[发明专利]一种基于阿瑞斯报文特征字的协议识别方法

说明书

技术领域

本发明是一种对网络流量中的ARES(阿瑞斯)协议特定报文进行识别的解决方案。主要用于解决对ARES协议特定报文进行识别的问题，进而服务于ARES协议分析系统，属于计算机网络流量识别和监控领域。

背景技术

当今P2P的应用已经是非常普遍的事情，然而P2P的广泛应用也着实让宽带运营商感到十分为难。伴随着P2P应用的不断增加，普通互联网应用将和大量P2P应用共享有限的带宽资源，这进一步加剧了带宽的瓶颈，同时P2P应用对带宽资源的无休止抢占也必将导致建设者的投入和收入不能成正比增加，从而影响产业链上建设环节的积极性，导致整个产业环境不能够健康良性地发展。如果仍然延续目前的“尽力而为”模式，必将导致普通互联网应用服务质量的下降，同时损害了ISP的利益。另一方面，P2P环境下文件共享的方便和选路机制的快速，为网络病毒和不健康信息等也提供了更好的入侵机会。目前，根据几个大型ISP的最近测量显示，P2P流量已经占据了互联网流量的60％甚至70％以上的带宽，这就迫切要求我们建立一个缓存系统来对P2P网络进行优化。要实现这样一个缓存系统，关键是解决对Internet中P2P协议进行识别的问题。实现P2P流量的准确识别，对于有效管理网络和合理利用网络资源都具有非常重要的意义。

DPI(深层数据包扫描)是通过对数据包应用层协议的检测解析发现P2P应用。通过扫描数据包中应用层数据，若发现已知P2P协议的典型特征串，则可认为该数据流属于P2P应用。这种技术使用一个载荷特征库存储载荷特征串，符合载荷特征串的数据包即视为P2P数据包。例如在一个数据包中若发现“BitTorrent protocol”字符串，则可以认为该数据流属于BitTorrent应用。IPP2P是通过应用层深层扫描来识别P2P的一个开源项目，它的目标就是在IP流量中识别出P2P数据。实现方式是通过一个新的规则匹配模块来扩展Netfilter/iptables框架，因此能很容易的集成到现有的Linux防火墙中去，并通过一定的过滤规则来使用它。IPP2P通过合适的匹配模式，对数据包进行深层扫描，来识别P2P流量。在识别的基础上可将该P2P流丢弃、降低优先级、限制带宽，从而改善网络性能。

Ares的发展始于2002年，原本在Gnutella网络上运营。6个月后，转换成叶节 点和超级节点的网络和架构。Ares(Ares Galaxy)是一个免费的带聊天室和共享文件功能的P2P软件。支持多种格式，几乎所有的音乐、影片、图片、文件、软件等它都下载得到。ARES的协议特征及其识别比当前流行其它P2P协议更加难以确定。目前，国内外对Kazaa、Gnutella、eDonkey、eMule和BitTorrent等协议的特征及其识别都有一定的研究，而对于ARES协议的研究甚少，在当前的搜索引擎中几乎搜不到对于ARES协议的研究资料。这一点值得国内外P2P方面的科研人员引起重视，需要大家共同来做好对ARES协议的研究。

发明内容

技术问题：本发明的目的是在自主分析ARES协议特征的基础上，提供了一种基于阿瑞斯报文特征字的协议识别方法，用于解决当前国内外对ARES协议研究甚少以及对其识别困难等问题。本发明可高效地识别出ARES协议的各类报文流量，进而服务于ARES协议分析系统。

技术方案：本发明首先对网络中的流量进行大类的区分，然后通过对具体的ARES协议及其对应的ARES系统的载荷进行特征提取，建立特征库。对于流经的实时网络流，采用模式匹配算法，判断其中是否包含ARES协议特征库中的特征串。如果特征匹配成功，该网络流就是ARES数据。本发明的识别功能部分采用DPI扫描技术，根据固定位特征字来协议识别ARES特定网络服务中一系列报文。

本发明充分利用了Linux系统中的Netfilter对网络流量的实时处理以及可扩展性，来实现ARES流量的实时识别和测量。为了实现实时的ARES协议识别系统，必须实时地统计流量信息，并对统计的流量信息按照网络流量测量指标进行数据处理。Netfilter是Linux内核里面一套封包过滤框架，能够对流经网络接口的所有封包进行实时检测，保证系统的安全。Linux系统良好的开放性和可扩展性也为利用它来实施流量测量提供了便利。

基于ARES协议特征字的协议识别的实现方法为：

步骤1).进行需求分析，对ARES协议识别系统需要完成的功能进行分析，并生成需求分析文档；

步骤2).按照步骤1的分析文档设计模块，对各模块的功能进行详细分析，生成各个模块之间的逻辑关系和功能说明文档；