[发明专利]基于特征匹配的I2P流量识别方法及系统

权利要求书

1.一种基于特征匹配的I2P流量识别方法，其特征在于，包括：

步骤1、获取待识别的流量文件，提取该流量文件中会话建立过程的载荷序列；

步骤2、判断该会话建立过程的载荷序列是否符合预设特征规则，若是，则判定该流量文件为确信I2P流量，否则该流量文件为其他流量；

其中步骤2中该预设特征规则包括：

载荷序列中位置为1的报文长度等于288；和/或

载荷序列中位置为2的报文长度等于304；和/或

载荷序列中位置为3的报文长度大于等于488；和/或

载荷序列中位置为4的报文长度大于等于48；和/或

载荷序列中所有位置的报文长度被16整除；

步骤3、解析判定为其他流量的流量文件的I2P补种文件，得到I2P节点端口、IP信息，编码该I2P节点端口和该IP信息，得到编码信息，判断RouterInfo信息库中是否具有该编码信息，若有，则取消该流量文件为其他流量，判定该流量文件为疑似I2P流量，否则继续维持该流量文件为其他流量；

步骤4、统计判定为确信I2P流量的载荷序列中每一个载荷长度并将其对应长度区间的计数变量+1；将各长度区间根据区间内的计数变量由大到小排序，抛弃计数变量最大值所对应的区间后取前K个区间，并对区间按最小字节索引值进行编码并存入哈希集合中，其中K为大于1的正整数；

步骤5、统计判定为疑似I2P流量的载荷序列中每一个载荷长度并将其对应长度区间的计数变量+1，将各长度区间根据区间内的计数变量由大到小排序，抛弃计数变量最大值所对应的区间后取前K个区间，并对区间按最小字节索引值进行编码，得到编码结果，判断该哈希集合中是否具有该编码结果，若是，则将该判定为疑似I2P流量的载荷序列重新判定为确信I2P流量，否则将该判定为疑似I2P流量的载荷序列重新判定为其他I2P流量。

2.如权利要求1所述的基于特征匹配的I2P流量识别方法，其特征在于，步骤2中判断过程具体包括：

步骤21、通过搜索数据结构查找载荷序列，定位第i条预设特征规则对应的载荷并对其长度值进行规则匹配，若匹配成功，则定位第i+1条预设特征规则对应的载荷继续进行规则匹配，否则，标记该流量文件为其他流量，退出匹配流程；

步骤22、若该载荷序列满足所有预设特征规则，标记该流量文件为确信I2P流量。

3.如权利要求1所述的基于特征匹配的I2P流量识别方法，其特征在于，

载荷序列中位置为1的报文为该会话建立过程中通信发起方发至通信接收方的会话请求序列；

载荷序列中位置为2的报文为通信接收方回复通信发起方的会话创建序列；

载荷序列中位置为3为通信发起方发至通信接收方的会话确认序列；

载荷序列中位置为4为通信接收方回复通信发起方的会话确认序列。