专利名称:一种对等网络监控方法、装置和设备的制作方法
技术领域:
本发明涉及一种对等网络监控方法、装置和设备,属于数据通信技术领域。
背景技术:
相对于传统的客户/服务器(Client/Server,简称C/S),对等 (Peer-to-Peer,简称P2P )通信模式具有不存在单点瓶颈、负载分散、 自愈能力强、可扩展性好等特点。
在传统的C/S模式下,数据分发采用专门的服务器, 一个服务器为多 个客户端服务,数据的上传和下载都要经过它。这种模式的优点在于系 统易于管理,安全性好,数据一致性易于控制;缺点是服务器负载大,易 成为单点瓶颈, 一旦失效则整个系统就会崩溃,另外由于服务器性能有限, 使得网络扩展性很差。随着计算机处理能力的进一步增强,当前市场上任 何一台计算机都可作为服务器,在这样的背景下,通信模式从C/S模式逐 步演变为P2P模式。
在P2P才莫式中,加入网络中的所有参与者都是对等的,它们既是一个 客户端,从网络中获取资源,同时也充当服务器的角色,为其它节点提供 服务资源,因而不存在单点瓶颈的问题,总的存储容量也大大增加。
筒单的说,P2P直接将人们联系起来,让人们通过互联网直接交互。 P2P使得网络上的沟通变得容易、更直接共享和交互,真正地消除中间商。 P2P就是人可以直接连接到其他用户的计算机、交换文件,而不是像过去 那样连接到服务器去浏览与下载。P2P另一个重要特点是改变互联网现在 的以大网站为中心的状态、重返"非中心化",并把权力交还给用户。目前P2P应用已经成为互联网的主要应用之一,并被列为下一代网络 体系结构的四项重要技术之一,它广泛应用于文件共享、网络视频、网络 电话等领域。其分布式资源共享和并行传输的特点,为用户提供了更多的
资源,更高的可用带宽和更好的服务质量,其流量已经占网络总流量的5 0 % 以上。同时,包括全球最热门文件共享软件电骡eMule、比特流BitTorrent 等以及当前最流行的实时流媒体应用在内的P2P软件进入人们的日常网络 生活,成为不可或缺的网络应用。
P2P的应用越来越广泛,禁止P2P的使用已经不现实,如何有效的利 用P2P技术为网络服务已成为当前技术发展的方向。P2P网络釆用的分布 式结构在提供扩展性和灵活性的同时,也使它面临着巨大的安全挑战它 需要在没有中心节点的情况下,提供身份验证、授权、数据信息的安全传 输、数字签名、加密等机制。
当人们使用P2P技术,可能在不知不觉中给其他用户以访问个人或敏 感信息的访问权限,这样可能造成有意图的人入侵访问例如个人文档、账 户等敏感信息,因此需要考虑如何保护用户的安全策略。
许多P2P应用需要在防火墙上打开特定的端口来允许接受共享文件, 当前许多P2P支持防火墙穿越,通过超文本传输协议(Hypertext Transfer Protocol,简称HTTP)的80端口来承载P2P报文,因此需要考虑防火墙 具备深度报文检测能力,通过深度包检测技术(Deep Packet Inspection, 简称DPI)扫描分类出流的应用层协议,标识出具体的P2P业务类型,并利 用三层整形技术实施流量控制。早期的P2P应用都是固定的端口号,容易 检测便于管理,后来逐渐发展到动态随机端口号, 一些传统的检测方法失 去了作用。新型P2P应用采用一些加密的手法,伪装HTTP协议,传输分 块等来逃避识别和;险测,防止用户敏感信息或关4建文档的泄漏。
为了有效控制网络P2P应用,必须对P2P应用进行有效地监控,它涉 及到下面几个方面的问题P2P应用识别、P2P文件传输内容识别以及文件安全保障。在目前实际网络中,主要还集中在对于P2P流量的识别控制
阶段,对于P2P文件传输的安全性方面目前还未引起重视。目前的P2P识 别控制方法主要分为以下几种
1、 端口识别法
在P2P应用兴起的早期,大多数应用使用的都是固定端口 ,例如, BitTorrent使用6881-6889端口。在这种情况下,对其流量的识别方式与 识别普通应用分组的方式完全相同在需要监测的网络中被动收集分组, 然后检查分组的运输层首部信息,如果端口号与某些特定的端口号匹配, 则说明该分组即为P2P流量分组,可以按照预设的动作对其进行处理。这 种识别方法最大的优点就是简单易行,它不需要进行复杂的分组处理即可 得出结论。在P2P应用出现的初期它显得十分简单有效,但是随着P2P技 术的发展,该方法逐渐变得不再适用,因此后来又出现了一些新的技术方 案。
2、 应用层特;f正识别法
与第一代使用固定端口进行数据传输的P2P应用不同,当前许多P2P 应用都能够通过使用随机端口来掩盖其存在,有些甚至可以使用HTTP,简 单邮件传输协议(Simple Mail Transfer Protocol,筒称SMTP)等一些协 议使用的熟知端口 ,这增加了识别P2P流量的难度简单的通过分析分组 首部的端口信息已经无法识别出这类应用的存在。
但是,每种应用的分组中都携带有特定的报文信息,例如,HTTP协议 报文中会出现GET, PUT, POST等报文字样。与之相类似,在各种P2P应 用协议中也具有类似的信息。因此,人们提出了通过检查分组内部携带的 负载信息进行分组识别的方法。
3、 流量模式识别法
这是在某种路由器中实现的一种功能,该路由器记录经过它的每条流 的信息,因此可以实现基于流的流量识别和控制功能,以一种新的方式对P2P流量进行识别和控制。并且,如前所述,这一解决方案是基于P2P流 的内在特征的,避免了前面两种识别方法中的一些问题。
通过分析不同应用的流量模式,可以实现识别P2P流量的目的。而且 这一方法不需要对分组内部用户数据进行检查,因此不受数据是否加密的 限制,扩大了其适用范围。但是,由于需要记录每条流的信息,这种方法 对内存空间以及处理速度都提出了比较大的要求。
4、连接模式识别法
这种方法仅仅统计用户分组的首部信息,而不涉及具体数据。因此一 方面克服了前述方法对加密数据无法识别的问题,同时又不涉及用户的具 体数据,符合因特网(Internet)体系结构中的端到端原则。其基本思想是 基于观察源和目的IP地址的连接模式。 一些模式是P2P所独有的,因此 可以由此直接将P2P流量识别出来;另外一些模式由P2P和其它少数应用 所共有,这时可以根据对应IP地址的流历史以及其它特征来减少误判概 率。
方法1对于使用随机端口的P2P应用无效,对于P2P文件共享安全无
涉及;
方法2只能针对已知数据格式的P2P应用进行识别,这使得每出现一 种新的P2P应用,就需要修改上述实现,因而造成其扩展性不好;由于需 要对分组内部数据进行全面的检查分析,使得其实现效率不是很高;随着 技术的发展, 一些P2P应用开始以密文方式进行数据传输,面对这种情况 用户数据识别方式则完全是无能为力。
方法3和4虽然可以对加密的P2P数据进行识别,但是也仅能识别数 据是否是P2P数据,无法获知数据的具体内容,因而无法识别出哪些内容 是敏感内容。
发明内容
本发明的目的是提供一种对等网络监控方法、装置和设备,解决了在P2P数据加密情况下现有P2P流量识别和控制方法仅能识别P2P协议类型而 无法识别加密数据内容,从而无法判断P2P网络的共享文件中是否存在敏感 信息的问题。
为实现上述目的,本发明提供了一种对等网络监控方法,所述方法包
括
作为对等节点加入对等网络;
获取所述对等网络中其它对等节点上共享文件的文件信息; 根据所述文件信息和预先设置的敏感信息判断规则判断所述共享文件是 否为敏感文件。
为了实现上述目的,本发明还提供了一种对等网络监控装置,所述装置
包括对等网络加入单元、文件信息获取单元和判断单元; 所述对等网络加入单元用于作为对等节点加入对等网络; 所述文件信息获取单元与对等网络加入连接,用于在加入对等网络
后获取所述对等网络中其它对等节点上共享文件的文件信息,并发送给判断
单元;
所述判断单元与文件信息获取单元连接,用于根据所述文件信息和预先 设置的敏感信息判断规则判断所述共享文件是否为敏感文件。
为了实现上述目的,本发明又提供了一种对等网络监控设备,所述监控 设备包括上述监控装置。
本发明通过将监控装置作为P2P对等体加入到P2P网络,利用P2P技术 原理,获取P2P网络内部的共享文件信息,解决了在P2P数据加密情况下现 有P2P流量识别和控制方法仅能识别P2P协议类型而无法识别加密数据内容, 从而无法判断P2P网络的共享文件中是否存在敏感信息的问题。
图1为本发明一种对等网络监控方法实施例一示意2为本发明一种对等网络监控方法实施例二示意图
图3为本发明一种对等网络监控装置实施例一示意图 图4为本发明一种对等网络监控装置实施例二示意图 图5为本发明一种对等网络监控设备实施例示意图
具体实施例方式
本发明提供了一种对等网络监控方法,图1给出了本发明一种对等网络 监控方法实施例一示意图,所述方法包括以下步骤
步骤SI: P2P监控端作为P2P节点加入P2P网络;具体可以通过实现对 等网络协议加入所述对等网络,例如根据目前已有的P2P软件,安装P2P软 件客户端来加入该软件应用程序所对应的P2P网络。
步骤S2:获:f又P2P网络中其它P2P节点上共享文件的文件信息;文件信 息可以包括文件内容、文件标题和文件关键字中的一种或多种。
步骤S3:根据所述文件信息和预先设置的敏感信息判断规则判断所述共 享文件是否为敏感文件;例如可以判断文件内容、文件标题和文件关键字中 的一种是否包含预先设置的敏感关键字,如果是则判断所述共享文件为敏感 文件,否则为非敏感文件;也可以判断文件内容、文件标题和文件关键字中 的任意两种中是否均包含预先设置的敏感关键字,如果是则判断所述共享文 件为敏感文件,否则为非敏感文件;或者判断文件内容、文件标题和文件关 键字中是否均包含预先设置的敏感关键字,如果是则判断所述共享文件为敏 感文件,否则为非專文感文件。
图2给出了本发明一种对等网络监控方法实施例二示意图,本实施例除 了包括方法实施例一的步骤外,还包括以下步骤
步骤S4:获取所述共享文件的文件标识符;文件标识符用于唯一的标识 所述共享文件,可以通过从其它P2P节点上或从对P2P网络专用服务器上获 取此文件标识符,例如文件共享软件电骡eMule的P2P客户端可以从其它
9P2P客户端获取包含文件标识符的信息,而文件共享软件比特流
BitTorrent则需要从专用的种子列表服务器上获取包含文件标识符的信 自、
W o
步骤S4可以在步骤S2之后执行,此时获:f又的文件标识符即为所述文件 信息对应的共享文件的文件标识符;步骤S4也可以与步骤S2同步执行,此 时指定特定的共享文件,并同时获取所述共享文件的文件信息和文件标识符; 或者步骤S4也可以在步骤S3之后执行,即判断所述共享文件为敏感文件之 后,再获取所述共享文件的文件标识符。
步骤S3中如判断所述共享文件为敏感文件,则执行步骤S5,否则执行 步骤S8。
步骤S5:在所述共享文件为敏感文件时,根据文件标识符生成过滤规则; 过滤规则具体可以为对包含所述文件标识符的数据包进行过滤,例如把包 含该文件标识符的数据包丢弃。
步骤S6:将所述过滤规则下发给网络出口设备,网络出口设备为内部网 络连接到Int erne t的 一种出口管理和控制设备,如网关。
步骤S7:网络出口设备根据所述过滤规则对共享文件进行过滤。
步骤S8:结束。
本发明还提供了一种对等网络监控装置,图3给出了本发明一种对等网
络监控装置实施例一示意图,监控装置D1包括对等网络加入单元M1、文件
信息获取单元M2和判断单元M3;
对等网络加入单元Ml用于作为对等节点加入对等网络; 文件信息获取单元M2与对等网络加入单元Ml连接,用于在加入对等网
络后获取所述对等网络中其它对等节点上共享文件的文件信息,并发送给判
断单元;
所述判断单元M3与文件信息获取单元M2连接,用于根据所述文件信息 和预先设置的敏感信息判断规则判断所述共享文件是否为敏感文件。
10图4给出了本发明一种对等网络监控装置实施例二示意图,本实施例除
了包括装置实施例一的结构特征外,监控装置Dl还包括文件标识符获取单元 M4、过滤规则生成单元M5和过滤规则下发单元M6;
文件标识符获取单元M4与文件信息获取单元M2连接,用于获取所述共 享文件的文件标识符;
过滤规则生成单元M5与判断单元M3和文件标识符获取单元M4连接,用 于在所述共享文件为敏感文件时,根据文件标识符生成过滤规则;
所述过滤规则下发单元M6与过滤规则生成单元M5连接,用于将所述过 滤规则下发给网络出口设备。
文件信息获耳又单元M2还可以进一步包括
文件内容获取单元M21 ,用于在加入对等网络后获取所述对等网络中其 它对等节点上共享文件的文件内容,并发送给判断单元;和/或
文件标题获取单元M22,用于在加入对等网络后获取所述对等网络中其 它对等节点上共享文件的文件标题,并发送给判断单元;和/或
文件关键字获取单元M23,用于在加入对等网络后获取所述对等网络中 其它对等节点上共享文件的文件关键字,并发送给判断单元;
本发明又提供了一种对等网络监控设备,包括装置实施例一、二、三的 任意一种监控装置,图5给出了本发明一种监控设备实施例示意图,监控设 备A1包括上述的监控装置Dl,所述监控设备可以为网络出口设备,也可以 为出口网络设备之外的独立设备。
本发明通过将监控装置作为P2P对等体加入到P2P网络,利用P2P技术 原理,获取P2P网络内部的共享文件信息,解决了在P2P数据加密情况下现 有P2P流量识别和控制方法仅能识别P2P协议类型而无法识别加密数据内容, 从而无法判断共享文件中是否存在敏感信息的问题。
本发明还通过获取P2P网络中唯一标识共享文件的文件标识符,在判 断共享文件为敏感文件时,向网络出口设备下发根据文件标识符生成的过滤规则,对敏感文件进行过滤,保证了网络的文件安全,防止了内部敏感 信息外泄。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1. 一种对等网络监控方法,其特征在于,所述方法包括作为对等节点加入对等网络;获取所述对等网络中其它对等节点上共享文件的文件信息;根据所述文件信息和预先设置的敏感信息判断规则判断所述共享文件是否为敏感文件。
2. 根据权利要求1所述的方法,其特征在于,所述获取所述对等网络中 其它对等节点上共享文件的文件信息之后还包括获取所述共享文件的文件 标识符;所述根据所述文件信息和预先设置的敏感信息判断规则判断所述共享文 件是否为敏感文件之后还包括如果所述共享文件为敏感文件,则根据文件 标识符生成过滤规则,并将所述过滤规则下发给网络出口设备,否则结束操作。
3. 根据权利要求2所述的方法,其特征在于,所述将所述过滤规则下发 给网络出口设备之后还包括网络出口设备根据所述过滤规则对共享文件进 行过滤。
4. 根据权利要求l-3所述的任一方法,其特征在于,所述根据所述文件 信息和预先设置的敏感信息判断规则判断所述共享文件是否为敏感文件具体 为判断所述文件信息是否包含预先设置的敏感关键字,如果是则判断所述 共享文件为敏感文件,否则为非敏感文件。
5. 根据权利要求4所述的方法,其特征在于,所述文件信息包括文件内 容、文件标题和文件关键字中的一种或多种。
6. 根据权利要求1或2所述的方法,其特征在于,所述作为对等节点加 入对等网络具体为通过实现对等网络协议加入所述对等网络。
7. —种对等网络监控装置,其特征在于,所述装置包括对等网络加入单元、文件信息获取单元和判断单元;所述对等网络加入单元用于作为对等节点加入对等网络; 所述文件信息获取单元与对等网络加入单元连接,用于在加入对等网络后获取所述对等网络中其它对等节点上共享文件的文件信息,并发送给判断单元;所述判断单元与文件信息获取单元连接,用于根据所述文件信息和预先 设置的敏感信息判断规则判断所述共享文件是否为敏感文件。
8. 根据权利要求7所述的装置,其特征在于,还包括文件标识符获取单 元、过滤规则生成单元和过滤规则下发单元;所述文件标识符获取单元与文件信息获取单元连接,用于获取所述共享 文件的文件标识符;所述过滤规则生成单元与判断单元和文件标识符获取单元连接,用于在 所述共享文件为敏感文件时,根据文件标识符生成过滤规则;所述过滤规则下发单元与过滤规则生成单元连接,用于将所述过滤规则 下发给网络出口设备。
9. 根据权利要求7或8所述的装置,其特征在于,所述文件信息获取单 元进一步包括文件内容获取单元,用于在加入对等网络后获取所述对等网络中其它对 等节点上共享文件的文件内容,并发送给判断单元;和/或文件标题获取单元,用于在加入对等网络后获取所述对等网络中其它对 等节点上共享文件的文件标题,并发送给判断单元;和/或文件关键字获取单元,用于在加入对等网络后获取所述对等网络中其它 对等节点上共享文件的文件关键字,并发送给判断单元。
10. —种对等网络监控设备,其特征在于,所述设备包括权利要求7-9 所述的任一装置。
全文摘要
本发明提供了一种对等网络监控方法、装置和设备。所述方法包括作为对等节点加入对等网络;获取所述对等网络中其它对等节点上共享文件的文件信息;根据所述文件信息和预先设置的敏感信息判断规则判断所述共享文件是否为敏感文件。本发明通过将自己作为P2P对等体加入到P2P网络,利用P2P技术原理,获取P2P网络内部的共享文件信息,解决了在P2P数据加密情况下现有P2P流量识别和控制方法仅能识别P2P协议类型而无法识别加密数据内容,从而无法判断P2P网络的共享文件中是否存在敏感信息的问题。
文档编号H04L29/06GK101510878SQ20091008072
公开日2009年8月19日 申请日期2009年3月27日 优先权日2009年3月27日
发明者辉 姚 申请人:北京星网锐捷网络技术有限公司