公开/公告号CN102340532A
专利类型发明专利
公开/公告日2012-02-01
原文格式PDF
申请/专利号CN201010238666.2
发明设计人 孙海波;
申请日2010-07-26
分类号H04L29/08;H04L12/24;H04L12/56;
代理机构北京安信方达知识产权代理有限公司;
代理人栗若木
地址 100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦
入库时间 2023-12-18 04:30:08
法律状态公告日
法律状态信息
法律状态
2020-07-14
未缴年费专利权终止 IPC(主分类):H04L29/08 授权公告日:20140514 终止日期:20190726 申请日:20100726
专利权的终止
2014-05-14
授权
授权
2012-03-28
实质审查的生效 IPC(主分类):H04L29/08 申请日:20100726
实质审查的生效
2012-02-01
公开
公开
技术领域
本发明涉及P2P(点对点)应用的管理技术,具体地说,是涉及一种P2P应用识别方法及装置,和一种P2P流量管理方法及装置。
背景技术
网络管理系统作为网络安全防护的重要手段,目前应用日益广泛。通过对网络内部整体架构及应用进行合理配置,以达到最优的网络使用效率。通过对于当前网络运行状态的监控及策略调整,使网络业务得以顺利正常的运行,避免网络资源的滥用及浪费,保障网络系统的正常运营,是实现IT管理和控制的有效方法。
随着网络的发展,目前的网络环境当中出现了越来越多的P2P(点对点)类应用。P2P网络结构及应用能够提高网络资源的利用率,提高资源共享率,是未来网络发展的一大趋势。但是由于缺乏统一的标准和使用规范,P2P应用的出现也带来很多的弊端,这主要体现在对于网络资源的滥用上,比如基于P2P架构的文件共享、视频播放等等应用,占用带宽过大,严重影响其他正常网络业务的使用等等。同时,各种P2P应用逐渐采取了加密传输等方式,来规避传统的检测及管理技术,使得P2P应用无法有效地被识别并进行有效的管理。
随着P2P应用带来的弊端日益严重,很多的网络安全产品考虑不同的措施,希望对于P2P应用进行有效管理。目前大多数网络管理产品对P2P应用的管理方式也相对单一,比如防火墙、入侵防御系统(IPS)、统一威胁管理(UTM)等产品试图提供对于P2P应用加以阻断来解决当前P2P滥用网络资源的问题。目前大多数的网络管理产品,对于P2P类应用的识别,采用了协议解析加特征匹配的方式,在网络环境中检测P2P的具体应用,如比特流(BT)、电驴(emule)等等。
逐渐采用加密传输等躲避方式的P2P应用,虽然能规避传统的检测及管理,但是造成了对于P2P流量的识别越来越难,进而严重影响了P2P流量适度管理的后果,这反而不利于对P2P应用进行合理的管理和引导。
另一方面,一些网络管理技术采用单一的限制流量或连接数(如限定流量阈值或连接数阈值等)的做法来限制P2P应用的使用,以避免P2P业务对正常网络业务的干扰,但是这势必会造成网络资源的浪费。比如一般的网络环境中,上班时段的网络业务繁忙,此时应该尽量降低P2P的使用甚至停止使用,以便为正常业务保留足够的带宽;而到了夜间带宽空闲的时候,则可以适当提高P2P应用的使用范围,以做到网络资源的最大利用。
因此有必要发展一种能够实现对P2P应用流量进行有效识别并在此基础之上进行有效管理的方法,用以克服现有网络系统对于资源分配不尽合理的缺陷,保证网络资源的最大利用。
发明内容
本发明所要解决的技术问题是需要提供一种P2P应用识别方法及装置,以克服现有技术对网络资源分配不尽合理的缺陷。
为了解决上述技术问题,本发明提供了一种P2P应用识别方法,包括如下步骤:
计算连接中每个源IP地址的连接数方差;
选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用。
优选地,取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
优选地,统计所述二次筛选集合中的源IP地址连接不同所述目的IP地址的连接数,以及各所述目的IP地址所使用的目的端口的数量;将所述连接数与所述目的端口的数量的差值与所述端口差量阈值进行比较;确定所述差值小于等于所述端口差量阈值的源IP地址正在进行P2P应用。
为了解决上述技术问题,本发明还提供了一种P2P应用识别装置,包括:
计算模块,用于计算连接中每个源IP地址的连接数方差;
第一选择模块,用于选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
第二选择模块,用于按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
识别模块,用于根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用。
优选地,所述第一选择模块用于选取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
本发明所要解决的另一技术问题是需要提供一种P2P流量管理方法及装置,以克服现有技术对P2P应用的管理方式单一的缺陷。
为了解决上述技术问题,本发明提供了一种P2P流量管理方法,包括如下步骤:
计算所述连接中每个源IP地址的连接数方差;
取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用;
对正在进行P2P应用的源IP地址,依据预先设定的时间间隔,对其所有连接的流量信息进行统计,获得各连接在当前时间间隔内的传输速度;
根据预设的流量管理策略以及所述传输速度,以连接为单位对各P2P应用进行流量管理。
优选地,取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
优选地,统计所述二次筛选集合中的源IP地址连接不同所述目的IP地址的连接数,以及各所述目的IP地址所使用的目的端口的数量;将所述连接数与所述目的端口的数量的差值与所述端口差量阈值进行比较;确定所述差值小于等于所述端口差量阈值的源IP地址正在进行P2P应用。
为了解决上述技术问题,本发明还提供了一种P2P流量管理装置,包括:
第一计算模块,用于计算连接中每个源IP地址的连接数方差;
第一选择模块,用于选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
第二选择模块,用于按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
识别模块,用于根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用;
第二计算模块,用于对正在进行P2P应用的源IP地址,依据预先设定的时间间隔,对其所有连接的流量信息进行统计,获得各连接在当前时间间隔内的传输速度;
管理模块,用于根据预设的流量管理策略以及所述传输速度,以连接为单位对各P2P应用进行流量管理。
优选地,所述第一选择模块用于选取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
本发明的技术方案适用于网络管理技术和网络审计技术等应用,与现有技术相比:
本发明的P2P应用识别技术方案克服现有技术对网络资源分配不尽合理的缺陷,并解决了传统产品中对于P2P应用不能准确识别的技术不足,在实际网络环境中能够实时地进行P2P应用识别。
本发明的P2P流量管理技术方案解决了目前对于P2P应用的流量管理方式单一的技术缺陷,在实际网络环境中实时地对P2P流量进行策略管理,在流量管理策略允许的范围内避免了网络资源的浪费,提高了网络管理系统对于P2P应用管理的灵活性。
附图说明
图1是本发明实施例的一种P2P应用识别方法的流程示意图;
图2是本发明实施例的一种P2P流量管理方法的流程示意图;
图3是本发明实施例的一种P2P应用识别装置的组成示意图;
图4是本发明实施例的一种P2P流量管理装置的组成示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
实施例一、一种P2P应用识别方法
如图1所示,本实施例主要包括如下步骤:
步骤S110,采集连接的流量数据;
步骤S120,计算连接中每个源IP地址的连接数方差,选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
步骤S130,对一次筛选集合中的IP地址进行连接协议统计,根据所使用的连接协议,对一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
步骤S140,对二次筛选集合中的源IP地址,根据其连接数、连接对端所使用的端口数量以及预设的端口差量阈值,确定其是否正在进行P2P应用。
本实施例根据IP连接数特征、连接协议特征及IP地址及端口(IP、port)特征对流量数据进行统计筛选,确定当前网络环境中的P2P节点。
在本实施例的一个实际应用中,所采集到的流量数据样本包括每个报文所使用的传输层协议,该报文的源IP、目的IP、源端口、目的端口和流量(字节数,以千比特(KB)为单位)。例如,本实际应用中所使用的流量数据样本格式如下:
表1、流量数据样本
依据上述流量数据样本进行源IP连接数统计,例如上表中源IP地址为20.115.16.172的连接数为4,源IP地址为202.116.47.48的连接数为1。按照如下表达式计算每个源IP地址的连接数方差:
>式(1)
对于同一个源IP地址,x1...xn分别是该源IP地址的连接数,x*表示x1...xn的平均数,Y表示连接数方差;
将该Y值与预先设定的连接数方差阈值进行比较,如果Y值大于等于该连接数方差阈值则说明有连接数异常状况,此时取Y值高于该阈值的连接数从大到小的前m个源IP地址作为一次筛选集合;也即选取Y值大于等于该连接数方差阈值的部分或全部源IP地址,作为该一次筛选集合。
在该实际应用中,上述步骤S130的具体过程可以是,
判断一次筛选集合中的IP地址当中,是否有IP地址作为源IP分别以传输控制协议(TCP)及用户数据报文协议(UDP)与同一个目的IP地址同时存在连接;例如表1中,源IP地址20.115.16.172向目的IP地址202.102.224.136及169.20.108.159分别都有TCP连接及UDP连接存在,此时保留这样的源IP地址作为二次筛选集合中的元素,并丢弃不满足此条件的IP地址。
在该实际应用中,上述步骤S140的具体过程可以是,
统计二次筛选集合中的源IP地址连接不同目的IP地址的连接数量,以及这些连接当中目的IP地址所使用的目的端口的数量,并对二者进行对比统计;若连接数量与目的端口的数量相差在一预设的端口差量阈值(本实际应用为10个)以内(小于等于端口差量阈值),则认为该源IP地址正在进行P2P应用,否则可以认为该源IP地址正在进行的应用为非P2P应用;例如表1中的源IP地址20.115.16.172的4个连接当中,使用了4个不同的目的端口,则其连接数量与端口数量相差为零,此时可判断该源IP地址为20.115.16.172的节点正在进行P2P应用。
实施例二、一种P2P流量管理方法
本实施例以上述实施例一中的识别结果作为P2P流量分析的对象。如图2所示,本实施例主要包括如下步骤:
步骤S210,采集连接的流量数据;
步骤S220,计算连接中每个源IP地址的连接数方差,选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
步骤S230,对一次筛选集合中的源IP地址进行连接协议统计,根据所使用的连接协议,对一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
步骤S240,对二次筛选集合中的源IP地址,根据其连接数、连接对端所使用的端口数量以及预设的端口差量阈值,确定其是否正在进行P2P应用;
步骤S250,对正在进行P2P应用的源IP地址,依据预先设定的时间间隔,对该IP地址的所有连接的流量信息进行统计,获得各连接在当前时间间隔内的传输速度;
步骤S260,根据预设的流量管理策略及各连接在当前时间间隔内的传输速度,以连接为单位对各P2P应用进行流量管理。
继续以实施例一的前述的实际应用为例说明本实施例的步骤S250及步骤S260。
上述步骤S250中,对于IP地址20.115.16.172,跟踪该IP地址在预定时间间隔内的所有服务器端向客户端的单向连接,并统计这些单向连接中的相邻150个数据报文的长度特征;预设相邻的两个数据报文的长度差大于长度差阈值(本实际应用为500k)时,计数器相应的增加1,当长度差小于该长度差阈值(500k)时,计数器不做统计。
由此得到测试结果如表2所述:
表2、本实际应用的一个测试结果
也就是说,对于P2P类应用,计数器的值在统计过程中每150个数据报文会超过15,因此本实际应用在本步骤中设定计数器的值为15,对于IP地址为20.115.16.172来说,每一个以该IP地址为目的地址的连接相应计数器的值大于15时,认定该连接为P2P连接。
之后以筛选出的P2P连接为基础,统计各个时间间隔内各个P2P连接的流量信息;例如在当前时间间隔内收到的流量数据如表3所示:
表3、当前时间间隔内收到的流量数据
计算各单向连接的传输速度,本实际应用中所使用的时间间隔为30秒,计算得出各连接的传输速度如表4:
表4、单向连接的流量信息
上述步骤S260中,在接收到各连接的传输速度之后,根据预先设定的流量管理策略,即可以进行P2P流量管理的实施。
在前述的实际应用中,流量管理策略为P2P连接流量上限为每连接10kb/秒时。则表4中的编号为2、3、7的连接将被终止,而编号为1、4、5、6的连接将被保留,不做限制;如果此时设定的流量管理策略为单向连接总流量上限为30kb/秒时(同时保证连接数尽量少时),则表4中编号为1、3、4、5的连接将被保留,而编号为2、6、7的连接将被终止。类似的,本步骤可以根据针对不同网络情况而预先设定的流量管理策略,对P2P应用的各个连接进行相应的处理,以达到预先设定的流量策略。
实施例三、一种P2P应用识别装置,
如图3所示,本实施例的识别装置主要包括采集模块310、计算模块320、第一选择模块330、第二选择模块340以及识别模块350,其中:
采集模块310,用于采集连接的流量数据;
计算模块320,与采集模块310相连,用于计算所述连接中每个源IP地址的连接数方差;
第一选择模块330,与计算模块320相连,用于选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
第二选择模块340,与第一选择模块330相连,用于按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
识别模块350,与第二选择模块340相连,用于根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用。
上述第一选择模块330用于选取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
实施例四、一种P2P流量管理装置
如图4所示,本实施例的管理装置主要包括采集模块410、第一计算模块420、第一选择模块430、第二选择模块440、识别模块450、第二计算模块460以及管理模块470,其中:
采集模块410,用于采集连接的流量数据;
第一计算模块420,与采集模块410相连,用于计算所述连接中每个源IP地址的连接数方差;
第一选择模块430,与第一计算模块420相连,用于选取所述连接数方差大于等于预设的连接数方差阈值的部分或全部源IP地址,形成一次筛选集合;
第二选择模块440,与第一选择模块430相连,用于按照所使用的连接协议,对所述一次筛选集合中的源IP地址进行二次筛选,形成二次筛选集合;
识别模块450,与第二选择模块440相连,用于根据所述二次筛选集合中的源IP地址的连接数、连接对端所使用的端口数量及预设的端口差量阈值,确定所述二次筛选集合中的源IP地址是否正在进行P2P应用;
第二计算模块460,与识别模块450相连,用于对正在进行P2P应用的源IP地址,依据预先设定的时间间隔,对其所有连接的流量信息进行统计,获得各连接在当前时间间隔内的传输速度;
管理模块470,与第二计算模块460相连,用于根据预设的流量管理策略以及所述传输速度,以连接为单位对各P2P应用进行流量管理。
上述第一选择模块430用于选取所述一次筛选集合中的同时以传输控制协议及用户数据报文协议连接同一目的IP地址的源IP地址,形成所述二次筛选集合。
本发明的P2P应用识别技术方案解决了传统产品中对于P2P应用不能准确识别的技术缺陷,本发明的P2P流量管理技术方案解决了目前对于P2P应用的流量管理方式单一的技术缺陷,分别实现了在实际网络环境中实时地进行P2P应用识别及对于P2P流量进行策略管理,同时具有速度快和灵活准确等优点。
本发明的P2P流量管理技术方案可以保证其他正常网络业务(非P2P应用)的使用,也可以在流量管理策略允许的范围内进行P2P业务的使用以避免网络资源的浪费,提高了网络管理系统对于P2P应用管理的灵活性。
机译: P2P通信系统对等列表管理方法及其控制P2P通信的装置
机译: P2P通信系统,对等列表管理方法及其控制P2P通信的装置
机译: p2p使用p2p连接减少云服务流量的方法和装置
