[发明专利]P2P流检测方法和设备

权利要求书

1.一种P2P流检测方法，其特征在于，该方法应用于设置在网络出口的设备，包括以下步骤：

识别待检测的数据流是属于HTTP流还是非HTTP流；

如果是非HTTP流，则对所述数据流进行如下DFI检测：检测本地的DFI规则库中是否存在至少包含以下内容的DFI规则：所述数据流携带的目的IP地址、目的端口号、协议号，在DFI检测结果为是时，判定所述数据流为P2P流，对该数据流执行预先定义的流量控制操作；

如果是HTTP流，或者在DFI检测结果为否时，开始统计单位时间内属于所述数据流的前N个报文的总流量M，N大于1，在统计出的总流量M小于第一设定流量阈值或者单位时间内属于所述数据流的报文数量小于N时，判定所述数据流为非P2P流；在统计出的总流量M大于第一设定流量阈值时对所述数据流进一步执行DPI检测，在DPI检测出所述数据流为非P2P流时，按照预先配置的非P2P流处理方式对所述数据流进行流量控制，在DPI检测出所述数据流为P2P流时，除了按照预先配置的P2P流处理方式对所述数据流进行流量控制之外，还识别所述数据流匹配的应用名称，将匹配的应用名称、统计出的总流量M、所述数据流携带的目的IP地址、目的端口号、协议号作为一条DFI规则更新至所述DFI规则库。

2.根据权利要求1所述的方法，其特征在于，在检测出DFI规则库中存在至少包含以下内容的DFI规则：所述数据流携带的IP地址、端口号、协议号时，该方法进一步包括：

将该存在的DFI规则中的应用名称作为所述数据流匹配的应用，并通过日志方式输出。

3.根据权利要求1所述的方法，其特征在于，在开始统计单位时间内属于所述数据流的前N个报文的总流量M之前，进一步包括：为所述数据流分配一个编号，不同数据流分配的编号不同；

在对所述数据流执行DPI检测之前，该方法进一步包括：将该统计出的总流量M作为所述数据流的流量M与所述数据流被分配的编号一起对应记录至预先建立的流量大小记录表；

所述将匹配的应用名称、统计出的总流量M、所述数据流携带的目的IP地址、目的端口号、协议号作为一条DFI规则更新至所述DFI规则库包括：

定时或者实时从所述流量大小记录表中找到所述数据流的流量M；

如果该找到的所述数据流的流量M大于第二设定流量阈值，则将该找到的所述数据流的流量M、所述数据流匹配的应用名称、所述数据流携带的目的IP地址、目的端口号、协议号作为一条DFI规则更新至所述DFI规则库。

4.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

定期将本地DFI规则库上传至云端；

接收所述云端下发的可共享的DFI规则库，并将该接收的DFI规则库添加到本地的DFI规则库；

其中，所述云端下发的可共享的DFI规则库通过以下步骤确定：

云端针对收到的每一DFI规则，如果该DFI规则中的流量大于或等于第三设定流量阈值，则将该DFI规则作为待选DFI规则；

为每一待选DFI规则设定对应的P2P信用值；

将P2P信用值大于设定值的非重复DFI规则组织在一起形成所述可共享的DFI规则库。

5.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

在客户需求与其他设备共享DFI规则库时，接收来自其他设备发送的DFI规则库；

利用本地的DFI规则库和本地已配置的第三设定流量阈值、以及接收的DFI规则库生成可共享的DFI规则库，并下发给其他设备；

其中，所述可共享的DFI规则库通过以下步骤确定：

针对本地DFI规则库、以及收到的DFI规则库中的每一DFI规则，如果该DFI规则中的流量大于或等于本地已配置的第三设定流量阈值，则将该DFI规则作为待选DFI规则；

为每一待选DFI规则设定对应的P2P信用值；

将P2P信用值大于设定值的非重复DFI规则组织在一起形成所述可共享的DFI规则库。

6.根据权利要求4或5所述的方法，其特征在于，所述为每一待选DFI规则设定对应的P2P信用值；

针对每一待选DFI规则，识别该待选DFI规则中的IP地址、端口号；

按照以下原则为该待选DFI规则设定对应的P2P信用值：包含该识别出的IP地址、端口号的DFI规则的数量越多，该待选DFI规则对应的P2P信用值就越高的原则。