一种对等网络应用流量识别方法

IPRDB

API 数据接口

专利申请

使用指引 chat嘟嘟

会员体验

联系我们

交流群

现在联系顾问~

一种对等网络应用流量识别方法
申请号	CN200910062730.3	申请日	2009-06-16	公开(公告)号	CN101577644B	公开(公告)日	2011-06-01
申请人	华中师范大学;			发明人	胡征兵; 陈宏伟; 叶志伟;
摘要	本发明公开了一种对等网络应用流量识别方法，涉及计算机对等网络的应用，主要用于开放的网络环境中。本发明采用深度包扫描和深度流扫描相结合的流量识别方法，对当前日益增长的对等网络应用的流量进行识别。其中：深度流检测主要是将采集到的网络流量数据与特征库中的特征码进行比照，从而判别网络流量是否包含了对等网络应用流量；而深度流检测则依据网络流量数据上、下行流量的对称性及对等节点与其它对等节点的连接数，从而判别网络流量是否包含了对等网络应用流量。本发明的优点是：有效地扩展了对等网络应用流量的识别范围，提高了识别对等网络应用流量的准确率，从而保障对等网络应用健康、规范和有序的发展。
权利要求	1.一种对等网络应用流量识别方法，其特征在于，该识别方法包含以下步骤： 1)、从开源代码、网上文章获取对等网络应用工具寄存在应用层中协议头和协议负荷中的特征码，每个特征码作为对等网络应用包识别特征库的一个特征信息，收集到的所有特征码就构成对等网络应用包识别特征库； 2)、监测并搜集局域网的网络流量数据，将采集到的网络流量数据同时发送给深度包检测模块和深度流检测模块； 3)、深度包检测模块采用深度包检测方法对收到的网络流量数据的应用层协议头和协议负荷进行扫描，如果网络流量中某段数据与对等网络应用包识别特征库的特征码相匹配，认为该网络流量包含了对等网络应用流量，找出发送和接收该段数据的节点，则判定该节点使用了对等网络应用工具，否则交步骤4)判断；所谓的特征码相匹配，是指网络流量中某段数据的字符串与对等网络应用包识别特征库中的某一个特征码相同； 4)、深度流检测模块采用深度流检测方法进行识别，若所采集到的网络流量数据中某节点的上行流量与下行流量之比在0.9至1.1之间，且该节点与15个以上节点相连接，则判定该节点使用了对等网络应用工具，否则判定该节点未使用对等网络应用工具。
说明书全文	一种对等网络应用流量识别方法技术领域 [0001] 本发明涉及计算机网络的应用，尤其涉及计算机对等网络的应用，属于计算机网络、分布式计算和模式识别的交叉技术应用领域，主要用于识别网络流是否属于对等网络应用流量。背景技术 [0002] 对等网络(Peer-to-Peer，简写P2P)是一种整个网络结构中不存在中心节点(或中心服务器)的网络结构思想。它能充分利用互联网的边缘资源，即用户的计算能力、存储能力和带宽，甚至计算机硬盘的内容。作为一种越来越具有普遍应用价值的技术，对等网络对于未来的网络传播特性的影响将不可估量。对等网络技术在下载类应用、流媒体应用、即时消息类应用、以及语音应用等领域都有着广泛的应用。对等网络流量本身呈现的上下行对称、长程、跨域流量增多等特性使得传统的因特网网络流量模式发生了巨大的变化，对等网络应用的飞速发展一方面丰富了网络中的应用形式，但另一方面也带来了许多负面影响： [0003] 对等网络应用给计算机网络的运营、管理带来了如下几个方面的影响：(1)带宽占用严重，扩容压力不断增加。对等网络应用已经成为因特网上流量最大的一类应用，其占用网络带宽在60％～80％之间。(2)语音、核心业务流失。对等网络应用中的语音服务对运营商核心业务造成极大影响。其语音通话质量能够达到主流传统电话服务提供商的业务质量。(3)可增值业务的影响。目前对等网络应用大都以免费形式提供其服务质量直逼运营商下一步重点推广的增收杀手级应用。 [0004] 同时对等网络技术也提出了一些全新的安全课题，诸如：(1)国家信息安全问题：目前对等网络应用上的反政府言论和色情信息泛滥。(2)公司知识产权问题：合法用户可以利用对等网络应用软件将公司内部网络的数据传播出去，对企业造成了严重威胁。(3)系统安全问题：对等网络应用文件共享没有文件存储中心，使得文件共享的集中可控制性、可管理性下降，大量非授权、盗版文件在普通用户之间传播交互，给各种病毒、网络攻击、恶意软件在各个客户端之间传播提供温床，给网络安全运行埋下了巨大隐患。 [0005] 对等网络应用在带来网络发展繁荣的同时，也带来矛盾和挑战。准确地识别网络中对等网络应用流量有利于合理利用互联网基础设施，解决因对等网络应用流量而造成的网络带宽拥挤问题；有利于用户关键业务的使用，为用户提供服务质量保证；有利于制止非法内容在对等网络应用中的传播，保障对等网络应用健康、规范和有序的发展，构造一个和谐健康的网络环境。 [0006] 检测传统流量的方法是基于端口的，而许多对等网络应用的发展趋势则是尽量避免被流量检测设备检测到，具体来说表现出如下特征：(1)动态选定端口、使用可变端口。动态选定端口一般使用随机端口或端口跳跃方式。使用可变端口是指事先设置一个默认端口，但允许用户改变该端口。(2)伪装成其它流量。一方面使用端口号80传输其流量，另一方面其报文格式模仿超文本传输协议流量。(3)加密应用层数据。采用加密技术对部分报文进行加密，使得对其流量的检测变得异常困难。(4)使用匿名对等网络技术。匿名通信是信息隐藏的手段之一，目的是尽力阻止通信分析，匿名通信需要使用一个或多个代理才能实现。对等网络应用中大量的结点都可以作为代理，这就为对等网络应用中的匿名通信(匿名对等网络应用)提供了有利条件。传统检测方法错误地检测了多种对等网络应用流量，不适用于有大量对等网络应用流量的网络环境中使用。 [0007] 当前对对等网络应用流量检测发展趋势主要采用深度包检测方法和深度流检测方法，这两种方法各有利弊。深度包检测方法易于理解、升级方便、维护简单，是目前运用最普遍的对等网络应用流量识别方法。深度包检测技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析。 [0008] 深度流检测方法关注于网络流量特征的通用性，仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的分析，来获取业务类型、业务状态。相对于传统因特网业务流量而言，对等网络应用业务流量表现出以下特点：高速传输；数据量大；在线时间长；上下行流量对称；业务点分布广泛。 [0009] 从对等网络应用流量识别的技术现状来看，基于应用数据分析技术的深度包检测方法由于具有准确性高、健壮性好、具有分类功能，且过去的对等网络应用系大都未加密，因此是对等网络应用流量识别的主要方法。但是，基于深度包检测技术也面临诸如如何提高检测算法的性能、如何支持对加密数据的分析、如何更新对等网络应用特征库等问题。同样，基于流量特征的深度流检测方法虽然具有性能高、可扩展性好的优点，但由于准确性差，因此在实际应用中也面临诸多困难。此外，现有方法都以离线数据分析为主，缺乏对等网络应用流量的实时识别能力。从本质来看，基于流量特征的检测属于启发式方法，而深层数据分析属于精确匹配方法。如果能够结合这两种方法的优点，就有可能设计出一个准确、高效的对等网络应用流量实时识别算法来。如何针对快速演化的对等网络应用，根据其不变传输特性建立相应的分析模型，提出新的理论框架是现今一个比较有挑战性的问题。发明内容 [0010] 本发明的目的是：提供一种对等网络应用流量识别方法。该方法采用深度流检测和深度包检测相结合的方法对采集到的网络流量数据进行检测，其中：深度流检测主要是将采集到的网络流量数据与特征库中的特征码进行比照，从而判别网络流量是否包含了对等网络应用流量；而深度流检测则依据网络流量数据上、下行流量的对称性及对等节点与其它对等节点的连接数，从而判别网络流量是否包含了对等网络应用流量。本发明的优点是：有效地扩展了对等网络应用流量的识别范围，提高了识别对等网络应用流量的准确率。 [0011] 为了达到上述目的，本发明采用如下技术方案： [0012] 一种对等网络应用流量识别方法，该识别方法包含以下步骤： [0013] 1)、从开源代码、网上文章获取对等网络应用工具寄存在应用层中协议头和协议负荷中的特征码，每个特征码作为对等网络应用包识别特征库的一个特征信息，收集到的所有特征码就构成对等网络应用包识别特征库； [0014] 2)、监测并搜集局域网的网络流量数据，将采集到的网络流量数据同时发送给深度包检测模块和深度流检测模块； [0015] 3)、深度包检测模块采用深度包检测方法对收到的网络流量数据的应用层协议头和协议负荷进行扫描，如果网络流量中某段数据与对等网络应用包识别特征库的特征码相匹配，认为该网络流量包含了对等网络应用流量，找出发送和接收该段数据的节点，则判定该节点使用了对等网络应用工具，否则交步骤4)判断； [0016] 4)、深度流检测模块采用深度流检测方法进行识别，若所采集到的网络流量数据中某节点的上行流量与下行流量之比在0.9至1.1之间，且该节点与15个以上节点相连接，则判定该节点使用了对等网络应用工具，否则判定该节点未使用对等网络应用工具。 [0017] 其中：对等网络应用包识别特征库是开放式的数据库，随着对等网络应用工具的不断增加而不断地增加特征信息，使得对等网络应用包识别特征库的特征信息能尽量覆盖当前的对等网络应用工具。 [0018] 本发明的有益效果是： [0019] 1、有效扩展对等网络应用流量的识别范围，从而使得监控对等网络应用流量成为可能。由于本发明采用深度包检测和深度流检测两种方法协同工作，不仅能够提高识别对等网络应用流量的准确率，而且还能有效地识别一些未知的、新型的、加密的对等网络应用。 [0020] 2、保障对等网络应用健康、规范和有序的发展。准确地监控网络中对等网络应用流量有利于合理利用互联网基础设施，解决因对等网络应用流量而造成的网络带宽拥挤问题；有利于用户关键业务的使用，构建一个和谐健康的网络环境。 [0021] 3、为对等网络的应用管理提供了有力的工具。随着宽带技术的广泛应用和宽带用户的不断增加，以消耗大量带宽资源为特征的协议和应用技术-对等网络应用得到了广泛的应用，同时，也给网络管理带来了困难，而能够有效识别对等网络应用流量是网络管理的基础，因此，本发明可广泛应用于多个行业部门。具体实施方式： [0022] 以下对本发明作进一步的解释和说明。 [0023] 一种对等网络应用流量识别方法，该识别方法包含以下步骤： [0024] 1)、从开源代码、网上文章获取对等网络应用工具寄存在应用层中协议头和协议负荷中的特征码，每个特征码作为对等网络应用包识别特征库的一个特征信息，收集到的所有特征码就构成对等网络应用包识别特征库； [0025] 不同的对等网络应用都有着它自身的交互协议，这些交互协议的协议头和协议负荷中携带着一些特征字符串，例如：P2P协议的eDonkey2000携带着0xe319010000和0xc53f010000的字符串，本发明称0xe319010000和0xc53f010000均为“特征码”，又如： P2P协议的Fasttrack携带着“特征码”“Get/.hash”和0x270000002980，P2P协议的BitTorrent携带着“特征码”“0x13BittorrenProtocol”，P2P协议的Gnutella携带着“特征码”“GNUT”，“GIV”和“GND”，各种对等网络应用的交互协议以及其“特征码”可从从开源代码、网上文章等各种途径获取，每个特征码作为对等网络应用包识别特征库的一个特征信息，收集到的所有特征码就构成对等网络应用包识别特征库。因此，只要在网络流量中检测到这些“特征码”，就可基本确定该网络流量是对等网络流量。由于对等网络应用工具的不断增加，对等网络应用包识别特征库也就需要不断增加其相应的“特征码”，使得对等网