[发明专利]一种检测P2P流量的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种检测P2P（Peer-to-Peer，点对点）流量的方法及装置。

背景技术

基于P2P协议的各类应用越来越广泛，但是给人们带来方便的同时，已经逐渐演变成网络带宽的杀手，易造成网络拥堵，严重影响网络服务质量。目前主要通过DPI（Deep Packet Inspection，深度包检测）和DFI（Deep/Dynamic Flow Inspection，深度/动态流检测）两种检测手段联合对P2P流量进行识别。识别率方面各有千秋，由于DPI采用逐包分析、关键字匹配技术，可以对流量中的已知的具体应用类型和协议做到比较准确的识别，但是检测速度较慢；而DFI则是对流量行为进行检测分析，对所有满足P2P流量模型的已知或未知的应用统一识别为P2P流量，检测精度不高。

目前出现了一种基于DFI检测手段的识别业务类型的方法，包括获取业务的流量特征，该流量特征包括以下之一：业务的有效数据包的实部的大小、业务的数据流的上行和下行数据包的比例，根据该流量特征识别业务的业务类型。该方法的缺陷是：1、检测指标过多，效率太低；2、检测时间长，需要较长时间才能识别；3、识别错误率较高。

因此，如何提高对P2P流量的识别效率，成为本领域亟待解决的技术问题。

发明内容

本发明要解决的技术问题是，提供一种检测P2P流量的方法及装置，提高对P2P流量的识别效率。

本发明采用的技术方案是，所述检测P2P流量的方法，包括：

对源主机进行监测，根据源主机连接的目的主机的数量以及源主机上活跃会话的数量，判断源主机是否具备P2P特征。

进一步的，所述源主机连接的目的主机的数量的获取过程如下：

通过统计源主机访问的目的主机的IP地址，确定出源主机连接的目的主机的数量；

所述源主机上活跃会话的数量的获取过程如下：

基于源主机上保存的连接状态信息确定每个连接对应的会话的活跃程度；

当会话的活跃程度高于设定的第一阀值时，将所述会话判定为活跃会话，统计出源主机上活跃会话的数量。

进一步的，所述基于源主机上的连接状态信息确定每个连接对应的会话的活跃程度，具体包括：

设置定时器、每个连接对应的会话的活跃程度初始值；

对于任一会话，每当定时器的时间到时，判断所述会话是否存在数据传输，若是，则将所述会话当前的活跃程度增加一个单位数值，否则减去一个单位数值。

进一步的，所述根据源主机连接的目的主机的数量以及源主机上活跃会话的数量，判断源主机是否具备P2P特征，具体包括：

A1，将待监测的源主机归入监测列表；

A2，判断源主机连接的目的主机的数量是否满足设定的第二阈值，若是，则执行步骤A3，否则重复执行步骤A2以处理监测列表中的下一个源主机；

A3，判断源主机上活跃会话的数量是否满足设定的第三阀值，若是，则将所述源主机判定为具备P2P特征的主机，否则重复执行步骤A2以处理监测列表中的下一个源主机。

进一步的，所述方法还包括：

当判定源主机具备P2P特征时，基于源主机上保存的连接状态信息过滤出与各连接相关的数据包，采用DPI检测方法对数据包进行业务类型识别。

本发明还提供一种检测P2P流量的装置，包括：

监测模块，用于对源主机进行监测，获取源主机连接的目的主机的数量以及源主机上活跃会话的数量；

判断模块，用于根据源主机连接的目的主机的数量以及源主机上活跃会话的数量，判断源主机是否具备P2P特征。

进一步的，在获取源主机连接的目的主机的数量时，所述监测模块具体用于：

通过统计源主机访问的目的主机的IP地址，确定出源主机连接的目的主机的数量；

在获取源主机上活跃会话的数量时，所述监测模块具体用于：

基于源主机上保存的连接状态信息确定每个连接对应的会话的活跃程度；

当会话的活跃程度高于设定的第一阀值时，将所述会话判定为活跃会话，统计出源主机上活跃会话的数量。

进一步的，在确定每个连接对应的会话的活跃程度时，所述监测模块还具体用于：

设置定时器、每个连接对应的会话的活跃程度初始值；

对于任一会话，每当定时器的时间到时，判断所述会话是否存在数据传输，若是，则将所述会话当前的活跃程度增加一个单位数值，否则减去一个单位数值。