专利名称:基于p2p高速下载软件产生流量的发现及控制方法
技术领域:
本发明涉及一种对软件使用状况进行监控的方法,具体涉及基于P2P高速下载软件产生流量的发现及控制方法。
背景技术:
基于P2P的高速下载软件采用分布式对象的定位、共享机制,使网络用户之间实现直接资源共享,因此,它为用户资源共享提供了前所未有的自由和便利。然而,高速下载软件也带来了负面的影响,主要表现为,1、网络带宽资源被非法占用高速下载软件的使用常常导致网络带宽资源被大量的非法占用,从而影响了正常的网络通信;2、会成为机密资料泄密、病毒传播的最佳管道由于基于P2P的高速下载软件可以实现直接资源共享,因此,它也成为机密资料泄密、病毒传播的最佳管道。因此,如何有效地发现及控制基于P2P的高速下载软件的传输流量(使用状况),已经成为网络用户普遍关注的问题。
传统的发现及控制基于P2P的高速下载软件产生的流量的解决办法包括采用限制和监控浏览BT网站、封闭高速下载软件下载端口、限制用户带宽、限制最大连接数等方法。但这些方法并未起到理想的效果,这是因为用户不通过BT网站也可以得到“种子”;另一方面基于P2P的高速下载软件采用端口协商的方式,通讯端口是动态的,使得用户无法确定该封锁的端口;同时限制用户带宽、限制最大连接数的方法虽然可以对控制(阻断)高速下载软件产生的流量具有一定的作用,但是,这种方法不能从根本上解决问题,而且可能会影响用户正常的网络使用。
发明内容
本发明的主要目的是提供一种基于P2P高速下载软件产生流量的发现及控制方法,以克服现有技术存在的网络带宽资源被非法占用并且会成为机密资料泄密、病毒传播的最佳管道的问题。
为克服现有技术存在的问题,本发明的技术方案是通过对数据包特征码(关键字)进行识别来确认高速下载软件类型,然后通过阻断(或丢弃)它的TCP连接握手协议数据包,达到阻断高速下载软件运行(产生的流量)的目的。
本方法具体包括以下几个步骤步骤一建立基于P2P的高速下载软件产生的流量的特征码(关键字)库和控制规则库,其中控制规则库是指由用户配置的关于各个基于P2P的高速下载软件产生的流量的处理规则,该控制规则库通过一条或多条规则组成,先添加的规则先生效;步骤二在传输层捕获每一个数据包;步骤三对每一个数据包进行特征码(关键字)匹配,通过匹配到的特征码(关键字)来确认产生该数据包的高速下载软件类型;步骤四如果确定了某个数据包符合某个基于P2P的高速下载软件特征码(关键字),则根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码(关键字)库中的任何特征码(关键字)都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
上述方案还包括步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作。
上述步骤一中所述的基于P2P的高速下载软件产生的流量的特征码(关键字)至少包括BT,电驴,fasttrack,gnutella,dc,openft。
上述步骤四所述的特征码(关键字)匹配为首先捕获数据包,然后将数据包的内容与关键字库中的所有特征码(关键字)进行逐一对比,如果匹配上其中的一个特征码(关键字),则匹配过程停止,提取该特征码(关键字)对应的高速下载软件类型,并继续执行步骤五,根据高速下载软件类型进行相应的控制规则匹配。
以上步骤五所述的高速下载软件类型控制规则匹配为首先逐行的读取基于P2P的高速下载软件控制规则文件,将规则文件逐行转化为规则的内部链表形式,再遍历整个规则链表,对基于P2P的高速下载软件类型进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,并执行该条链表规则的动作;系统预置动作至少包括阻断、放行或放入黑名单等。
上面两个步骤中所说的放行是指本发明所涉及的基于P2P的高速下载软件产生的流量阻断模块对该数据包放行,而不代表整个系统(防火墙、IDS等)对该数据包放行。
与现有技术相比,本发明的优点是本发明从根本上解决了基于P2P的高速下载软件产生的流量的发现和控制问题,从而解决了一直难以克服的两大问题1、防止网络带宽资源非法占用本发明可对基于P2P的高速下载软件产生的流量的监控,可有效避免大量的在线长时间下载带来的网络带宽滥用问题,不再对正常的网络通信造成影响;2、杜绝了通过基于P2P的高速下载软件进行的机密数据盗窃行为和网络病毒传播行为,同时,不影响合法用户的正常网络访问;3、本发明适用范围广,主要用于对高速下载软件的发现及控制方法,重点是发现,其可用于防火墙、IDS等设备中。
附图为本发明基于P2P的高速下载软件产生的流量控制流程图。
具体实施例方式下面以在防火墙设备中实施本发明为例来进行详细说明。实施时需要在防火墙中设置基于P2P的高速下载软件产生的流量检测控制模块,该模块完成基于P2P的高速下载软件产生的流量的检测、控制功能。
步骤一建立基于P2P的高速下载软件产生的流量的特征码(关键字)库和控制规则库。在建立特征码(关键字)库之前,首先要确认需要进行控制的基于P2P的高速下载软件种类,然后对于每个选中的高速下载软件种类进行分析,合理的确定其中的特征码(关键字)。关键字的确定原则是关键字要具有该协议的典型代表性,同时要尽量减小误报的可能性。我们以基于P2P的高速下载软件BT为例,来说明如何选择特征码(关键字)。BT软件通过BitTorrent对等协议进行数据传输,该协议是基于TCP协议,BitTorrent协议通过三次握手来建立连接。第一次握手的过程首先是先发送“BitTorrent protocol”,这时发送的“BitTorrent protocol”就是本发明方法中的BitTorrent对等协议特征码(关键字)关键字。其它的基于P2P的高速下载软件产生的流量与BitTorrent对等协议具有大同小异的架构,依次都可以在流量中提取出关键字,将这些关键字集合到一起构成基于P2P的高速下载软件产生的流量的特征码(关键字)库。关键字库的格式为
特征码(关键字)库是可扩展的,如果要在防火墙中增加一种基于P2P的高速下载软件产生的流量的检测控制,可以通过在特征码(关键字)库加入一个或几个特征码(关键字)来实现。
基于P2P的高速下载软件产生的流量的控制规则库是与基于P2P的高速下载软件产生的流量的特征码(关键字)库相对应的,该库中记录着对应于特征码(关键字)库中每个高速下载软件的处置方法。规则的具体格式如下所示
高速下载软件的流量控制规则由源/目的地址/网段,下载软件类型,时间段等因素来控制对于该高速下载软件的流量的处理动作。
在准备好特征码(关键字)库和控制规则库后,就可以进入防火墙的基于P2P的高速下载软件产生的流量控制流程。
步骤(二),在传输层捕获每一个数据包防火墙在工作时,其以太网卡设置为混杂模式。与该网卡相连的局域网上的所有数据包均会被捕获。每当一个数据包被捕获时,防火墙的基于P2P的高速下载软件产生的流量检测控制模块首先进行数据包的解码工作,并判断其是否为IP包。如果是IP包则进行相应的传输层解码,然后进入高速下载软件类型检测步骤。
步骤(三),对每一个数据包进行特征码(关键字)匹配,通过匹配到的特征码(关键字)来确认产生该数据包的高速下载软件类型模块首先将关键字库逐行读入,并转化为规则的内部链表形式,然后,将数据包中的数据和关键字库中的关键字进行一一比对,以确认该数据包是否为高速下载软件产生数据包。
步骤(四),如果发现数据包中的数据和特征码(关键字)库中的某个关键字相匹配,则停止比对过程,根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码(关键字)库中的任何特征码(关键字)都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作根据得到的该关键字链表节点中对应的下载软件类型,并将该类型数据提交给规则匹配模块。
检测模块逐行的读取基于P2P的高速下载软件产生的流量的控制规则库规则文件,将规则文件逐行转化为规则的内部链表形式,再遍历整个规则链表,对有上一步提交的下载软件类型进行匹配。这里提到的规则的内部链表形式是指一个二维的链表其中横向链表称作“链头”,纵向链表称为“链选项”,“链头”中存储着下载软件类型信息,即针对某个下载软件类型的入口信息,“链选项”中存储着针对于该下载软件类型规则属性,如源/目的地址/网段、时间段、动作等等信息。由此可以提高匹配速度,增强性能,同时减少对于防火墙整体设备的影响。
检测模块一旦匹配到某条规则,立即停止对规则链表的遍历,并执行该条链表的“链选项”中规定的属性和动作,并根据链表的规定决定是否对本次操作进行日志记录。
最后所应说明的是以上实施方式仅用以说明而非限制本发明的技术方案,尽管参照上述实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改与局部替换,其均应涵盖在本发明的权利要求范围内。
权利要求
1.一种基于P2P高速下载软件产生流量的发现及控制方法,通过对数据包特征码(关键字)进行识别来确认高速下载软件类型,然后通过阻断(或丢弃)它的TCP连接握手协议数据包,达到阻断高速下载软件运行(产生的流量)的目的。
2.如权利要求1所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于具体包括以下几个步骤,步骤一建立基于P2P的高速下载软件产生的流量的特征码(关键字)库和控制规则库,其中控制规则库是指由用户配置的关于各个基于P2P的高速下载软件产生的流量的处理规则,该控制规则库通过一条或多条规则组成,先添加的规则先生效;步骤二在传输层捕获每一个数据包;步骤三对每一个数据包进行特征码(关键字)匹配,通过匹配到的特征码(关键字)来确认产生该数据包的高速下载软件类型;步骤四如果确定了某个数据包符合某个基于P2P的高速下载软件特征码(关键字),则根据该特征码即可确定该高速下载软件的类型,系统自动报警;如果数据包与特征码(关键字)库中的任何特征码(关键字)都不匹配,则说明该数据包非基于P2P的高速下载软件产生的数据包,则系统放行。
3.如权利要求2所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于还包括步骤(五),根据高速下载软件类型进行相应的控制规则匹配,执行系统的预置操作。
4.如权利要求2或3所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于所述的基于P2P的高速下载软件产生的流量的特征码(关键字)至少包括BT,电驴,fasttrack,gnutella,dc,openft。
5.如权利要求4所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于步骤(四)中所述的特征码(关键字)匹配为,首先捕获数据包,然后将数据包的内容与关键字库中的所有特征码(关键字)进行逐一对比,如果匹配上其中的一个特征码(关键字),则匹配过程停止,提取该特征码(关键字)对应的高速下载软件类型,并继续执行步骤五,根据高速下载软件类型进行相应的控制规则匹配。
6.如权利要求5所述的基于P2P高速下载软件产生流量的发现及控制方法,其特征在于步骤(五)所述的高速下载软件类型控制规则匹配为,首先逐行的读取基于P2P的高速下载软件控制规则文件,将规则文件逐行转化为规则的内部链表形式,再遍历整个规则链表,对基于P2P的高速下载软件类型进行匹配,一旦匹配到某条规则,立即停止对规则链表的遍历,并执行该条链表规则的动作;系统预置动作至少包括阻断、放行或放入黑名单等。
全文摘要
本发明涉及一种对软件使用状况进行监控的方法,具体涉及基于P2P高速下载软件产生流量的发现及控制方法。本发明的主要目的是提供一种基于P2P的高速下载软件产生的流量的发现及控制方法,以克服现有技术存在的网络带宽资源被非法占用并且会成为机密资料泄密、病毒传播的最佳管道的问题。为克服现有技术存在的问题,本发明的技术方案是通过对数据包特征码(关键字)进行识别来确认高速下载软件类型,然后通过阻断(或丢弃)它的TCP连接握手协议数据包,达到阻断高速下载软件运行(产生的流量)的目的。
文档编号H04L29/06GK1750538SQ20051009609
公开日2006年3月22日 申请日期2005年9月29日 优先权日2005年9月29日
发明者向冬, 廖明涛, 张永斌, 樊长安, 刘志强, 李金库, 吴华强, 赵明璋, 温明志, 明丽, 王红艳 申请人:西安交大捷普网络科技有限公司