[发明专利]基于多元判定要素的P2P识别方法及系统

说明书

技术领域

本发明涉及网络通信技术领域，更为具体地，涉及一种基于多元判定要素的P2P识别方法及系统。

背景技术

随着网络的高速发展，各种通信模式应运而生，P2P（Peer to Peer，对等网络）作为一种低成本的组网通信模式，被广泛地应用于各个企业的网络运营中。

P2P也称为对等连接，是一种不同于传统C/S（Client/Server，客户端/服务器）的通信模式。在P2P网络中，每个参与者具有同等的能力，可以直接通信、共享资源和协同工作。由于其应用广泛，流量规模庞大，因此早已成为互联网的主宰流量。然而在实际的应用中，如何识别和控制P2P流量，尤其是加密流量，已经成为各个公司在网络运营中所面临的重大挑战。

地址端口对分析技术是一种经典的基于行为特征的P2P识别技术，它的成功源于这样一种认识：在P2P网络中，每个节点既是客户机也是服务器；为了能够接受其他节点建立连接的请求，每个节点都需要广播自己的IP地址和提供服务的端口，而为了与其他节点建立连接，每个节点随机选择一个源端口，使用自己的IP地址并利用其他节点所广播的IP地址和端口对信息来建立连接。

由于每个节点与另外一个节点建立连接时，不论是源节点还是目的节点，都使用随机端口技术，因此对于广播了目的地址端口对的节点，即P2P资源的提供者来说，与自己建立了连接的源IP地址数和源端口数应大致相同。相反，其他应用(如HTTP)与Web服务器建立连接时，不同源IP的节点会使用相同的端口进行连接，所以其源IP数与源端口数有较大的差异。因此，可通过在单位时间内某数据流的源IP数与源端口数大致相同来判断该流量可能就是P2P流量；而当在单位时间内某数据流的源端口数与源IP数相差很大时，则认为是非P2P流量。

地址端口对分析技术有效地利用了网络流量中的（IP，PORT）这一。图1示出了现有的地址端口对分析技术的流程，如图1所示：

S101：网络流量包从源端口向目的端口输入；

S102：目的端口获取相对应的会话结构体；

S103：判断是否有相关的IP_PORT被标记为P2P，如果是，则进入S104，否则进入S105；

S104：标记会话为P2P；

S105：判断获取的相对应的会话结构体是否为会话的首包，如果是进入S106，否则进入S107；

S106：为源IP_PORT添加目的端IP与PORT信息；

S107：判断更新计时器是否超时，如果是进入S108，否则进入S110；

S108：遍历IP_PORT表，根据记录的IP与PORT信息更新相关的P2P标记，同时删除超时的表结点；

S109：重设更新计时器；

S110：结束，处理下一个数据包。

通过图1所示的流程可以看出，地址端口对分析技术在无需应用层数据信息的参与的情况下，仅仅依赖于流量包的包头信息，就能够有效地实现复杂P2P流量（尤其是加密P2P流量）的判别。对于以UDP为主要通信协议、以超级节点作为通信中枢的P2P网络来说，其识别效果是比较理想的，且误判率较低。然而，该技术的所有判定信息都体现在（IP，PORT）这一单一判定上，且往往只能判别出网络资源提供者的相关特征，而无法准确识别资源获取者的网络信息。这种限制使其在多协议、多应用的流量集的实际网络环境下，识别的准确度不高。

发明内容

鉴于上述问题，本发明的目的是提供一种基于多元判定要素的P2P识别方法及系统，以提高在多协议、多应用流量集的实际网络环境下的P2P识别的准确率。

根据本发明的一个方面，提供一种基于多元判定要素的P2P识别方法，包括：

通过HASH表分别记录网络会话中每个节点的IP要素、IP_PORT要素和FLOW要素，其中，

IP要素包括源端IP与目的端IP；

IP_PORT要素包括源端IP_PORT与目的端IP_PORT；

FLOW要素包括源端IP、目的端IP、源端的端口、目的端的端口；

以IP_PORT要素为标记条件，对IP_PORT要素、与IP_PORT要素相关联的IP要素、以及IP_PORT要素所属的FLOW要素所关联的对端IP_PORT要素进行P2P标记；其中，根据IP要素的P2P标记以及被标记为P2P的IP要素在预设时间内的连接数，确定FLOW要素是否被标记为P2P；