[发明专利]P2P业务识别方法和装置

说明书

技术领域

本发明涉及网络业务识别领域，更具体地说，涉及一种P2P(Point to Point， 点对点)业务识别方法和装置。

背景技术

当前P2P计算已经占据了分布式计算的重要领域。与传统的集中式的基于 服务器的服务模型相比，P2P模型是一个分布式的模型，它使得网络中各结点 共享信息，互相协作；允许用户在下载信息的同时上传信息，相对于以往的 传统网络业务来说，具有高速传输、数据量大和上下行流量对称等特点。P2P 计算不但引起了学术界的广泛关注，同时它也引起了计算机工业的极大兴趣。

随着互联网的技术、应用和商业创新的日新月异，网络流量每6个月就增 加一倍，其中P2P流量占绝大部分，同时网络中的P2P应用数目与日俱增，大 量地占用着网络的带宽，给Internet服务提供商(ISP)和应用服务提供商(ASP) 高级服务的部署带来了很多问题。因此，如何识别和检测P2P流成为网络监控 和管理的一个重要研究方向。

最早的P2P应用使用固定端口号，可以简单地通过基于端口识别的技术进 行检测和管理。随着Internet的发展，P2P应用开始使用动态随机端口号，这就 使得通过一些传统的基于端口识别的方法不能有效地识别P2P流。与此同时， 大量的新型P2P应用不断在网络中出现，它们为了避免被识别和检测，采用了 加密、伪装和文件分块传输等方法，对网络监控和管理提出了挑战。

但在现有的P2P业务识别方法中，存在或多或少的缺陷，如果要求能够快 速检测P2P业务流，就必定会降低检测的精确性，而如果要求做到精确检测， 又必然会降低检测的效率，同时，由于大量的P2P业务采用了加密的传输方法， 还容易造成对P2P业务流的漏检。

发明内容

有鉴于此，本发明实施例提供一种P2P业务识别方法，通过根据预存的P2P 流行为特征判断数据流是否属于P2P业务流，并数据流为P2P业务流时，将该 数据流的报文特征与预存的P2P流报文特征进行匹配，确定该P2P业务流的具 体业务类型，以解决现有技术中无法快速、精确地识别P2P业务流的问题。

本发明实施例还提供一种P2P业务识别的装置，通过利用该装置中的P2P 业务识别模块判断数据流是否是P2P业务流，利用具体业务识别模块判断数据 流的具体业务类型，以解决现有技术中无法快速、精确地识别P2P业务流的问 题。

本发明实施例是这样实现的：

一种P2P业务识别方法，包括：

根据预存的P2P流行为特征判断数据流是否属于P2P业务流，在所述数 据流为P2P业务流时，将该数据流的报文特征与预存的各种P2P具体业务的 流报文特征进行匹配，依据匹配结果确定该P2P业务流的具体业务类型。

所述根据预存的P2P流行为特征判断数据流是否属于P2P业务流包括以 下步骤：

接收数据流；

按照数据流的源/目的IP、源/目的端口号、协议号进行分类；

统计所述分类后的数据流与预存P2P流行为特征相匹配的流行为特征；

对所述统计得出的流行为特征进行加权计算，当计算结果大于设定阈值 时，确定该数据流为P2P业务流。

在对所述数据流进行分类之后，还包括：删除发生时间未达到设定时间 阈值的数据流。

在进行流行为特征统计时，还包括：根据配置策略来判断数据流中是否 出现新特征，所述配置策略为已发现的流特征和报文特征。

对所述统计得出的流行为特征进行加权计算具体为：按照对有效识别的 影响对所述统计得出的流行为特征赋予不同的权值。

在识别出数据流为P2P业务流之后，进一步包括：将已识别的P2P业务 流进行抽样存储。

所述将该数据流的报文特征与预存的各种P2P具体业务的流报文特征进 行匹配包括：

提取所述数据流的报文特征字；

当所述报文特征字与配置策略中的报文特征字一致时，确定所述数据流 为与配置策略中的报文特征字对应P2P业务流。

在所述数据流为P2P业务流时，还包括：将配置特征的匹配结果通过配 置应答机制通告给用户。

其中，还包括：

提取出现的新特征；

将该新特征与识别出的P2P流进行特征匹配，当匹配结果大于设定阈值 时，将该特征信息添加至所述配置策略中。

一种P2P业务识别装置，包括：