[发明专利]一种基于多协议双向单连接的P2P软件识别方法

说明书

技术领域

本发明涉及基于多协议双向单连接的P2P软件识别方法。

背景技术

自从上世纪90年代P2P(peer-to-peer)软件问世以来，P2P软件占用网络带宽的比例越来越大。近年来，由于P2P技术本身的优越性，越来越多的应用领域引进了P2P技术，这就使得P2P软件从数量和质量上都得到了很大的提高。与传统的网络应用程序不同的是，P2P软件并没有一个统一的标准或是协议，目前的情况是不同的P2P软件之间采用自己独特的P2P协议进行通信。这就在事实上造成了网络管理，安全性等诸多方面的问题。随着P2P软件的流行，因特网服务提供商(Internet Service Provider)和网络管理人员开始了对P2P流量的识别，验证和管理方面的研究，但目前都处于起步阶段，面对数量众多的P2P软件和不同的P2P协议，现有方法效果很有限。

第一代P2P软件使用固定端口进行通信，并且相同版本的P2P软件使用相同的端口。在这个前提下，P2P流量的识别和管理变得相对比较容易，只需要对某些固定端口的流量进行识别和管理就可以了。但现在流行的P2P软件，比如：BitTorrent，Emule，迅雷都使用可变端口，并且这些端口可以由用户指定，上述针对固定端口的办法就行不通了。当前网络管理软件使用最多的是协议特征码识别法，网络管理软件中保存着一些常用的P2P软件的协议特征码，当网络数据包出现这些协议特征码时则判定该数据包是P2P流量。协议特征码法的缺陷是显而易见的，只能对已知的P2P软件的常用的某些版本进行识别，而对某些不常见的或是新出现的P2P软件或是版本无法进行识别。

中国专利申请200610156977.8公开了一种基于网络应用中的P2P流量识别控制方法。此专利对目标端口号为1024以上的连接进行统计，如果连接数超过阈值则检测到了P2P流量。此专利提出的方法可以对未知P2P流量进行识别，但这种方法也有很严重的缺陷。目前常用的P2P软件都可以利用周知端口进行数据传输以躲避防火墙的，比如迅雷，可以利用80端口进行数据传输。如果只是对1024以上的连接数进行统计，就会产生漏报。而且目标端口为1024以上的连接并非都是由P2P软件产生的，因此此专利的误报率也很高。

中国专利申请200710119333.6公开了一种基于行为特征的P2P协议精确识别方法及系统。此专利的目标是对P2P数据传输的各个阶段进行识别，方法是对协议进行解析，得到可以作为识别依据的信息，如：协议特征码，数据包大小，目标IP地址等。这种方法的误报率很低，但是一旦协议发生变化，此专利就不能检测到了，此外，此专利也不能对未知P2P软件进行检测。

中国专利申请200510096095.2公开了一种基于P2P高速下载软件产生流量的发现及控制方法。这个专利采用的就是P2P协议特征码识别法，首先将各种P2P协议的协议特征码存储在数据库中，在检测过程中只要发现了网络数据包中包含了协议特征码，那么就认为是P2P流量。这种检测方法的致命缺陷是依赖于P2P协议特征码数据库，因而不能对新出现的P2P协议或是已有P2P协议的新版本进行识别。

发明内容

本发明所要解决的问题是：如何提供一种基于多协议双向单连接的P2P软件识别方法，该方法克服了现有技术中所存在的缺陷，该方法能够识别未知P2P软件，而且准确率高，误报率和漏报率都很低。

本发明所提出的技术问题是这样解决的：提供一种基于多协议双向单连接的P2P软件识别方法，其特征在于，包括以下步骤：

步骤1捕获网络数据包：捕获进出计算机的网络数据包，监视计算机的网络行为；

步骤2获得与网络数据包的特征信息：将步骤1所捕获的网络数据包进行分析，提取特征信息，然后把该网络数据包和特征信息记录在数据结构中；

步骤3按协议类型分类：将捕获到的网络数据包根据标准协议进行分类；

步骤4识别双向单连接：设置入向表、出向表和双向表：入向表存储的是远端计算机发送数据到被监控计算机的信息，出向表则存储的是被监控计算机发送数据到远端计算机的信息，双向表则是存储的双向连接信息，识别过程如下：

①判断网络数据包的传输方向，如果是进入被监控主机进入步骤②，若是发往远端主机则进入步骤⑤；

②将所获得的特征信息拿到双向表中进行搜索，是否存在与之匹配的双向连接，如果存在则进入步骤⑧，否则进入步骤③；

③将特征信息拿到出向表中进行搜索，是否存在与之匹配的出向连接，如果不存在进入步骤④，如果存在则将出向表中与之对应的表项取出，加入双向表中，进入步骤⑧；