[发明专利]一种P2P软件监测方法及系统

说明书

技术领域

本发明涉及可用于入侵检测防御(IDS/IPS)产品中的对于某些P2P下载软件 及网络直播软件的一种P2P软件监测方法及系统，它依据网络数据流中报文所带 有的特定行为特征对其进行精确识别及阻断，属于网络技术领域。

背景技术

入侵检测/防御系统(Intrusion Detection/Protection System，IDS/IPS) 作为网络安全防护的重要手段，通常部署在关键网络内部/网络边界入口处，实 时捕获网络内或进出网络的报文数据流并进行智能综合分析，发现可能的入侵 行为并进行实时阻断。目前绝大多数入侵检测产品或系统当中采用端口定位(例 如Emule使用4662端口、BT使用6881-6889端口等)或静态协议特征(如产品 L7-filter，Cisco’s PDML，Juniper’s netscreen-IDP等系统)识别的方式进 行协议的识别从而进行进一步的检测或阻断。但是随着网络通信协议的发展， 协议的设计日趋复杂化，所使用的技术越来越多样化，单纯的依赖端口定位或 静态协议特征识别的方式往往无法准确的识别网络通信当中所使用的协议类型 以及使用该应用具体行为阶段，例如某些P2P下载软件和网络直播软件采用动 态端口协商或者复用公开协议端口(如迅雷、BT等)，使得单纯的基于端口的识 别和阻断变得不准确。又如很多的P2P下载和网络直播软件同时支持TCP和UDP 传输方式。尤其在TCP传输过程当中如果没有截获最初建立链接过程的数据包， 则在后续的传输过程当中不包含明显的协议特征。这给精确检测及阻断带来了 前所未有的困难。此外很多的入侵检测或防御系统采用单一的阻断模式即在端 口匹配或静态特征匹配的情况下实施数据包丢弃等方式的阻断(例如在匹配了 某些静态特征时采用四元组源IP、目的IP、源端口、目的端口进行连接阻断)。 而在实际网络环境当中，很多的软件可以自动的调整端口(例如在P2P下载当 中进行文件续传的时候)这使得原本应阻断的连接依然可以使用。在这些情况 下单纯依赖端口定位或静态报文特征往往不能准确识别并阻断相应的网络行为 给精确的入侵检测或防御带来非常大的困难。

目前日益广泛使用的P2P应用(包括文件下载及网络直播等)已经成为了 未来网络发展的趋势，并且P2P应用在实际网络流量当中占据了越来越多的部 分。很多的用户及企事业单位对于P2P协议与软件使用的准确识别和阻断提出 了很高的要求，这使得基于原有的端口定位或静态报文特征匹配识别变得不准 确。目前通常所使用的大多数入侵检测或审计系统当中对于P2P协议的识别都 是基于端口定位或静态报文特征匹配的，而具有完善灵活的根据P2P协议运行 不同阶段进行不同策略的阻断功能的产品是非常缺乏的。注意到该类软件在运 行过程当中具有类似的模式，即先登录服务器，获得Peer列表，与Peer进行连 接，进行文件传输或网络直播等操作。在此过程当中可能使用TCP或UDP进行 相应传输。而在这类的软件使用过程当中在不同的阶段分别具有相应的静态特 征或流量特征，例如在登录服务器阶段包含明显的协议静态特征以声明具体的 软件使用，在传输阶段具有明显的行为特征或流量特征。因此，依赖于不同阶 段的不同特征对于这类软件进行精确识别和阻断是可能的。从而有必要发展一 种基于不同阶段不同特征的P2P软件和网络直播软件的分策略的精确识别和阻 断技术。该P2P准确识别即阻断技术必须满足以下要求：

尽可能多的准确识别通信过程中P2P软件的应用及所处阶段以提高入侵检 测或阻断系统的协议识别准确性；

对于不同P2P应用所处特定阶段采用不同的检测及阻断策略尽可能准确的 进行特定行为的精确阻断。

具有很好的可扩展性，对于某些新的P2P应用以及已有协议软件的新型应 用具有灵活的可扩展性以扩大检测或阻断的范围；

具有非常高的P2P应用识别及阻断效率，算法实现尽可能简单；

发明内容

为了克服现有对于P2P应用识别及阻断技术的不足，本发明提供一种P2P 软件监测方法及系统。

本发明解决其技术问题所采用的技术方案是：

一种P2P软件监测方法，包括协议特征模型的建立、应用阶段识别定位、相 应阻断策略实施三个阶段步骤，

其中，所述的协议特征模型的建立阶段步骤主要包括具体P2P应用数据包静 态特征提取、行为特征提取和流量特征模型的建立；