得信任度不再影响C的取值,即,N越大,对每一次检测到的对等网络流量记录的IP地址惩罚力度越小,N越小,则对每一次检测到的对等网络流量记录的IP地址惩罚力度越大; 4)、按照步骤3)所确定的抽样率C抽取各IP地址的报文信息样本; 5)、对抽取到的报文信息样本采用深度报文检测,如果检测到对等网络流量记录,则将信任策略表中该IP地址的信任值减去1; 6)、一个IP地址的信任度周期期满,自动转入下一个信任度周期,如果该IP地址在信任度周期内没有对等网络流量记录,则将其下一个信任度周期的信任值加上1,否者信任值不变; 7)、当某个IP地址的抽样率大于两倍的基准抽样率,即(1-R/N)>2时,可以给与该IP地址警告或者限制其网络流量的处罚;当某个IP地址的抽样率达到抽样率上限阈值,可以给与该IP地址严重警告或者严格限制其网络流量的处罚; 8)、返回步骤2。
由于本发明在采用抽样策略与深度报文检测相结合的同时,引入信任机制,根据信任度的高低,调节抽样率,因此,本发明具有在保证较高准确率的前提下,提高了检测效率,降低了硬件负担,减少了网络延时等优点。
具体实施例方式 以下是对本发明作进一步的说明。
本发明技术方案的信任策略表中的基准抽样率可采用分时段方式设置,即将一天24小时分成若干个时段,每个时段设置一个基准抽样率;或者按流量峰值设置,即将流量分成若干个流量区间,每个流量区间设置一个基准抽样率;下面是将一天24小时分成3个时段,或者将流量分成3个流量区间的三个实施例。
实施例一 在对等网络中采用信任抽样的深度报文扫描方法,该方法按下列步骤进行 1、制作有十个字段的抽样策略表,这十个字段为一般时间段,一般时间段基准抽样率,低谷时间段,低谷时间段基准抽样率,高峰时间段,高峰时间段基准抽样率,基点流量阈值,基点流量基准抽样率,高峰流量阈值,高峰流量基准抽样率;设置一般时间段t0--T0,一般时间段基准抽样率Cto,低谷时间段t1--T1,低谷时间段基准抽样率Ct1,高峰时间段t2--T2,高峰时间段基准抽样率Ct2,基点流量阈值L1,基点流量基准抽样率CL1,高峰流量阈值L2,高峰流量基准抽样率CL2;各时间段无重叠,各基准抽样率均为大于0小于1的实数; 2、制作具有IP地址,信任值,抽样率上限阈值,抽样率下限阈值,信任度周期五个字段的信任策略表;设置抽样率上限阈值CS、抽样率下限阈值Cx、信任度周期T分钟,将信任值赋值为R;抽样率上、下限阈值均为大于0小于1的实数; 3、进行网络流量扫描,将新发现的IP地址存储在信任策略表的IP地址字段,将该IP地址的信任值R赋值为0,信任度周期赋值为T,并开始信任度周期计时; 4、用分时段样本抽取方式抽取报文信息样本,或者按流量样本抽取方式抽取报文信息样本; 4.1、用分时段样本抽取方式抽取报文信息样本的方法按照下列步骤进行 4.1a、确定所获取的报文信息的IP地址; 4.1b、确定网络流量扫描的时间; 4.1c、当网络流量扫描的时间在抽样策略表中的一般时间段,抽样率C为 当时,C=CX 当时,C=CS 其它, 当网络流量扫描的时间在抽样策略表中的低谷时间段,抽样率C为 当时,C=CX 当时,C=CS 其它, 当网络流量扫描的时间在抽样策略表中的高峰时间段,抽样率C为 当时,C=CX 当时,C=CS 其它, 本步骤中的R为信任策略表中由步骤4.1a所确定的IP地址的信任值R,N为大于等于2的整数; 4.1d、随机抽取来自步骤4.1a所确定的IP地址的报文信息样本,样本个数为由步骤4.1c得到的抽样率C与扫描获取的该IP地址报文信息数量乘积的整数部分; 4.2、按流量样本抽取方式抽取报文信息样本的方法按照下列步骤进行 4.2a、确定网络流量; 4.2b、当网络流量小于基点流量阈值L1时,不进行抽样; 4.2c、当网络流量大于等于基点流量阈值L1时,确定所获取的报文信息的IP地址; 4.2d、当网络流量大于等于基点流量阈值L1并小于高峰流量阈值L2时,抽样率C为 当时,C=CX 当时,C=CS 其它, 当网络流量大于等于高峰流量阈值L2时,抽样率C为 当时,C=CX 当时,C=CS 其它, 本步骤中的R为信任策略表中由步骤4.2c所确定的IP地址的信任值R,N为大于等于2小于等于10的整数; 4.2e、随机抽取来自步骤4.2c所确定的IP地址的报文信息样本,样本个数为由步骤4.2d得到的抽样率C与扫描获取的该IP地址报文信息数量乘积的整数部分; 5、对步骤4抽取到的报文信息样本采用深度报文检测,如果检测到对等网络流量记录,则将信任策略表中该IP地址的信任值减1; 6、一个IP地址的信任度周期期满,如果该IP地址在该信任度周期没有对等网络流量记录,则在自动转入下一个信任度周期时,将该IP地址信任策略表的信任值加1,否者在自动转入下一个信任度周期时的信任值不变; 7、当某个IP地址的抽样率大于两倍的基准抽样率,即(1-R/N)>2时,可以给与该IP地址警告或者限制其网络流量的处罚;当某个IP地址的抽样率达到抽样率上限阈值,可以给与该IP地址严重警告或者严格限制其网络流量的处罚; 8、返回步骤3。
实施例二 在对等网络中采用信任抽样的深度报文扫描方法,该方法按下列步骤进行 1、制作有十个字段的抽样策略表,这十个字段为一般时间段,一般时间段基准抽样率,低谷时间段,低谷时间段基准抽样率,高峰时间段,高峰时间段基准抽样率,基点流量阈值,基点流量基准抽样率,高峰流量阈值,高峰流量基准抽样率;一般时间段为8:00-18:00,一般时间段基准抽样率1/20,低谷时间段为0:00-8:00,低谷时间段基准抽样率1/50,高峰时间段为18:00-24:00,高峰时间段基准抽样率1/10,基点流量阈值5mb/s,基点流量基准抽样率为1/60,高峰流量阈值60mb/s,高峰流量基准抽样率为1/15; 2、制作具有IP地址,信任值,抽样率上限阈值,抽样率下限阈值,信任度周期五个字段的信任策略表;设置抽样率上限阈值1/3、抽样率下限阈值1/100、信任度周期60分钟,将信任值赋值为R; 3、进行网络流量扫描,将新发现的IP地址存储在信任策略表的IP地址字段,将该IP地址的信任值R赋值为0,信任度周期赋值为60分钟,并开始信任度周期计时; 4、用分时段样本抽取方式抽取报文信息样本,步骤如下 4.1a、确定所获取的报文信息的IP地址; 4.1b、确定网络流量扫描的时间; 4.1c、当网络流量扫描的时间在8:00-18:00时间段,抽样率C为 当时,C=1/100 当时,C=1/3 其它, 当网络流量扫描的时间在0:00-8:00时间段,抽样率C为 当时,C=1/100 当时,C=1/3 其它, 当网络流量扫描的时间在18:00-24:00时间段,抽样率C为 当时,C=1/100 当时,C=1/3 其它, 本步骤中的R为信任策略表中由步骤4.1a所确定的IP地址的信任值R; 4.1d、随机抽取来自步骤4.1a所确定的IP地址的报文信息样本,样本个数为由步骤4.1c得到的抽样率C与扫描获取的该IP地址报文信息数量乘积的整数部分; 5、对报文信息样本采用深度报文检测,如果检测到对等网络流量记录,则将信任策略表中该IP地址的信任值减1; 6、一个IP地址的信任度周期期满,如果该IP地址在该信任度周期没有对等网络流量记录,则在自动转入下一个信任度周期时,将该IP地址信任策略表的信任值加1,否者在自动转入下一个信任度周期时的信任值不变; 7、当某个IP地址的抽样率大于两倍的基准抽样率,即(1-R/4)>2时,可以给予该IP地址警告或者限制其网络流量的处罚; 当某个IP地址的抽样率为1/3时,可以给与该IP地址严重警告或者严格限制其网络流量的处罚; 8、返回步骤3。
实施例三 在对等网络中采用信任抽样的深度报文扫描方法,该方法按下列步骤进行 1、制作有十个字段的抽样策略表,这十个字段为一般时间段,一般时间段基准抽样率,低谷时间段,低谷时间段基准抽样率,高峰时间段,高峰时间段基准抽样率,基点流量阈值,基点流量基准抽样率,高峰流量阈值,高峰流量基准抽样率;一般时间段为8:00-18:00,一般时间段基准抽样率1/20,低谷时间段为0:00-8:00,低谷时间段基准抽样率1/80,高峰时间段为18:00-24:00,高峰时间段基准抽样率1/10,基点流量阈值5mb/s,基点流量基准抽样率为1/50,高峰流量阈值80mb/s,高峰流量基准抽样率为1/10; 2、制作具有IP地址,信任值,抽样率上限阈值,抽样率下限阈值,信任度周期五个字段的信任策略表;设置抽样率上限阈值1/6、抽样率下限阈值1/120、信任度周期45分钟,将信任值赋值为R; 3、进行网络流量扫描,将新发现的IP地址存储在信任策略表的IP地址字段,将该IP地址的信任值R赋值为0,信任度周期赋值为45分钟,并开始信任度周期计时; 4、按网络流量样本抽取方式抽取报文信息样本,步骤如下 4.2a、确定网络流量; 4.2b、当网络流量小于基点流量阈值5mb/s时,不进行抽样; 4.2c、当网络流量大于等于基点流量阈值5mb/s时,确定所获取的报文信息的IP地址; 4.2d、当网络流量大于等于基点流量阈值5mb/s并小于高峰流量阈值80mb/s时,抽样率C为 当时,C=1/120 当时,C=1/6 其它, 当网络流量大于等于高峰流量阈值80mb/s时,抽样率C为 当时,C=1/120 当时,C=1/6 其它, 本步骤中的R为信任策略表中由步骤4.2c所确定的IP地址的信任值R; 4.2e、随机抽取来自步骤4.2c所确定的IP地址的报文信息样本,样本个数为由步骤4.2d得到的抽样率C与扫描获取的该IP地址报文信息数量乘积的整数部分; 5、对报文信息样本采用深度报文检测,如果检测到对等网络流量记录,则将信任策略表中该IP地址的信任值减1; 6、一个IP地址的信任度周期期满,如果该IP地址在该信任度周期没有对等网络流量记录,则在自动转入下一个信任度周期时,将该IP地址信任策略表的信任值加1,否者在自动转入下一个信任度周期时的信任值不变; 7、当某个IP地址的抽样率大于两倍的基准抽样率,即(1-R/5)>2时,可以给予该IP地址警告或者限制其网络流量的处罚;当某个IP地址的抽样率达到1/6时,可以给与该IP地址严重警告或者严格限制其网络流量的处罚; 8、返回步骤3。
权利要求
1、在对等网络中采用信任抽样的深度报文扫描方法,该方法按下列步骤进行
1)、制作具有IP地址,信任值,基准抽样率,抽样率上限阈值,抽样率下限阈值,信任度周期六个字段的信任策略表;设置基准抽样率C0,抽样率上限阈值CS、抽样率下限阈值Cx、信任度周期T分钟,将信任值赋值为R;
2)、将网络流量扫描中新发现的IP地址存储在信任策略表的IP地址字段,把该IP地址的信任值R赋值为0,信任度周期赋值为T,并开始信任度周期计时;
3)、信任策略表中各个IP地址的抽样率C按下式计算
当时,C=CX
当时,C=CS
其它,
其中R为信任策略表中该IP地址的信任值,C0为信任策略表中的基准抽样率,N为大于等于2的正整数;
4)、按照步骤3)所确定的抽样率C抽取各IP地址的报文信息样本;
5)、对抽取到的报文信息样本采用深度报文检测,如果检测到对等网络流量记录,则将信任策略表中该IP地址的信任值减去1;
6)、一个IP地址的信任度周期期满,自动转入下一个信任度周期,如果该IP地址在信任度周期内没有对等网络流量记录,则将其下一个信任度周期的信任值加上1,否者信任值不变;
7)、返回步骤2。
2、根据权利要求1所述的在对等网络中采用信任抽样的深度报文扫描方法,其特征在于,所述的信任策略表中的基准抽样率采用分时段方式设置,即将一天24小时分成若干个时段,每个时段设置一个基准抽样率。
3、根据权利要求1所述的在对等网络中采用信任抽样的深度报文扫描方法,其特征在于,所述的信任策略表中的基准抽样率采用按流量峰值设置,即将流量分成若干个流量区间,每个流量区间设置一个基准抽样率。
4、根据权利要求1或2或3所述的在对等网络中采用信任抽样的深度报文扫描方法,其特征在于,当某个IP地址的抽样率大于两倍的基准抽样率时,给与该IP地址警告或者限制其网络流量的处罚;当某个IP地址的抽样率达到抽样率上限阈值时,给与该IP地址严重警告或者严格限制其网络流量的处罚。
全文摘要
本发明公开了一种在对等网络中采用信任抽样的深度报文扫描方法,涉及计算机对等网络的应用,适用于高速主干网对等网络流量的识别。本发明在采用抽样策略与深度报文检测相结合的同时,引入信任机制,根据信任度的高低,调节抽样率,让深度报文扫描更加具有针对性,在保证较高准确率的前提下,提高了检测效率,降低了硬件负担,减少了网络延时。
文档编号H04L12/56GK101572663SQ20091006241
公开日2009年11月4日 申请日期2009年6月3日 优先权日2009年6月3日
发明者王春枝, 陈宏伟, 昕 周, 尤方萍, 欧阳勇 申请人:湖北工业大学