最新中国发明专利
/
2012-06-06

小型网络中P2P应用的流量识别及管理的方法和系统转让专利

申请号 : CN200910083554.1

文献号 : CN101883001B

文献日 :

基本信息:

PDF:

法律信息:

相似专利:

发明人 : 孙海波

申请人 : 北京启明星辰信息技术股份有限公司北京启明星辰信息安全技术有限公司

摘要 :

本发明公开了一种小型网络中P2P应用的流量识别及管理的方法和系统,以有效识别并管理小型网络系统中的P2P应用。该管理方法根据小型网络系统的流量记录,统计各节点的流量信息,并对该流量信息进行P2P应用流量的识别,根据预设的流量管理策略及流量识别结果,对小型网络中的P2P应用进行流量管理。本发明可以有效识别小型网络系统中的P2P应用并对其进行有效的管理,提高了网络资源分配的合理性,方便简洁,实用性强。

权利要求 :

1.一种小型网络中P2P应用的流量识别方法,其特征在于,包括:以预设的时间间隔捕获数据报文;

根据某时间间隔内的数据报文,生成所述某时间间隔内所述小型网络中各连接的流量记录;

根据所述流量记录,统计所述某时间间隔内所述小型网络中各节点的流量信息,所述流量信息,为所述各节点上两个不同传输方向数据流量的比例;

根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果,其中,还包括以下步骤:存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;

计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;

将所述方差与预设的阈值进行比较,获得所述流量识别结果。

2.一种小型网络中P2P应用的流量识别系统,其特征在于,包括:抓包设备,用于根据预设的时间间隔捕获数据报文;

采集器,与所述抓包设备相连,用于根据捕获的数据报文,生成所述小型网络中各连接的流量记录;

统计器,与所述采集器相连,用于统计所述小型网络中某时间间隔内各节点的流量信息,所述流量信息为所述各节点上两个不同传输方向数据流量的比例;

识别器,与所述统计器相连,用于根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果;所述识别器,包括:存储器,与所述统计器相连,用于存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;

计算器,与所述存储器相连,用于计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;

比较器,与所述计算器相连,用于将所述方差与预设的阈值进行比较,获得所述流量识别结果。

3.一种小型网络中P2P应用的流量管理方法,其特征在于,包括:以预设的时间间隔捕获数据报文;

根据某时间间隔内的数据报文,生成所述某时间间隔内所述小型网络中各连接的流量记录;

根据所述流量记录,统计所述某时间间隔内所述小型网络中各节点的流量信息,所述流量信息,为所述各节点上两个不同传输方向数据流量的比例;

根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用流量的识别,获得流量识别结果,其中,还包括以下步骤:存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;

计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;

将所述方差与预设的阈值进行比较,获得所述流量识别结果;

根据预设的流量管理策略及所述流量识别结果,对所述小型网络中的P2P应用进行流量管理。

4.一种小型网络中P2P应用的流量管理系统,其特征在于,包括:抓包设备,用于根据预设的时间间隔捕获数据报文;

采集器,与所述抓包设备相连,用于根据捕获的数据报文,生成所述小型网络中各连接的流量记录;

统计器,与所述采集器相连,用于统计所述小型网络中某时间间隔内各节点的流量信息,所述流量信息,为所述各节点上两个不同传输方向数据流量的比例;

识别器,与所述统计器相连,用于根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果;所述识别器,包括:存储器,与所述统计器相连,用于存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;

计算器,与所述存储器相连,用于计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;

比较器,与所述计算器相连,用于将所述方差与预设的阈值进行比较,获得所述流量识别结果;

管理装置,与所述识别器相连,用于根据预设的流量管理策略及所述流量识别结果,对所述小型网络中的P2P应用进行流量管理。

说明书 :

小型网络中P2P应用的流量识别及管理的方法和系统

技术领域

[0001] 本发明涉及一种网络管理技术,尤其涉及一种用于小型网络中对P2P应用的流量进行识别及管理的方法及系统。

背景技术

[0002] 网络管理系统作为网络安全防护的重要手段,目前应用日益广泛。通过对网络内部整体架构及应用进行合理配置,以达到最优的网络使用效率。通过对于当前网络运行状态的监控及策略调整,使网络业务得以顺利正常的运行,避免网络资源的滥用及浪费,保障网络系统的正常运营,是实现IT管理和控制的有效方法。
[0003] 随着网络的发展,目前的网络环境当中出现了越来越多的P2P类应用。P2P网络结构及应用能够提高网络资源的利用率,提高资源共享率,是未来网络发展的一大趋势。但是由于缺乏统一的标准和使用规范,P2P应用的出现也带来很多的弊端,这主要体现在对于网络资源的滥用上,比如基于P2P架构的文件共享、视频播放等等应用,占用带宽过大,严重影响其他正常网络业务的使用等等。
[0004] 随着P2P应用带来的弊端日益严重,很多的网络安全产品考虑不同的措施,希望对于P2P应用进行有效管理。目前大多数的网络管理产品,对于P2P类应用的识别,采用了协议解析加特征匹配的方式,在网络环境中检测P2P的具体应用、如BT、emule等等。但是随着P2P应用的发展,越来越多的P2P应用逐渐采用了加密传输等躲避方式,以规避传统的检测到及管理,结果造成对于P2P流量的识别越来越难,进而严重影响了P2P流量管理的效果,这反而不利于对P2P应用进行合理的管理和引导。
[0005] 在一些企业、学校或研究所等小型网络当中,P2P应用还存在较大程度的必要性,因此业界亟待提出一种P2P应用的流量识别及管理技术,以提高小型网络系统中资源分配的合理性,保证网络资源的有效利用。

发明内容

[0006] 本发明所要解决的技术问题,是需要提供一种小型网络P2P应用的流量识别的方法和系统,以有效识别小型网络系统中的P2P应用。
[0007] 为了解决上述技术问题,本发明首先提供了一种小型网络中P2P应用的流量识别方法,包括:
[0008] 以预设的时间间隔捕获数据报文;
[0009] 根据某时间间隔内的数据报文,生成所述某时间间隔内所述小型网络中各连接的流量记录;
[0010] 根据所述流量记录,统计所述某时间间隔内所述小型网络中各节点的流量信息;
[0011] 根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果。
[0012] 优选地,所述流量信息,为所述各节点上两个不同传输方向数据流量的比例。
[0013] 优选地,根据所述各节点的流量信息,进行P2P应用的流量识别,获得所述流量识别结果的步骤,包括:
[0014] 存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;
[0015] 计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;
[0016] 将所述方差与预设的阈值进行比较,获得所述流量识别结果。
[0017] 为了解决上述技术问题,本发明还提供了一种小型网络中P2P应用的流量识别系统,包括:
[0018] 抓包设备,用于根据预设的时间间隔捕获数据报文;
[0019] 采集器,与所述抓包设备相连,用于根据捕获的数据报文,生成所述小型网络中各连接的流量记录;
[0020] 统计器,与所述采集器相连,用于统计所述小型网络中某时间间隔内各节点的流量信息;
[0021] 识别器,与所述统计器相连,用于根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果。
[0022] 优选地,所述统计器统计的所述流量信息,为所述各节点上两个不同传输方向数据流量的比例。
[0023] 优选地,所述识别器,包括:
[0024] 存储器,与所述统计器相连,用于存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;
[0025] 计算器,与所述存储器相连,用于计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;
[0026] 比较器,与所述计算器相连,用于将所述方差与预设的阈值进行比较,获得所述流量识别结果。
[0027] 本发明所要解决的另一技术问题,是需要提供一种小型网络P2P应用的流量管理的方法和系统,以有效识别小型网络系统中的P2P应用,并在此基础上对P2P应用进行有效管理。
[0028] 为了解决上述技术问题,本发明首先提供了一种小型网络中P2P应用的流量管理方法,包括:
[0029] 以预设的时间间隔捕获数据报文;
[0030] 根据某时间间隔内的数据报文,生成所述某时间间隔内所述小型网络中各连接的流量记录;
[0031] 根据所述流量记录,统计所述某时间间隔内所述小型网络中各节点的流量信息;
[0032] 根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用流量的识别,获得流量识别结果;
[0033] 根据预设的流量管理策略及所述流量识别结果,对所述小型网络中的P2P应用进行流量管理。
[0034] 优选地,所述流量信息,为所述各节点上两个不同传输方向数据流量的比例。
[0035] 优选地,根据所述各节点的流量信息,进行P2P应用的流量识别,获得所述流量识别结果的步骤,包括:
[0036] 存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;
[0037] 计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;
[0038] 将所述方差与预设的阈值进行比较,获得所述流量识别结果。
[0039] 为了解决上述技术问题,本发明还提供了一种小型网络中P2P应用的流量管理系统,包括:
[0040] 抓包设备,用于根据预设的时间间隔捕获数据报文;
[0041] 采集器,与所述抓包设备相连,用于根据捕获的数据报文,生成所述小型网络中各连接的流量记录;
[0042] 统计器,与所述采集器相连,用于统计所述小型网络中某时间间隔内各节点的流量信息;
[0043] 识别器,与所述统计器相连,用于根据所述各节点在所述某时间间隔及之后连续若干个时间间隔的流量信息,进行P2P应用的流量识别,获得流量识别结果。
[0044] 管理装置,与所述识别器相连,用于根据预设的流量管理策略及所述流量识别结果,对所述小型网络中的P2P应用进行流量管理。
[0045] 优选地,所述统计器统计的所述流量信息,为所述各节点上两个不同传输方向数据流量的比例。
[0046] 优选地,所述识别器,包括:
[0047] 存储器,与所述统计器相连,用于存储所述各节点在所述某时间间隔及之后连续若干个时间间隔的上行流量与下行流量的比例;
[0048] 计算器,与所述存储器相连,用于计算所述某时间间隔及所述若干个时间间隔的上行流量与下行流量的比例的方差;
[0049] 比较器,与所述计算器及管理装置相连,用于将所述方差与预设的阈值进行比较,获得所述流量识别结果。
[0050] 与现有技术相比,本发明可以有效识别小型网络系统中的P2P应用并对其进行有效的管理,提高了网络资源分配的合理性,解决了传统网络管理产品中对于P2P流量识别仅依赖于端口协议解析或报文特征匹配等方式带来的准确性较低的问题,通过持续统计节点流量,实现了在小型网络环境中实时P2P流量识别及管理的功能,方便简洁,实用性强。

附图说明

[0051] 图1为本发明流量识别及管理方法实施例的流程示意图。
[0052] 图2为本发明流量识别及管理系统实施例的组成示意图。
[0053] 图3为图2所示实施例中识别器的组成示意图。

具体实施方式

[0054] 以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
[0055] 图1为本发明流量识别及管理方法实施例的流程示意图。如图1所示,该方法实施例主要包括如下步骤:
[0056] 步骤S110,以预设的时间间隔捕获数据报文;
[0057] 步骤S120,根据某时间间隔内的数据报文,生成该时间间隔内该小型网络中各连接的流量记录;
[0058] 步骤S130,根据该流量记录,统计该时间间隔内小型网络中各节点的流量信息;
[0059] 步骤S140,根据各节点的流量信息,进行P2P应用的流量识别,获得流量识别结果;
[0060] 步骤S150,根据预设的流量管理策略及该流量识别结果,对该小型网络中的P2P应用进行流量管理。
[0061] 上述流程实现了小型网络系统中P2P应用的流量识别以及管理,实际应用时,可以将其分为两个阶段,首阶段是P2P应用的流量识别阶段,第二阶段则根据该识别阶段进行P2P应用的管理阶段。
[0062] 上述步骤S110中,由抓包设备210实现该时间间隔内数据报文的抓取,完成数据报文的捕获。
[0063] 上述步骤S120中,所生成的流量记录包括各连接所使用的传输层协议,各连接的源IP、目的IP、源端口、目的端口和该时间间隔内传输的字节数,本实施例中所生成的流量记录如下:
[0064] 表1、本实施例中某时间间隔的流量记录表
[0065]协议 连接源IP 源端口 连接目的IP 目的端口 字节数
UDP 192.168.13.229 10000 123.148.203.249 10000 0.37K
UDP 192.168.13.229 10000 218.7.58.101 10000 0.35K
UDP 218.249.38.254 58389 192.168.13.229 2251 0.11K
TCP 192.168.13.229 2709 124.115.10.40 80 0.77K
TCP 192.168.13.229 2678 218.241.144.19 80 0.93K
TCP 192.168.13.188 3393 192.168.13.229 80 2.24K
TCP 192.168.13.188 3385 121.9.227.86 80 12.29K
TCP 192.168.13.188 3379 121.9.227.86 80 11.50K
UDP 192.168.13.229 4558 211.103.209.150 41585 0.63K
UDP 192.168.13.229 4558 211.103.209.150 16371 0.63K
TCP 192.168.13.210 3803 192.168.13.229 443 18.01K
TCP 192.168.13.211 4585 218.60.37.118 80 6.37K
UDP 211.101.61.228 40191 219.239.50.203 2251 0.95K
[0066] 上述步骤120中,虽然源端口和目的端口的作用,适用于区分某些周知的固定端口比如POP3、SMTP等,以提高识别的准确率,并且使用这些固定端口的流量,可以初步地忽略。但是这些固定端口,对于http、ftp等协议而言,部分P2P软件的传输行为也会使用到,因此是流量记录不可以忽略的一部分。
[0067] 上述步骤S130中各节点的流量信息,在本实施例中为上行流量与下行流量的比例。在实际运行过程当中,实际上无需精确区分节点上的数据是上行或是下行,只需要区分是两个不同传输方向的数据流量即可。因此在本发明的其他实施例当中,该流量信息也可以是下行流量比上行流量的比值,并根据该比值进行后续处理。
[0068] 根据表1所示的流量记录,首先获得各节点的上行流量及下行流量。比如对于节点192.168.13.229,上行连接共有6条,其上行流量为0.37+0.35+0.77+0.93+0.63+0.63=3.68K;其下行连接共有3条,下行流量为0.11+2.24+18.01=20.36K。可以按照同样的方式,计算当前网络当中每个节点的上行流量及下行流量。
[0069] 然后根据上行流量及下行流量获得上下行流量比例,例如本实施例中,节点IP为192.168.13.229,该时间间隔内的上下行流量比例为3.68/20.36=0.18,则保留节点记录如下:
[0070] 192.168.13.229 3.68K 20.36K 0.18
[0071] 此记录包含了节点192.168.13.229在该时间间隔中上行流量、下行流量以及上下行流量比例。
[0072] 上述步骤S140中P2P应用的流量识别,是根据各节点的上下行流量比例来进行的。上述步骤S140,对于每个节点,计算该时间间隔内的上下行流量比例,在存储该时间间隔及其之后连续的若干个时间间隔内的节点上下行流量比例之后,计算各时间间隔的上下行流量比例的方差,将该方差与预设的阈值进行比较,若方差小于该预设的阈值,则该节点上的流量为P2P应用的流量,反之则不是P2P应用的流量。
[0073] 假设从前述的该时间间隔开始,连续获得的该节点的节点记录如下:
[0074] 192.168.13.229 3.68K 20.36K 0.18
[0075] 192.168.13.229 5.47K 31.56K 0.173
[0076] 192.168.13.229 4.39K 23.96K 0.183
[0077] 则根据如下表达式,获得上下行流量比例的方差为:
[0078] 式(1)
[0079] 其中:
[0080] ∑,表示上行流量与下行流量的比例的方差;
[0081] n,表示计算方差所选取的时间间隔个数;
[0082] x1、x2、...xn,分别表示各个时间间隔内计算出的上下行流量比例;
[0083] x*,表示各分量x1、x2、...xn的平均值。
[0084] 根据上述的3个时间间隔的上下行流量比例,得到方差为0.043。假设预先设定的阈值为0.1且小于该阈值者为P2P应用的流量,则由于该方差小于阈值,因此该节点的流量为P2P应用的流量。可以以此方式分析所有节点的流量类型及流量信息。
[0085] 上述步骤S150,例如当前网络当中有20个节点,其中有3个节点的流量为P2P应用的流量,并且此3个节点的流量占据了80%以上的总带宽,如果设定的策略为当前网络环境的P2P应用的流量不能超过总带宽的50%,则需要对此3个节点进行流量限制,比如限制其连接数或传输速度等,甚至阻断其网络传输以达到管理目的。如果P2P应用的流量未超过总带宽的50%,则认为并未对网络的正常业务造成大的影响,可以不做处理。预设不同的管理策略,即可实现对小型网络的P2P应用的进行多样化管理。由于对于网络环境中的节点流量都是进行持续统计的,因此可以保证对于整个网络环境流量的实时管理。
[0086] 图2为本发明流量识别及管理系统实施例的组成示意图。如图2所示,该系统实施例主要包括抓包设备210、采集器220、统计器230、识别器240及管理装置250,其中:
[0087] 抓包设备210,用于根据预设的时间间隔,捕获每一时间间隔内的数据报文;
[0088] 采集器220,与该抓包设备210相连,用于根据捕获的数据报文,生成小型网络中各连接的流量记录;
[0089] 统计器230,与该采集器220相连,统计该小型网络中某时间间隔内各节点的流量信息;
[0090] 识别器240,与该统计器230相连,用于根据该统计器230统计的各节点的流量信息,进行P2P应用的流量识别,获得流量识别结果;
[0091] 管理装置250,与该识别器240相连,用于根据预设的流量管理策略及该流量识别结果,对该小型网络中的P2P应用进行流量管理。
[0092] 上述流量识别及管理系统实施例,实现了小型网络系统中P2P应用的流量识别以及管理。实际上,还可以将该实施例中分出一流量识别系统,其包括上述的抓包设备210、采集器220、统计器230以及识别器240,该流量识别系统用于该小型网络系统中P2P应用的流量识别。
[0093] 上述采集器220所生成的流量记录,包括每个连接所使用的传输层协议、该连接的源IP、目的IP、源端口、目的端口和该某时间间隔内传输的字节数,本实施例中所生成的流量记录如表1所示。
[0094] 上述统计器230所统计的各节点的流量信息,在本实施例中为上行流量与下行流量的比例。首先根据采集器220所生成的流量记录,获得各节点的上行流量及下行流量,然后根据该上行流量及下行流量获得上下行流量比例。在本发明的其他实施方式中,该统计器230也可以统计下行流量与上行流量的比例,识别器240的分析识别过程,也根据该下行流量与上行流量的比例来进行,也即在实际运行过程当中,无需精确区分节点上的数据是上行或是下行,只需要区分是两个不同传输方向的数据流量即可。
[0095] 上述识别器240所进行的P2P应用的流量识别,是根据各节点的上下行流量比例来进行的。如图3所示,该识别器240包括存储器241、计算器242及比较器243,其中:
[0096] 存储器241,与该统计器230相连,用于存储该时间间隔及之后连续的若干个时间间隔的上下行流量比例;
[0097] 计算器242,与该存储器241相连,用于计算该时间间隔及之后连续的若干个时间间隔的上下行流量比例的方差;
[0098] 比较器243,与该计算器242及管理装置250相连,将该方差与预设的阈值进行比较,获得流量识别结果。
[0099] 在本实施例中,如果某节点上上下行流量比例的方差小于该阈值,则认为该节点的流量为P2P应用的流量。
[0100] 上述管理装置250,如果当前小型网络中部分节点的流量为P2P应用的流量,且该些节点的流量占据的带宽超过了该网络总带宽的一定比例,则可以对该些节点进行流量限制,比如限制其连接数或传输速度等,甚至阻断其网络传输以达到管理目的。通过预设不同的管理策略,即可实现对小型网络的P2P应用的进行多样化管理。
[0101] 本发明技术方案解决了传统网络管理产品中对于P2P类应用采用端口协议解析或特征匹配带来的准确性较低的问题,通过对节点流量的统计和分析,有效提高了P2P应用的流量识别准确率,实现了对P2P应用的有效管理,避免了网络资源的浪费,也有助于网络管理系统或网络管理人员对于节点的P2P应用进行合理化管理,使得P2P应用在合理范围内,保证了其他网络业务的正常使用,避免了网络资源的浪费,提高了网络管理系统对小型网络P2P应用管理的灵活性,方便简洁,具有很好的实用性,可广泛应用网络管理中。
[0102] 虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。