专利名称:识别点对点应用的装置及方法
技术领域:
本发明涉及网络通信领域,尤其涉及一种识别点对点应用的装置,以及识别点对点应用的方法。
背景技术:
点对点网络技术,全称是“Peer-to-peer”对等互联网络技术,简称为P2P,是一种通过系统间的直接交换达成计算机资源与信息共享的互联网技术;P2P最根本的思想,在于它打破了传统的客户端(Client)/服务器(Server)模式,在对等网络中每个节点(peer)的地位都是相同的,具备客户端和服务器双重特性,可以同时作为服务使用者和服务提供者。近年来P2P的应用,即提供互联网用户之间的数据共享和下载,飞速兴起并发展,由简单到复杂,由低级到高级,其网络结构也经历了由中心控制到全分布的变化;按照网络结构,可以讲P2P应用分为三类第一类是早期的集中式P2P系统,以Napster为代表,该系统采用集中式网络架构,要求各对等端即节点(Peer)都登录到中心服务器上,通过中心服务器保存并维护所有对等端的共享文件目录信息。此类P2P系统通常有较为固定的传输控制协议(Transfer Control Protocol,简称TCP)通信端口,并且存在中心服务器。
第二类是现在应用最为广泛的混合式P2P系统,Internet目前最常用的几个P2P应用,如BitTorrent,eDonkey和eMule等都属于此种类型。此类P2P系统吸取了集中式P2P系统和纯分布式P2P系统的特点,采用了混合式的架构,选择性能较高(比如,处理、存储、带宽等方面性能)的节点作为超节点(SuperNodes),在各个超节点上存储系统中其他部分节点的信息,发现算法仅在超节点之间转发,超节点再将查询请求转发给适当的叶子节点;可以看出,混合式架构是一个层次式结构,超节点之间构成一个高速转发层,超节点和所负责的普通节点又构成若干层次。对于此类P2P应用的流量没有固定的特征,如不再使用固定的端口等。
第三类是纯分布式的P2P系统,以早期的Gnutella为代表,实现了文件目录的分布式管理,由所有的对等端共同负责相互间的通信与搜索,网络中所有节点都成为真正意义上的对等端,无需中心服务器的参与。此类P2P系统普遍采用随机动态地连接端口,伪装端口,或直接利用HTTP作为基础通信协议。
可以看出,早期的P2P应用都有固定的端口号,因此只要监管域内访问中心服务器的地址,就可以比较容易的实现监测和控制;后来逐渐发展到动态随机端口号,则一些传统的检测方法失去了作用;近期涌现的新型P2P应用越来越具有反侦察的意识,采用一些加密的手法,伪装Http协议,传输分块等来逃避识别和检测。目前,为了实现对不具有固定端口的P2P应用的监控和管理,常采用一种类似数据报深层扫描的深度数据包检测(Deep PacketInspection,简称DPI)技术,即利用高层协议的特征来标识P2P数据流。但这种检测技术要求对数据包的内容进行分析,并且对检测器的抓包效率提出了较高的要求,因而该项技术的使用越来越受到日益变大的带宽的限制;而且对于加密的P2P应用,DPI技术也无法进行识别。因此,如何对不断发展的P2P应用进行有效的识别,进而进行监控和管理,就成为亟待解决的问题。
中国专利申请CN1863154A公开了一种通过对报文进行流量统计来识别P2P应用,进而对P2P应用报文进行限流的技术方案。在该技术方案中,建立基于源地址的统计表项,并为每一统计项生成定时器,通过对每一表项与流量模型的匹配,识别该源地址是否正在进行P2P应用会话,以进一步处理和限流。但是,在实际的P2P应用中,使用者往往采用上传/下载限制来避免引起网管的注意,或者,也存在可供使用的种子以及共享者较少的情况;则在上述情况下,报文的目的地址数量及变化量、会话数量以及变化量等指标,一般也难以超过正常的非P2P应用会话连接;因此,仅就针对报文的会话数量、目的地址数量、该报文的新建会话数以及目的地址变化速率以及其组合是否达到域值,难以将P2P应用准确识别出来,也有可能造成误判;同时,每接收一次报文就要进行一次检测,并且检测锁定源地址,处理效率低下。如果能够提供更加准确的识别P2P应用的技术方案,将对后续对P2P应用的正确处理带来极大的便利,但尚未见于现有的任何记载中。
发明内容
本发明的目的是提供一种识别P2P应用的装置及方法,解决现有技术中P2P识别必须进行内容分析问题以及识别不准确的问题。
为实现上述目的,本发明的实施例提供了一种识别P2P应用的装置,包括会话表单元,用于监控全部会话连接并记录到会话项中,任一会话项保存一会话连接的特征值;组合特征检测单元,与所述会话表单元连接,用于检测会话表单元中任一会话项的特征值,并根据会话项特征值检测的结果,组合识别P2P应用会话。
为了提高识别的准确度,较佳的技术方案为还包括会话端统计单元,用于记录会话端的并发会话信息;所述会话端统计单元通过对会话端建立会话索引与所述会话表单元关联,并根据会话表单元中会话连接的变化触发更新;所述组合特征检测单元与会话端统计单元连接,用于检测会话端统计单元中任一会话端的特征值,与会话项特征值检测的结果组合,识别P2P应用会话。
本发明的实施例还提供了一种识别P2P应用的方法,包括以下步骤对会话连接的特征值进行检测;识别进行检测的特征值的结果是否匹配设定的参数值;当进行检测的特征值的结果都与设定的参数值不匹配时,识别所述会话连接为P2P应用会话。
其中,所述识别进行检测的特征值的结果是否匹配设定的参数值包括对于所述会话连接,识别其在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内;和/或,对于所述会话连接,识别其持续时间是否处于预设的阈值内;和/或,对于所述会话连接,识别其服务器端IP是否为指定的内部网络IP;和/或,对于所述会话连接,识别其服务器端口是否为预设的服务器端口。
为了提高识别的准确度,较佳的技术方案为当会话连接创建时,对其会话端建立相应的会话索引;当会话连接删除时,对其会话端删除相应的会话索引;对会话连接的特征值进行检测之前,还包括对会话端进行特征值检测的步骤;当会话端特征值检测的结果超过设定的阈值时,根据所述会话端的会话索引,逐一对所述会话端中会话连接的特征值进行检测。
本发明的实施例还提供了一种识别P2P应用的方法,包括以下步骤当P2P应用检测启动时,识别会话端的并发会话总数是否超过设定的阈值,是则逐一对所述会话端中会话连接的特征值进行检测,否则所述会话端中的会话连接都非P2P应用会话,结束;所述对会话连接的特征值进行检测包括执行会话检测条件1识别所述会话连接持续时间是否处于预设的阈值内,是则识别所述会话连接非点对点应用会话,结束;否则执行下一步骤;执行会话检测条件2识别所述会话连接在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内,是则识别所述会话连接非点对点应用会话,结束;否则识别所述会话连接为点对点应用会话,结束。
为了提高检测准确度,较佳的技术方案为执行会话检测条件2之前还包括执行会话检测条件3识别所述会话连接服务器端IP是否为指定的内部网络IP,是则识别所述会话连接非点对点应用会话,结束;否则执行会话检测条件2。
以及,识别所述会话连接为点对点应用会话之前还包括执行会话检测条件4识别所述会话连接服务器端口是否为预设的服务器端口,是则识别所述会话连接为非点对点应用会话,结束;否则识别所述会话连接为点对点应用会话,结束。
由上述技术方案可知,本发明通过针对会话进行检测,采用组合识别检测结果的方案,具有以下有益效果1、实现了基于会话特征进行P2P应用检测;2、识别准确度高,且无需逐报文检测,系统开销小。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为一P2P应用的组网实施例;图2为本发明所提供的识别P2P应用的装置实施例1的框图;图3为本发明所提供的识别P2P应用的装置实施例2的框图;图4为图3所示装置中,会话端统计单元的一个实施例示意图;图5为本发明所提供的识别P2P应用的装置实施例3的框图;图6为本发明所提供装置的一种应用环境的示意图;图7为本发明所提供装置的另一种应用环境的示意图;图8为本发明所提供的一识别P2P应用的方法实施例1的流程图;图9为本发明所提供的一识别P2P应用的方法实施例2的流程图;图10为本发明所提供的另一识别P2P应用的方法实施例的流程图。
具体实施例方式
P2P往往具备这些特征流的持续时间长、高速传输、数据量大、在线时间长、上下行流量不对称、业务点分布广泛等,因此,针对快速演化的P2P应用,可以根据其不变传输特性建立相应的分析模型,通过识别P2P业务的多个传输特征来定位P2P应用,这样,能够实现对大量占用带宽的P2P应用的较准确识别,而不再受限于P2P应用是否加密,而且能够有效应对不断发展变化的P2P应用。
具体的,在本发明中,通过以下部分或者全部特征的组合识别P2P应用,包括1、某台主机可能同时保持多个长时间的固定连接;2、这些固定连接一般是在一个较短的时间范围内依次建立起来的;3、这些固定连接上有大量流量出入;4、这些固定连接的目标都是外网的IP地址;5、这些固定连接的端口一般是随机出现的。
具备这些特征的流量就可以认为是P2P上传或下载的传输服务,建立起一个流状态统计模型来识别P2P流量,本发明基于上述特征提供了一种识别P2P应用的装置以及识别P2P应用的方法。
参见图1,为一P2P应用的组网实施例,主机A,也称为会话端A,正在使用BitTorrent协议下载大文件,外部的种子主机有3台,分别标识为B、C、D,而以主机A为种子主机正在下载的主机有2台,分别标识为E、F主机。本发明实施例对所提供的识别P2P应用的装置以及识别P2P应用的方法的描述,都通过上述组网架构进行举例说明。但本领域技术人员应当理解,上述组网架构的设置仅为说明方便而非限定,本发明所提供的识别P2P应用的装置以及识别P2P应用的方法适用于实际应用中出现的任何P2P组网方式。
参见图2,为本发明所提供的识别P2P应用的装置实施例1,包括会话表单元1和与之连接的组合特征检测单元2。
所述会话表单元1用于监控全部会话连接并记录到会话项中,任一会话项保存一会话连接的特征值。如表1所示,为会话表单元采用会话表记录会话连接的一个数据模型
表1在表1中,会话表的每一行都构成一个会话项,包括会话ID、协议、客户端IP、客户端端口、服务器端IP、服务器端端口以及会话创建时间、上行报文数和下行报文数。其中,会话ID是在创建一个新会话时唯一分配的标识号;协议、客户端IP、客户端端口、服务器端IP、服务器端端口组成五元组信息,描述了一个会话的主要数据包特征,会话的发起方IP地址被称为客户端IP;会话创建时间描述了第一次发现该会话的时间;上行报文数描述了从客户端IP到服务器端IP的报文统计;下行报文数描述了从服务器端IP到客户端IP的报文统计。表1所给出的数据作为举例,并未穷尽全部的会话特征,也并不代表着上述特征必须全部在本技术方案中使用,不同的特征对应于不同的P2P识别条件。
比如,对于任何一个P2P会话,由于仅作为上行或者下行传输使用,因此其上、下行报文统计值的比值非常悬殊。以表1所示的特征为例,会话1、2和3分别对应3条会话连接,从客户端和服务器信息可以看出,主机A正在从B、C、D下载文件,会话4.、5分别对应2条会话连接,从客户端和服务器信息可以看出,主机E和主机F正在从主机A下载文件;对于这5个会话连接,其下行报文数与上行报文数相差1000倍以上,显然上行带宽和下行带宽不对称,或者有大量流量流入,或者有大量流量流出,这是P2P应用的特征之一。因此,当会话项的特征值包括上行报文数和下行报文数,就可以作为识别P2P应用会话的一个条件如果指定的统计时间内(例如5分钟),会话的上、下行报文统计值之差超过一个较大值(20倍),则可以认为该会话是可疑的P2P会话。
再比如,传输大文件通常会需要较长时间,例如传输一个2G大小的电影文件,如果使用100kbps的速度传输(有时在网络使用高峰时段,往往达不到100kbps),在种子主机比较少的情况下,一般需要4~5小时左右,这就带来了P2P应用的另一个特征一个会话的持续时间较长。因此,当会话项的特征值包括会话创建时间,就可以作为识别P2P应用会话的又一个条件如果在每次周期检查时,发现一个会话的持续时间超过指定时间(例如1小时),则可以认为是可疑的P2P会话。
同时,由于P2P应用的会话连接都是在较短的时间范围内依次建立起来的,也可以比较会话创建时间的范围等作为识别条件。
还有其他的识别条件,比如,由于P2P应用连接的目标都是外网的IP地址,因此可以判断服务器端IP是否在一个指定的网络内部范围内,如果是,则可以认为不是一个P2P会话,退出对当前会话的检测,继续检测下一条会话。这样,就避免了对内部网络的资源共享进行无益识别。
以及,由于P2P应用连接的会话端端口都是随机出现,因此,可以判断服务器端端口是否为知名端口(例如HTTP的80端口),如果是,则可以认为不是一个P2P会话,退出对当前会话的检测,继续检测下一条会话。
组合特征检测单元2与会话表单元1连接,用于确定检测的特征项,并实际检测会话表单元1中任一会话项的特征值,根据会话项特征值检测的结果,组合识别P2P应用会话。在实际应用中,组合特征检测单元2可以通过周期性的查询命令执行会话表单元1的检测。在本实施例中,组合特征检测单元2就可以将上下行报文比值与会话的持续时间作为检测的条件,当两个条件都超过了预设的阈值时,认为该会话为P2P会话。
通过本实施例1所提供的装置,以固定的会话特征作为识别P2P应用的根据,避免进行内容分析,不但能够识别加密的P2P应用,而且无需逐报文检测,降低了系统的处理开销。
进一步的,为了提高识别的准确度,还包括会话端统计单元3,如图3所示,为本发明所提供的识别P2P应用的装置的实施例2。会话端统计单元3用于监控所有经过本装置的会话连接所对应的会话端状态,并记录会话端的并发会话信息,每一会话端为会话连接的主机IP地址。为了快速检索到某一主机并发的会话信息,在每一个会话端表项中创建会话索引,比如会话链表,链表的每个结点写入会话ID,使用会话ID可以快速在会话表单元1中索引到该会话的详细信息,实现与会话表单元1的关联。参见图4,为会话端统计单元3记录的一个实施例,以表1所示会话为例,会话端A有5个并发的会话,会话端B、C、D、E和F则各有一个。
可以看出,通过会话索引,会话端统计单元3能够实现快速更新,比如会话端统计单元3的更新由会话表单元1触发,每次创建会话表项和删除会话表项都会触发会话端统计单元3的更新。组合特征检测单元2能够通过查询命令,有效识别全部会话端的并发会话总数,从而确定可疑的会话端,比如当每次周期检查时,发现一个会话端并发的会话数超过指定值(例如5个),则可以认为是可疑的P2P会话端。显然,将会话端识别条件组合进入P2P应用识别条件之后,可以有效缩小识别范围,对可疑会话端的会话进行进一步的识别,而非对全部会话进行识别,降低系统开销。
在本实施例中,由于会话端统计单元3存在更新动作,因此,可以在每次更新会话端统计单元3时,主动触发组合特征检测单元2进行P2P应用识别,比如,会话端统计单元3中还包括触发模块21(图中未示),用于根据会话端统计单元3的会话更新,触发所述组合特征检测单元进行特征值检测。或者,也可以通过定时器(图中未示)周期启动,触发组合特征检测单元2进行P2P应用识别。
参见图5,为本发明所提供的识别P2P应用的装置的实施例3,包括会话表单元1,组合特征检测单元2以及会话端统计单元3,其连接关系及功能如实施例2所描述。还包括与所述组合特征检测单元2连接的定时器单元4,用于周期性启动所述组合特征检测单元2进行特征值检测。如表2所示,为一个定时器的数据模型
表2在表2中,将一周时间的网络使用划分成四个时间段,每个时间段有不同的周期检查间隔和检测条件参数,例如在周一~周五的8:00~18:00的网络使用高峰期,对P2P应用的检测周期更短,而且检测条件设置得更严格,例如认为会话时间超过15分钟就是一个P2P应用。
本实施例3中还包括策略执行单元5;所述策略执行单元5与所述组合特征检测单元2连接,用于接收所述组合特征检测单元2检测到的P2P会话信息,协商处理策略,并对所述P2P会话进行处理,可以通过一个策略执行表实现上述动作,如表3所示
表3在表3中,组合检测后策略执行单元5发现一个P2P会话,则提取该P2P会话的协议、客户端IP、客户端端口、服务器端IP、服务器端端口信息添加到策略执行表中,并在动作字段根据管理员预设的情况来协商对应的管理动作,例如丢弃;在某些情况下,为了对P2P流量实施缓和的管理行为,而不是简单的阻断行为,也可以采用限制带宽、固定配额管理和降低速率等行为。
策略执行表尤其适用于多P2P会话的发现,则组合特征检测单元2识别完成后,由策略执行单元5依次执行即可。
所述策略执行单元5还与所述会话表单元1连接,所述会话表单元1中会话连接的删除用于触发所述策略执行单元5的更新。比如,当策略执行单元5对某一会话执行限流操作时,当该会话被删除,则策略执行表的对应项目亦可同步更新删除。
本发明所提供的装置,即可工作在一个典型的路由器应用组网中,如图6所示,也可以应用于内容控制网关的典型组网中,如图7所示,也可以应用于其他具有网络流量监控功能的设备中。
本发明还提供了一种识别P2P应用的方法,包括以下步骤对会话连接的特征值进行检测;识别进行检测的特征值的结果是否匹配设定的参数值;当进行检测的特征值的结果都与设定的参数值不匹配时,识别所述会话连接为P2P应用会话。
其中,所述识别进行检测的特征值的结果是否匹配设定的参数值包括对于所述会话连接,识别其在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内;和/或,对于所述会话连接,识别其持续时间是否处于预设的阈值内;和/或,对于所述会话连接,识别其服务器端IP是否为指定的内部网络IP;和/或,
对于所述会话连接,识别其服务器端口是否为预设的服务器端口。
对于上述特征值的检验,无需一定的次序,可以根据实际需要任意加以组合。
同时,进行识别可以由定时器触发,即周期性对任一会话连接的特征值进行检测。在识别所述会话连接为P2P应用会话之后还包括根据管理员预设的情况协商处理策略,根据所述处理策略对所述P2P会话进行处理。
参见图8,为上述识别P2P应用的方法的实施例1,包括以下步骤步骤101、周期性启动P2P应用检测;步骤102、对会话表中任一会话,识别其持续时间是否超过预设的阈值,是则执行步骤103,否则执行步骤108;步骤103、识别其服务器端IP是否为指定的内部网络IP,是则执行步骤108,否则执行步骤104;步骤104、识别其在设定时间内上行报文数和下行报文数的比值是否超过预设的阈值,是则执行步骤105,否则执行步骤108;步骤105、识别其服务器端口是否为预设的服务器端口,比如将8080、80等知名端口进行预设,是则执行步骤108,否则执行步骤106;步骤106、所述会话为P2P应用会话,将会话的数据包特征添加到策略执行表;则该策略执行表中的项目能够得到依次执行,从而达到对识别后的P2P应用进行处理的目的。
步骤107、清除该会话的相关记录信息;步骤108、查看是否存在下一会话,是则对下一会话重新执行步骤102,否则检测结束。
为了提高识别准确度,节约系统开销,较佳的实施方案如图9所示,为本发明所提供的识别P2P应用的方法的实施例2。包括以下步骤步骤201、会话端统计更新时,触发P2P应用检测;
其中,当任一会话连接创建时,对其会话端建立相应的会话索引;当任一会话连接删除时,对其会话端删除相应的会话索引;步骤202、对任一会话端,识别其并发会话总数是否超过预设的阈值,是则执行步骤203,否则执行步骤207;步骤203、对该会话端中某一会话连接,识别其持续时间是否超过预设的阈值,是则执行步骤204,否则执行步骤206;步骤204、识别其在设定时间内上行报文数和下行报文数的比值是否超过预设的阈值,是则执行步骤205,否则执行步骤206;步骤205、所述会话为P2P应用会话,将会话的数据包特征添加到策略执行表;步骤206、查看是否存在下一会话,是则对下一会话重新执行步骤203,否则执行步骤207;步骤207、查看全部会话端是否遍历结束,是则检测结束,否则对下一会话端重新执行步骤202。
可以看出,结合使用会话识别、会话端识别,经过对检测结果的组合,并根据策略执行表进行处理,能够实施一个基于流量特征检测P2P应用和管理P2P流量的解决方案,不受限于不断发展变化的P2P应用,也不受限于加密的无法识别的P2P应用。
进一步的,为了更加准确的定位P2P应用,本发明还提供了一种识别P2P应用的方法,参见图10,为其实施例的流程图,综合采用多种特征值进行识别,只有满足全部条件的会话连接才被最终确定为P2P应用,提高了P2P识别的准确性。该实施例包括以下步骤步骤301、P2P应用检测启动,可以是更新触发启动,也可以是定时器定时启动;步骤302、识别一会话端的并发会话总数是否超过设定的阈值,是则执行步骤303,否则所述会话端中的会话连接都非P2P应用会话,执行步骤304;
步骤303、逐一对所述会话端中会话连接的特征值进行检测,包括3031、识别一会话连接的持续时间是否处于预设的阈值内,是则所述会话连接非P2P应用会话,执行步骤3036,否则执行步骤3032;3032、识别该会话连接服务器端IP是否为指定的内部网络IP,是则所述会话连接非P2P应用会话,执行步骤3036,否则执行步骤3033;3033、识别该会话连接在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内,是则所述会话连接非P2P应用会话,执行步骤3036,否则执行步骤3034;3034、识别该会话连接服务器端口是否为预设的服务器端口,是则识别所述会话连接非P2P应用会话,执行步骤3036,否则识别所述会话连接为P2P应用会话,执行步骤3035;3035、将会话的数据包特征添加到策略执行表;3036、查看是否存在下一会话连接,是则对下一会话连接重新执行步骤3031,否则执行步骤304;步骤304、查看全部会话端是否遍历结束,是则检测结束,否则对下一会话端重新执行步骤302。
最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
权利要求
1.一种识别点对点应用的装置,其特征在于包括会话表单元,用于监控全部会话连接并记录到会话项中,任一会话项保存一会话连接的特征值;组合特征检测单元,与所述会话表单元连接,用于检测会话表单元中任一会话项的特征值,并根据会话项特征值检测的结果,组合识别点对点应用会话。
2.根据权利要求1所述的装置,其特征在于还包括会话端统计单元,用于记录会话端的并发会话信息;所述会话端统计单元通过对会话端建立会话索引与所述会话表单元关联,并根据会话表单元中会话连接的变化触发更新;所述组合特征检测单元与会话端统计单元连接,用于检测会话端统计单元中任一会话端的特征值,与会话项特征值检测的结果组合,识别点对点应用会话。
3.根据权利要求2所述的装置,其特征在于所述会话端统计单元还包括触发模块,用于根据会话端统计单元的会话更新,触发所述组合特征检测单元进行特征值检测。
4.根据权利要求1或2所述的装置,其特征在于还包括与所述组合特征检测单元连接的定时器单元,用于周期性启动所述组合特征检测单元进行特征值检测。
5.根据权力要求1或2所述的装置,其特征在于还包括策略执行单元;所述策略执行单元与所述组合特征检测单元连接,用于接收所述组合特征检测单元检测到的点对点会话信息,协商处理策略,并对所述点对点会话进行处理。
6.一种识别点对点应用的方法,其特征在于包括以下步骤对会话连接的特征值进行检测;识别进行检测的特征值的结果是否匹配设定的参数值;当进行检测的特征值的结果都与设定的参数值不匹配时,识别所述会话连接为点对点应用会话。
7.根据权利要求6所述的方法,其特征在于所述识别进行检测的特征值的结果是否匹配设定的参数值包括对于所述会话连接,识别其在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内;和/或,对于所述会话连接,识别其持续时间是否处于预设的阈值内;和/或,对于所述会话连接,识别其服务器端IP是否为指定的内部网络IP;和/或,对于所述会话连接,识别其服务器端口是否为预设的服务器端口。
8.根据权利要求6或7所述的方法,其特征在于当会话连接创建时,对其会话端建立相应的会话索引;当会话连接删除时,对其会话端删除相应的会话索引;对会话连接的特征值进行检测之前,还包括对会话端进行特征值检测的步骤;当会话端特征值检测的结果超过设定的阈值时,根据所述会话端的会话索引,逐一对所述会话端中会话连接的特征值进行检测。
9.根据权利要求8所述的方法,其特征在于对会话端进行特征值检测包括识别其并发会话总数是否超过预设的阈值。
10.根据权利要求8或9所述的方法,其特征在于当任一会话端中并发会话信息更新时,触发会话端的特征值检测,或者,周期性触发会话端的特征值检测。
11.根据权利要求6所述的方法,其特征在于周期性对任一会话连接的特征值进行检测。
12.根据权利要求6所述的方法,其特征在于识别所述会话连接为点对点应用会话之后还包括协商处理策略,根据所述处理策略对所述点对点会话进行处理。
13.一种识别点对点应用的方法,其特征在于包括以下步骤当点对点应用检测启动时,识别会话端的并发会话总数是否超过设定的阈值,是则逐一对所述会话端中会话连接的特征值进行检测,否则识别所述会话端中的会话连接都非点对点应用会话,结束;所述对会话连接的特征值进行检测包括执行会话检测条件1识别所述会话连接持续时间是否处于预设的阈值内,是则识别所述会话连接非点对点应用会话,结束;否则执行下一步骤;执行会话检测条件2识别所述会话连接在设定时间内上行报文数和下行报文数的比值是否处于预设的阈值内,是则识别所述会话连接非点对点应用会话,结束;否则识别所述会话连接为点对点应用会话,结束。
14.根据权利要求13所述的方法,其特征在于执行会话检测条件2之前还包括执行会话检测条件3识别所述会话连接服务器端IP是否为指定的内部网络IP,是则识别所述会话连接非点对点应用会话,结束;否则执行会话检测条件2。
15.根据权利要求13或14所述的方法,其特征在于识别所述会话连接为点对点应用会话之前还包括执行会话检测条件4识别所述会话连接服务器端口是否为预设的服务器端口,是则识别所述会话连接非点对点应用会话,结束;否则识别所述会话连接为点对点应用会话,结束。
全文摘要
本发明公开了一种识别P2P应用的装置,包括会话表单元用于监控全部会话连接并记录到会话项中,任一会话项保存一会话连接的特征值;还包括与会话表单元连接的组合特征检测单元,用于检测会话表单元中任一会话项的特征值,并根据会话项特征值检测的结果,组合识别P2P应用会话。本发明还公开了一种识别P2P应用的方法,对会话连接的特征值进行检测;识别进行检测的特征值的结果是否匹配设定的参数值;当进行检测的特征值的结果都与设定的参数值不匹配时,识别所述会话连接为P2P应用会话。本发明还公开了另一种识别P2P应用的方法。通过本发明,实现了基于会话特征进行P2P应用检测;识别准确度高,且无需逐报文检测,系统开销小。
文档编号H04L12/56GK101039226SQ200710086490
公开日2007年9月19日 申请日期2007年3月13日 优先权日2007年3月13日
发明者余卉 申请人:杭州华三通信技术有限公司