专利名称:一种对等网络应用流量识别方法
技术领域:
本发明涉及计算机网络的应用,尤其涉及计算机对等网络的应 用,属于计算机网络、分布式计算和模式识别的交叉技术应用领域, 主要用于识别网络流是否属于对等网络应用流量。
技术背景对等网络(Peer-to-Peer,简写P2P)是一种整个网络结构中不 存在中心节点(或中心服务器)的网络结构思想。它能充分利用互联 网的边缘资源,即用户的计算能力、存储能力和带宽,甚至计算机硬 盘的内容。作为一种越来越具有普遍应用价值的技术,对等网络对于 未来的网络传播特性的影响将不可估量。对等网络技术在下载类应 用、流媒体应用、即时消息类应用、以及语音应用等领域都有着广泛 的应用。对等网络流量本身呈现的上下行对称、长程、跨域流量增多 等特性使得传统的因特网网络流量模式发生了巨大的变化,对等网 络应用的飞速发展一方面丰富了网络中的应用形式,但另一方面也带 来了许多负面影响对等网络应用给计算机网络的运营、管理带来了如下几个方面的 影响(1)带宽占用严重,扩容压力不断增加。对等网络应用已经成为因特网上流量最大的一类应用,其占用网络带宽在60% 80%之间。(2)语音、核心业务流失。对等网络应用中的语音服务对运营商 核心业务造成极大影响。其语音通话质量能够达到主流传统电话服务 提供商的业务质量。(3)可增值业务的影响。目前对等网络应用大都 以免费形式提供其服务质量直逼运营商下一步重点推广的增收杀手 级应用。同时对等网络技术也提出了一些全新的安全课题,诸如(1)国 家信息安全问题目前对等网络应用上的反政府言论和色情信息泛 滥。(2)公司知识产权问题合法用户可以利用对等网络应用软件将 公司内部网络的数据传播出去,对企业造成了严重威胁。(3)系统安 全问题对等网络应用文件共享没有文件存储中心,使得文件共享的 集中可控制性、可管理性下降,大量非授权、盗版文件在普通用户之 间传播交互,给各种病毒、网络攻击、恶意软件在各个客户端之间传 播提供温床,给网络安全运行埋下了巨大隐患。对等网络应用在带来网络发展繁荣的同时,也带来矛盾和挑战。 准确地识别网络中对等网络应用流量有利于合理利用互联网基础设 施,解决因对等网络应用流量而造成的网络带宽拥挤问题;有利于用 户关键业务的使用,为用户提供服务质量保证;有利于制止非法内容 在对等网络应用中的传播,保障对等网络应用健康、规范和有序的发 展,构造一个和谐健康的网络环境。检测传统流量的方法是基于端口的,而许多对等网络应用的发展 趋势则是尽量避免被流量检测设备检测到,具体来说表现出如下特 征(1)动态选定端口、使用可变端口。动态选定端口一般使用随机。使用可变端口是指事先设置一个默认端口,但 允许用户改变该端口。 (2)伪装成其它流量。 一方面使用端口号80 传输其流量,另一方面其报文格式模仿超文本传输协议流量。(3)加 密应用层数据。采用加密技术对部分报文进行加密,使得对其流量的检测变得异常困难。(4)使用匿名对等网络技术。匿名通信是信息隐藏的手段之一,目的是尽力阻止通信分析,匿名通信需要使用一个或 多个代理才能实现。对等网络应用中大量的结点都可以作为代理,这 就为对等网络应用中的匿名通信(匿名对等网络应用)提供了有利条 件。传统检测方法错误地检测了多种对等网络应用流量,不适用于有 大量对等网络应用流量的网络环境中使用。当前对对等网络应用流量检测发展趋势主要采用深度包检测方 法和深度流检测方法,这两种方法各有利弊。深度包检测方法易于理 解、升级方便、维护简单,是目前运用最普遍的对等网络应用流量识 别方法。深度包检测技术对传统的流量检测技术进行了 "深度"扩展, 在获取数据包基本信息的同时,对多个相关数据包的应用层协议头和 协议负荷进行扫描,获取寄存在应用层中的特征信息,对网络流量进 行精细的检查、监控和分析。深度流检测方法关注于网络流量特征的通用性,仅通过对网络流 量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字 节长度分布等参数的分析,来获取业务类型、业务状态。相对于传统因特网业务流量而言,对等网络应用业务流量表现出以下特点高速 传输;数据量大;在线时间长;上下行流量对称;业务点分布广泛。从对等网络应用流量识别的技术现状来看,基于应用数据分析技 术的深度包检测方法由于具有准确性高、健壮性好、具有分类功能, 且过去的对等网络应用系大都未加密,因此是对等网络应用流量识别 的主要方法。但是,基于深度包检测技术也面临诸如如何提高检测算 法的性能、如何支持对加密数据的分析、如何更新对等网络应用特征 库等问题。同样,基于流量特征的深度流检测方法虽然具有性能高、 可扩展性好的优点,但由于准确性差,因此在实际应用中也面临诸多 困难。此外,现有方法都以离线数据分析为主,缺乏对等网络应用流 量的实时识别能力。从本质来看,基于流量特征的检测属于启发式方 法,而深层数据分析属于精确匹配方法。如果能够结合这两种方法的 优点,就有可能设计出一个准确、高效的对等网络应用流量实时识别 算法来。如何针对快速演化的对等网络应用,根据其不变传输特性建 立相应的分析模型,提出新的理论框架是现今一个比较有挑战性的问 题。发明内容本发明的目的是提供一种对等网络应用流量识别方法。该方法 采用深度流检测和深度包检测相结合的方法对采集到的网络流量数 据进行检测,其中深度流检测主要是将采集到的网络流量数据与特 征库中的特征码进行比照,从而判别网络流量是否包含了对等网络应 用流量;而深度流检测则依据网络流量数据上、下行流量的对称性及 对等节点与其它对等节点的连接数,从而判别网络流量是否包含了对 等网络应用流量。本发明的优点是有效地扩展了对等网络应用流量的识别范围,提高了识别对等网络应用流量的准确率。 为了达到上述目的,本发明采用如下技术方案 一种对等网络应用流量识别方法,该识别方法包含以下步骤1) 、从开源代码、网上文章获取对等网络应用工具寄存在应用层 中协议头和协议负荷中的特征码,每个特征码作为对等网络应用包识 别特征库的一个特征信息,收集到的所有特征码就构成对等网络应用 包识别特征库;2) 、监测并搜集局域网的网络流量数据,将采集到的网络流量数 据同时发送给深度包检测模块和深度流检测模块;3) 、深度包检测模块采用深度包检测方法对收到的网络流量数据 的应用层协议头和协议负荷进行扫描,如果网络流量中某段数据与对 等网络应用包识别特征库的特征码相匹配,认为该网络流量包含了对 等网络应用流量,找出发送和接收该段数据的节点,则判定该节点使 用了对等网络应用工具,否则交步骤4)判断;4) 、深度流检测模块采用深度流检测方法进行识别,若所采集到的网络流量数据中某节点的上行流量与下行流量之比在0. 9至1. 1之 间,且该节点与15个以上节点相连接,则判定该节点使用了对等网 络应用工具,否则判定该节点未使用对等网络应用工具。其中对等网络应用包识别特征库是开放式的数据库,随着对等 网络应用工具的不断增加而不断地增加特征信息,使得对等网络应用 包识别特征库的特征信息能尽量覆盖当前的对等网络应用工具。本发明的有益效果是1、 有效扩展对等网络应用流量的识别范围,从而使得监控对等 网络应用流量成为可能。由于本发明采用深度包检测和深度流检测两 种方法协同工作,不仅能够提高识别对等网络应用流量的准确率,而 且还能有效地识别一些未知的、新型的、加密的对等网络应用。2、 保障对等网络应用健康、规范和有序的发展。准确地监控网 络中对等网络应用流量有利于合理利用互联网基础设施,解决因对等 网络应用流量而造成的网络带宽拥挤问题;有利于用户关键业务的使 用,构建一个和谐健康的网络环境。3、 为对等网络的应用管理提供了有力的工具。随着宽带技术的 广泛应用和宽带用户的不断增加,以消耗大量带宽资源为特征的协议 和应用技术一对等网络应用得到了广泛的应用,同时,也给网络管理 带来了困难,而能够有效识别对等网络应用流量是网络管理的基础, 因此,本发明可广泛应用于多个行业部门。
具体实施例方式以下对本发明作进一步的解释和说明。一种对等网络应用流量识别方法,该识别方法包含以下步骤.-1)、从开源代码、网上文章获取对等网络应用工具寄存在应用层 中协议头和协议负荷中的特征码,每个特征码作为对等网络应用包识 别特征库的一个特征信息,收集到的所有特征码就构成对等网络应用 包识别特征库;不同的对等网络应用都有着它自身的交互协议,这些交互协议的 协议头和协议负荷中携带着一些特征字符串,例如P2P协议的eDonkey2000携带着0xe319010000和0xc53f010000的字符串,本发 明称0xe319010000和0xc53f010000均为"特征码",又如P2P协i义 的Fasttrack携带着"特征码""Get /. hash"和0x270000002980, P2P协议的BitTorrent携带着"特征码""0xl3Bittorren Protocol" ,P2P协议的Gnutella携带着"特征码""GNUT", "GIV"和"GND",各种对等网络应用的交互协议以及其"特征码" 可从从开源代码、网上文章等各种途径获取,每个特征码作为对等网 络应用包识别特征库的一个特征信息,收集到的所有特征码就构成对 等网络应用包识别特征库。因此,只要在网络流量中检测到这些"特 征码",就可基本确定该网络流量是对等网络流量。由于对等网络应 用工具的不断增加,对等网络应用包识别特征库也就需要不断增加其 相应的"特征码",使得对等网络应用包识别特征库的特征信息能尽 量覆盖当前的对等网络应用工具;2) 、监测并搜集局域网的网络流量数据,将采集到的网络流量数 据同时发送给深度包检测模块和深度流检测模块;深度包检测模块是能实现步骤3)功能的计算机软件; 深度流检测模块是能实现步骤4)功能的计算机软件;3) 、深度包检测模块采用深度包检测方法对收到的网络流量数据的应用层协议头和协议负荷进行扫描,如果网络流量中某段数据与对 等网络应用包识别特征库的特征码相匹配,认为该网络流量包含了对 等网络应用流量,找出发送和接收该段数据的节点,则判定该节点使用了对等网络应用工具,否则交步骤4)判断;所谓的特征码相匹配,是指网络流量中某段数据的字符串与对等 网络应用包识别特征库中的某一个特征码相同。4)、深度流检测模块采用深度流检测方法进行识别,若所采集到 的网络流量数据中某节点的上行流量与下行流量之比在O. 9至1. 1之 间,且该节点与15个以上节点相连接,则判定该节点使用了对等网 络应用工具,否则判定该节点未使用对等网络应用工具。
权利要求
1、一种对等网络应用流量识别方法,其特征在于,该识别方法包含以下步骤1)、从开源代码、网上文章获取对等网络应用工具寄存在应用层中协议头和协议负荷中的特征码,每个特征码作为对等网络应用包识别特征库的一个特征信息,收集到的所有特征码就构成对等网络应用包识别特征库;2)、监测并搜集局域网的网络流量数据,将采集到的网络流量数据同时发送给深度包检测模块和深度流检测模块;3)、深度包检测模块采用深度包检测方法对收到的网络流量数据的应用层协议头和协议负荷进行扫描,如果网络流量中某段数据与对等网络应用包识别特征库的特征码相匹配,认为该网络流量包含了对等网络应用流量,找出发送和接收该段数据的节点,则判定该节点使用了对等网络应用工具,否则交步骤4)判断;4)、深度流检测模块采用深度流检测方法进行识别,若所采集到的网络流量数据中某节点的上行流量与下行流量之比在0.9至1.1之间,且该节点与15个以上节点相连接,则判定该节点使用了对等网络应用工具,否则判定该节点未使用对等网络应用工具。
全文摘要
本发明公开了一种对等网络应用流量识别方法,涉及计算机对等网络的应用,主要用于开放的网络环境中。本发明采用深度包扫描和深度流扫描相结合的流量识别方法,对当前日益增长的对等网络应用的流量进行识别。其中深度流检测主要是将采集到的网络流量数据与特征库中的特征码进行比照,从而判别网络流量是否包含了对等网络应用流量;而深度流检测则依据网络流量数据上、下行流量的对称性及对等节点与其它对等节点的连接数,从而判别网络流量是否包含了对等网络应用流量。本发明的优点是有效地扩展了对等网络应用流量的识别范围,提高了识别对等网络应用流量的准确率,从而保障对等网络应用健康、规范和有序的发展。
文档编号H04L12/26GK101577644SQ200910062730
公开日2009年11月11日 申请日期2009年6月16日 优先权日2009年6月16日
发明者叶志伟, 胡征兵, 陈宏伟 申请人:华中师范大学