专利名称:一种基于实时行为特征识别p2p流量的方法
技术领域:
本发明涉及互联网技术领域,特别涉及一种基于实时行为特征识别P2P流量的方法。
背景技术:
传统的P2P流量识别方法主要依靠应用层数据特征检测法、固定端口检测法等方法,依靠应用层数据特征检测法只能识别出P2P软件连接固定域名或者主机时的流量,而对于固定端口检测法,目前大多数P2P协议使用随机端口或协议伪装技术,此方法的精度很差。为了有效地对P2P流量进行识别,又提出了端口关联或者数据传输关联的方法,端口关联的前提是监听端口或者新建的连续端口所属的连接必须满足至少有一条连接能被内容识别的条件,否则将无法关联。而数据传输关联的前提是必须首先满足P2P流量的某些共同特征,但这些共同特征并不适用于所有的P2P流量,比如共同特征的条件要求协议端口大于4096,但并不是所有的P2P流量都能满足这个条件。也就是说,端口关联或者数据传输关联都必须在满足某种前提条件的情况下才能进行关联,如果不满足这些条件,这些P2P流量将不能被成功识别。
发明内容
(一 )所要解决的技术问题本发明的目的为提供一种利用实时行为特征识别P2P流量的方法,解决了不满足端口关联和数据传输关联的前提条件但又属于P2P流量的识别问题。( 二 )技术方案本发明提供了一种基于实时行为特征识别P2P流量的方法,所述方法包括:S1、获取当前IP下所有连接的信息;S2、根据获取的连接信息,判断连接的端口是否出现了聚集分布现象或序列分布现象;S3、查看出现端口聚集分布现象或序列分布现象的连接的所属应用,若出现P2P应用,则将所述连接识别为所述P2P应用,若未出现P2P应用,则将所述连接识别为“其它P2P应用”; S4、对所述“其它P2P应用”进行连续抽样跟踪,并进行关联识别。其中,步骤SI中的所述信息包括:连接的五元组信息、所属应用和创建时间。其中,所述步骤S2包括:若连接为UDP连接,则统计相同端口上连接的个数,根据所述连接的个数占所述当前IP下的所有连接的比例来判断是否出现端口的聚集分布现象;若连接为TCP连接,则根据邻近端口上连接的个数占所述当前IP下的所有连接的比例和连接的时间分布判断是否出现端口的序列分布现象。(三)有益效果
传统的内容识别只能识别P2P协议的很少一部分流量,而不满足端口关联和数据传输关联的前提条件但又确实属于P2P流量的连接并不在少数,本发明提出了一种利用实时行为特征识别P2P协议的方法,与传统方法相比,这种发明可以抛弃端口关联和数据传输关联“先识别其中一部分”的约束,直接将符合现象的流量识别成“其它P2P应用”,然后再进行关联识别,从而提高协议识别率,对P2P现有识别机制做了一个有效补充。
图1为本发明提供方法的步骤流程图。
具体实施例方式下面结合附图和具体实施方式
对本发明做进一步详细说明。本发明提供一种基于实时行为特征的识别P2P流量的方法,实时行为特征为:TCP端口的序列分布和m)P端口的聚集分布,是P2P协议的实时行为特征。TCP端口的序列分布是指:应用的TCP协议的连接,其端口呈现出序列分布现象,如出现好多端口分别为4945、4947、4912、4943等的TCP连接,即端口邻近;UDP端口的聚集分布是指:应用的UDP协议的连接,其端口完全一样,如出现好多端口均为4015的UDP连接。如图1所示,该方法的步骤为:S1、获取当前IP下所有连接的信息;获取所有连接的信息,信息包括:连接的五元组信息,连接的创建时间,连接所属的应用等。S2、根据获取的连接信息,判断连接的端口是否出现了聚集分布现象或序列分布现象;根据获取的连接信息,判断若连接为UDP连接,则统计相同端口上连接的个数,根据所述连接的个数占所述当前IP下的所有连接的比例来判断是否出现端口的聚集分布现象;若连接为TCP连接,则根据邻近端口上连接的个数占所述当前IP下的所有连接的比例和连接的时间分布判断是否出现端口的序列分布现象。这里并不是所有连接都需判断,只对需要关注的连接包括P2P协议、未知协议、数据传输协议的连接进行判断。具体判断UDP端口聚集现象的过程:一条UDP连接,获取它的五元组信息,进而得知连接的端口,假设为A,当来下一条UDP连接时,获取它的五元组信息,如果它的端口也是A,以此类推,若出现端口都为A的UDP连接占该IP下所有连接达到一定的比率时,那就认为这些连接的端口出现了聚集分布,这里“一定的比率”会根据实验结果不断调试,在实验结果为最佳的情况下取值;判断TCP端口的序列分布现象的过程:一条TCP连接,获取到它的五元组信息,得知这条连接的端口,假设为4015,当来下一条连接时,获取到它的五元组信息,假设它的端口是4018,以此类推,若出现端口都在一定的范围内即端口相邻(比如端口差值为正负32)的连接占该IP下所有连接达到一定的比率时,且这些连接的创建时间必须接近,这时就认为这些连接的端口出现了序列分布,这里采用多个条件约束,使识别更精确,说明在短时间范围内出现了端口的序列分布。S3、查看出现端口聚集分布现象或序列分布现象的连接的所属应用,若出现P2P应用,则将所述连接识别为所述P2P应用,若未出现P2P应用,则将所述连接识别为“其它P2P应用”;当出现端口分布现象时,如果这些连接中所属的应用为P2P应用,如迅雷,那么这些连接都被识别为迅雷,如果不是P2P应用而为未知应用或数据传输应用,那么这些连接都被识别为“其它P2P应用”。S4、对所述“其它P2P应用”进行连续抽样跟踪,并进行关联识别。针对“其它P2P应用”的连接里面的数据包,比如:一条连接的第I个包参与一次识别,第8个包参与一次识别,第16个包参与一次识别……而并不是每个包都进行识别流程。抽样跟踪是为了节省性能,如果“其它P2P应用”的连接的每个数据包都进行关联识别的流程,会很耗费性能而且没有必要。本发明的最终目的是为了识别出具体的P2P应用,本发明中先将连接识别为“其它P2P应用”,然后使用关联机制做进一步的识别,提高了识别精度,对现有识别的方法进行了补充。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。`
权利要求
1.一种基于实时行为特征识别P2P流量的方法,其特征在于,所述方法包括: 51、获取当前IP下所有连接的信息; 52、根据获取的连接信息,判断连接的端口是否出现了聚集分布现象或序列分布现象; 53、查看出现端口聚集分布现象或序列分布现象的连接的所属应用,若出现P2P应用,则将所述连接识别为所述P2P应用,若未出现P2P应用,则将所述连接识别为“其它P2P应用”; 54、对所述“其它P2P应用”进行连续抽样跟踪,并进行关联识别。
2.如权利要求1所述方法,其特征在于,步骤SI中的所述信息包括:连接的五元组信息、所属应用和创建时间。
3.如权利要求1所述方法,其特征在于,所述步骤S2包括:若连接为UDP连接,则统计相同端口上连接的个数,根据所述连接的个数占所述当前IP下的所有连接的比例来判断是否出现端口的聚集分布现象;若连接为TCP连接,则根据邻近端口上连接的个数占所述当前IP下的所有连接的比例和连接的时间分布判断是否出现端口的序列分布现象。
全文摘要
本发明提供了一种基于实时行为特征识别P2P流量的方法,该方法包括获取当前IP下所有连接的信息;根据获取的连接信息,判断连接的端口是否出现了聚集分布现象或序列分布现象;查看出现端口聚集分布现象或序列分布现象的连接的所属应用,若出现P2P应用,则将所述连接识别为所述P2P应用,若未出现P2P应用,则将所述连接识别为“其它P2P应用”;对所述“其它P2P应用”进行连续抽样跟踪,并进行关联识别。通过本发明解决了不满足端口关联和数据传输关联的前提条件但又属于P2P流量的识别问题。
文档编号H04L12/26GK103200045SQ20131009461
公开日2013年7月10日 申请日期2013年3月22日 优先权日2013年3月22日
发明者杨宇云, 董茂培, 陈金达, 余兆, 许晶, 刘伟, 祝方方 申请人:汉柏科技有限公司