[发明专利]基于流量通信模式的服务角色识别方法

说明书

技术领域

本发明涉及用于网络服务主机的识别方法，尤其是一种基于流量通信模式的 服务角色识别方法。

背景技术

在流量应用分类中，服务方及其端口是流量分类的一个重要测度值，能否正 确识别出服务方及其端口对流量应用类型有重要影响；(2)网络管理员可以实时 跟踪所管网络内的主机角色的变化，以防止客户机独自向外提供服务，影响网络 的正常运行；(3)根据主机的，有助于判断主机行为的异常或正常。

传统主机角色识别方法有三种：TCP SYN报文识别方法、端口识别方法和通 信双方流量大小识别方法。TCP SYN报文识别方法是指如果主机A和主机B相 互通信，主机A向主机B放送SYN报文，而主机B向主机A应答SYN+ACK 报文，根据TCP协议主机A是客户方而主机A是服务方。这种测量方法存在两 个问题：首先，中间测量器必须要能测量到主机A发送到主机B的SYN报文和 主机B发送到A的SYN+ACK报文，如果丢失这两个个报文，则不能正确识别 服务主机。其次，如果主机A和主机B之间通信的流量是UDP流量而为非TCP 协议，将无法识别通信主机双方的角色。

第二种服务方识别方法是直接根据端口识别，Internet号分配机构(IANA) 分配1～1023之间的端口为知名端口，TCP/IP协议所提供的服务都使用这些知名 端口，因此一个流的两个端口，如果其中一个端口小于1024，而另一个端口大 于等于1024，则可以使用端口法识别主机角色，端口号小于1024的一方为服务 方，端口号大于1024的一方为客户方。这种方法的问题是现在很多应用服务不 采用1024以下的知名端口，而采用大于5000的端口号，另外，有些应用采用动 态分配端口，因此直接采用端口号的方法识别服务方的准确率越来越低。

第三种服务方识别方法是根据通信双方的流量大小进行识别，在大多情况下 服务方主要是提供数据供客户方下载使用，因而服务方发送到客户方的流量要大 于客户方发送到服务方的流量，因此将发送流量大的一方主机角色识别为服务 方，而发送流量小的一方为客户方。该方法对于大多数网络应用有效，如Web 访问、流量下载、在线视频等，如ADSL就是根据这一个原理将上行链路和下 行链路分配不同的带宽以提高用户上网的速率。但是有些网络应用客户方流量大 于服务方，如文件上传、发送电子邮件等，或双方的流量大小接近，如P2P、 TELNET、SSH流量等。

发明内容

本发明提出一种基于流量通信模式的服务角色识别方法，本发明能够高效准 确地识别出网络流量的服务方。

本发明采用如下技术方案：

一种基于流量通信模式的服务角色识别方法，其特征是：在一个时间尺度5 分钟范围内，在哈希链表中为测量到的流量维护{源IP地址和源端口}结点，并 为每个相同{源IP地址和源端口}的结点记录其对应的前两个不同的宿IP地址， 如果一个{源IP地址和源端口}结点中记录了两个不同的宿IP地址，说明该源IP 地址从该源端口向至少2台其他不同主机发送流量，则认为该源IP地址是服务 方，其服务端口为该源端口，具体步骤如下：

第一步：参数设置

设置一个指针数组A[n]，n为指针数组A的大小，设置n＝2^m，其中m是大 于0的正整数，数组A的每个元素赋值为空指针，设置一个48位长度的比特串 S，设置一个哈希函数F，哈希函数F的输入是48位长度的比特串S，哈希函数 F输出的哈希值是一个取值范围为0到2^m-1之间的正整数，哈希函数F采用目 前计算机常用的MD5哈希函数，MD表示信息摘要，是由Ron Rivest设计被广 泛使用的哈希函数，MD5哈希函数的输入是一个任意长度的比特串，输出是一 个128位信息摘要，哈希函数F选取MD5哈希函数哈希值的前m个比特作为 其输出哈希值，设置一个结构B，该结构B包括四个整数变量和一个指针变量， 结构B的四个整数变量分别记录主机IP地址、源端口号、第一个宿 IP地址、第二个宿IP地址，结构B的指针变量指向下一个结点，测量开始，如 果一个新流量记录到达，进入第二步；

第二步：处理到达流量记录