专利名称:一种可以提高p2p应用识别准确度的方法
技术领域:
本发明涉及一种可以提高P2P应用识别准确度的方法,属于网络内容过滤技术领域。
背景技术:
随着网络应用的发展,各种基于P2P技术的应用层出不穷,这些P2P应用在给人们 带来极大的方便的同时,也导致不良信息的大量传播以及网络使用效率的降低。因此加强 对各种P2P应用的监管成为管理部门的重要任务之一。为了保证有效监管,从技术层面上 来保证对P2P应用识别的准确度尤为重要。P2P应用识别技术目前最常见的是特征码检测,即通过分析大量某个P2P应用的 网络流量,找出该流量的特征码,进而对该种P2P应用的流量进行识别。这种识别办法存在 两个缺陷一是需要不断跟踪具体P2P应用的特征码的变化,二是无法识别加密的P2P应 用。网络上的P2P应用,尤其是一些有一定危害性的P2P应用,为了逃避监管,会经常更改 部分协议,这导致特征码获取的困难及识别准确度降低。更为糟糕的是,越来越多的P2P应 用开始加密,这些加密后的P2P应用数据没有任何特征码可以提取。P2P应用识别技术目前还有一种办法就是通过识别大于1024的非常用端口,即通 过检测某个IP所建立的所有连接中有多少个目的端口大于1024来确定该IP是否启用了 P2P应用。这种智能检测技术有效避免了特征码检测的技术缺陷,但是它出现误识别的概率 非常之高,因为越来越多的机构开始使用大量的信息化系统,而这些系统基本都是使用大 于1024的非常用端口。
发明内容
本发明旨在解决上述P2P应用识别技术所存在的缺陷,通过检测典型的P2P应用 网络连接特性并结合对常用非P2P网络应用的甄别以提高P2P应用识别的准确度,另外这 种识别方法系统开销较小。为本发明解决其技术问题所采用的技术方案是利用P2P应用在连接阶段会导致 TCP/UDP连接建立速率突然大幅增高这种网络特性来进行P2P应用的连接检测,同时结合 对常用非P2P网络应用特征码的甄别来排除具有相似网络特性的非P2P应用以降低误判率。具体处理过程如下步骤1 为每个用户IP建立用户记录,其中包括用户IP地址、是否已启动P2P应 用、P2P应用启动时间。步骤2 为每个网络连接(包括TCP连接与UDP伪连接)建立连接记录,其中包括 对应用户IP地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、网络应用类型、连 接建立时间。步骤3 将常用非P2P网络应用的各种特征码片存入常用非P2P网络应用特征码模块库中,以备后面进行查询。步骤4 检查步骤2中建立的每个网络连接的第1个数据包,与常用非P2P网络协 议特征码进行比较,以确定该连接的网络应用类型并记入对应的连接记录中,如果未获得 网络应用类型则标记为未知网络应用类型。步骤5 对某个用户IP的连接建立速率进行检测,如果未知网络应用类型的连接 建立速率超过预设阀值(比如10个/秒),则将该用户IP标定为已启动P2P应用,并将当 前时间确定为P2P应用启动时间。步骤6 检测用户IP是否被标定为已启动P2P应用,如果未启动,则直接转发数据 包不做任何处理。步骤7 如步骤6中检测为已启动,则检测如下判断公式是否为真当前时间>用 户P2P应用启动时间+P2P应用连接建立持续时间。如果为真则将用户标定为未启动P2P 应用,直接转发所有数据包。步骤8 如果步骤7中判断公式为假,则将该用户所有创建时间在用户P2P应用启 动时间开始至持续时间内的所有未知网络应用类型的连接标记为P2P应用连接。本发明的有益效果是,通过对P2P应用典型网络特性的识别来检测P2P应用连接, 同时结合对常用非P2P网络应用特征码的识别以降低误判率,提高了 P2P应用识别的准确 度,另外由于这种方法只是统计连接建立速率的变化,因此系统开销小。
图1本发明的系统结构框2本发明的工作流程图
具体实施例方式下面将结合附图对本发明进行进一步的详细说明。参照图1,本发明首先从网关系统中获得所有经过该网关的数据包,然后根据上述 步骤进行分析处理。用户IP列表用于维护当前在线IP,包括增加新的用户IP记录以及进行 超时删除。网络连接列表以用户IP列表为基础,为每个用户IP建立一个网络连接列表,包 括增加连接、删除连接、连接超时检查等功能。常用非P2P网络应用识别模块以常用非P2P 网络应用特征库为基础,通过对每个连接的第一数据包进行分析确定该连接对应的网络应 用类型。P2P网络应用识别模块主要完成P2P连接识别功能。常用非P2P网络应用特征库 存储着大量常用应用协议的特征码(如HTTP、FTP、MSN、QQ),以供常用非P2P网络应用识别 模块使用。参照图2,本发明所涉及的工作流程首先建立用户IP列表,然后根据用户IP建立对应用户的网络连接列表,系统根据此网络连接列表管理每个在线IP的网络连接创建、 删除情况。本发明的智能识别算法最重要的是进行连接建立速率检测以及常用非P2P网络 应用协议的识别,在系统中只有被识别为未知网络应用类型的网络连接才会进行P2P应用 智能识别。
权利要求
本发明是一种可以提高P2P应用识别准确度的方法,其特征是利用P2P应用在连接阶段会导致TCP/UDP连接建立速率突然大幅增高这种网络特性来进行P2P应用的连接检测,同时结合对常用非P2P网络应用特征码的甄别来排除具有相似网络特性的非P2P应用以降低误判率。
2.如权利要求1所述的可以提高P2P应用识别准确度的方法,其特征是首先从网关 系统中获得所有经过该网关的数据包,然后根据上述步骤进行分析处理,用户IP列表用于 维护当前在线IP,包括增加新的用户IP记录以及进行超时删除,网络连接列表以用户IP列 表为基础,为每个用户IP建立一个网络连接列表,包括增加连接、删除连接、连接超时检查 等功能,常用非P2P网络应用识别模块以常用非P2P网络应用特征库为基础,通过对每个连 接的第一数据包进行分析确定该连接对应的网络应用类型,P2P网络应用识别模块主要完 成P2P连接识别功能。常用非P2P网络应用特征库存储着大量常用应用协议的特征码(如 HTTP、FTP、MSN、QQ),以供常用非P2P网络应用识别模块使用。
全文摘要
一种可以提高P2P应用识别准确度的方法,利用P2P应用在连接阶段会导致TCP/UDP连接建立速率突然大幅增高这种网络特性来进行P2P应用的连接检测,同时结合对常用非P2P网络应用特征码的甄别来排除具有相似网络特性的非P2P应用以降低误判率,具有准确度高、系统开销小的优点。
文档编号H04L29/08GK101834886SQ20101013079
公开日2010年9月15日 申请日期2010年3月24日 优先权日2010年3月24日
发明者杨惕光 申请人:无锡天鸿信息技术有限公司