[发明专利]一种网络协议识别设备和方法

说明书

技术领域

本发明涉及网络领域，尤其涉及对点对点（P2P）协议进行识别的协议识别设备和方法。

背景技术

P2P网络技术目前正日益在网络中获得广泛应用，P2P是英文Peer-to-Peer(对等)的简称,其又被称为“点对点”。在P2P网络应用中，所有的节点都是对等的,节点之间通过直接互连来共享信息资源或进行文件交互而无需依赖集中式服务器。因此，利用P2P技术可以更加方便快捷地共享和得到各类资源。

然而随着P2P网络技术的大范围使用,P2P流量逐渐成为了互联网流量的重要组成部分，网络中的大量带宽同时也被P2P流量占用，这样引起了网络的拥塞，并且妨碍了正常的网络业务开展和关键应用,例如，严重影响了用户正常的Web和电子邮件等应用。另外，P2P网络应用穿透了现有的防火墙和安全代理,利用P2P网络应用，用户可以通过并不安全的网络环境获得应用程序并使用,这样会使得病毒和恶意代码得以躲过安全审查入侵到内部网络。因此，为了有效的管理网络和合理的利用网络资源，需要对采用P2P技术的网络通信进行精确识别以便加以控制和/或限制。

目前存在有下列几种用于对P2P网络应用所使用的P2P网络协议进行识别的技术:

1、端口识别法，端口识别法根据TCP(传输控制协议)数据包或UDP(用户数据报协议)数据包首部的源端口号或目的端口号来识别P2P流量，然而随着P2P网络技术的发展,越来越多的P2P网络应用采用随机的端口来建立连接,因此，端口识别法漏报P2P网络连接的问题也越来越大;

2、DPI(Deep Packet Inspection，深度包检测)识别法，DPI识别法通过数据包深层扫描而在TCP数据包或UDP数据包负载中查找一个协议区别于其它协议的特征字符串来识别P2P协议，DPI识别法对于明文传输的P2P数据流具有较高的识别率，但是现在许多P2P协议都采用加密方式进行传输，因此就无法利用DPI识别法来识别采用加密方式传输数据的P2P协议;以及

3、基于行为特征识别法等几种识别，基于行为特征识别法通过确定在一段时间内，用户保持的TCP或UDP连接中,目的端口在1024以上的连接数与目的端口在1024以下的连接数的比值是否大于预定阀值来确定用户是否正在使用P2P网络应用。然而诸如游戏和数据库等应用的流量在这方面的特征和P2P应用的特征有些类似，因此，基于行为特征存在较大的误报风险。

因此，目前还不存在一种可以高效地识别网络应用所采用的网络协议，尤其是P2P网络应用采用的P2P协议的协议识别技术。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减缓上述问题的对诸如点对点（P2P）协议之类的网络协议进行识别的协议识别设备和方法。

根据本发明的一个方面，提供了对在客户端和服务器之间传输网络数据所采用的网络协议进行识别的网络协议识别方法，包括步骤：获取在传输所述网络数据时的同一会话中的多个数据包，并将所述多个数据包划分为从客户端发送到服务器的数据包和从服务器发送到客户端的数据包；针对所述从客户端发送到服务器的数据包，计算与所述数据包的大小相关的第一指标以及与所述数据包到达服务器的时间间隔相关的第二指标；针对所述从服务器发送到客户端的数据包，计算与所述数据包的大小相关的第三指标以及与所述数据包到达客户端的时间间隔相关的第四指标；构造包括所述第一指标、第二指标、第三指标和第四指标为其分量的特征向量；以及根据所述特征向量来确定传输所述网络数据所采用的网络协议。

根据本发明的另一个方面，提供了一种网络协议识别设备，包括：数据接收器，配置为接收以待识别网络协议在客户端和服务器之间传输的网络数据；数据分类器，配置为将数据接收器所接收的网络数据根据其所属的会话进行分类；特征向量构造器，配置为接收由所述数据分类器分类后属于同一个会话的多个数据包，并将所述多个数据包划分为从客户端发送到服务器的数据包和从服务器发送到客户端的数据包；针对所述从客户端发送到服务器的数据包，计算与所述数据包的大小相关的第一指标以及与所述数据包到达服务器的时间间隔相关的第二指标；针对所述从服务器发送到客户端的数据包，计算与所述数据包的大小相关的第三指标以及与所述数据包到达客户端的时间间隔相关的第四指标；以及构造包括所述第一指标、第二指标、第三指标和第四指标为其分量的特征向量；协议识别器，接收所述特征向量构造器所构造的特征向量，并基于该特征向量确定待识别的网络协议。

附图说明