本发明专利技术公开了一种对等网络流量的识别方法及识别装置,该方法包括:获取目标报文所属会话流的报文数量;如果报文数量大于预设第一阈值,获取目标报文所属会话流第一方向的报文数量与该会话流第二方向的报文数量的第一比值,以及该会话流第一方向的数据量与该会话流第二方向的数据量的第二比值;如果第一比值大于预设第二阈值且第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果源IP地址集包含目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将目标报文所属会话流的流量确定为对等网络流量。采用该方法可以精确识别加密报文所属会话流的流量是否为P2P流量。
【技术实现步骤摘要】
一种对等网络流量的识别方法及识别装置
本专利技术涉及对等网络流量识别
,尤其涉及一种对等网络流量的识别方法及识别装置。
技术介绍
目前,对等网络(Peer-to-Peer,P2P)由于具有多种优点,例如资源占用低,资源共享率高和资源利用率高等,使得对等网络流量在网络流量中占据的比例越来越大。但是随着对等网络流量占用网络带宽的增大,同时给网络带来较大负担。基于此,对对等网络流量的识别,以及进一步的管理越来越重要。现有技术中,通常采用深度报文检测(DeepPacketInspection,DPI)方法对对等网络流量进行识别,但是此种方法无法识别加密报文。对加密报文,通常采用基于流统计特性的识别方法对加密报文所属的会话流进行统计分析,从而识别该会话流的流量是否为对等网络流量,但是该方法容易出现误识别,识别的精确度较低。所以,现有的对等网络流量的识别方法,无法精确识别加密报文的流量,适用性较差。
技术实现思路
本专利技术提供了一种对等网络流量的识别方法及识别装置,以解决现有的对等网络流量的识别方法,无法精确识别加密报文的流量,适用性较差的问题。第一方面,本专利技术提供了一种对等网络流量的识别方法,该识别方法包括:获取目标报文所属会话流的报文数量;如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。进一步,该识别方法还包括:将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配,根据匹配的结果确定所述待检测报文对应的已知应用行为;如果不存在与所述待检测报文相对应的已知应用行为,将所述待检测报文确定为目标报文。进一步,该识别方法还包括:如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为,将待检测报文所属会话流的流量确定为非对等网络流量,并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。进一步,该识别方法还包括:如果所述待检测报文对应的已知应用行为是对等网络资源请求行为,将所述待检测报文的源IP地址和当前时间对应存储至所述已知对等网络资源请求行为的源IP地址集中。进一步,该识别方法还包括:如果所述源IP地址集中不包含所述目标报文的源IP地址,或者所述源IP地址集中包含所述目标报文的源IP地址且与该源IP地址一起对应存储的时间与当前时间的差值大于预设时间阈值,将所述目标报文所属会话流的流量确定为非对等网络流量。第二方面,本专利技术还提供了一种对等网络流量的识别装置,该识别装置包括:报文数量获取模块,用于获取目标报文所属会话流的报文数量;比值获取模块,用于如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;源IP地址集获取模块,用于如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;第一流量确定模块,用于如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。进一步,该识别装置还包括:已知应用行为确定模块,用于将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配,根据匹配的结果确定所述待检测报文对应的已知应用行为;目标报文确定模块,用于如果不存在与所述待检测报文相对应的已知应用行为,将所述待检测报文确定为目标报文。进一步,该识别装置还包括:第二流量确定模块,用于如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为,将待检测报文所属会话流的流量确定为非对等网络流量,并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。进一步,该识别装置还包括:存储模块,用于如果所述待检测报文对应的已知应用行为是对等网络资源请求行为,将所述待检测报文的源IP地址和当前时间对应存储至所述已知对等网络资源请求行为的源IP地址集中。进一步,该识别装置还包括:第三流量确定模块,用于如果所述源IP地址集中不包含所述目标报文的源IP地址,或者所述源IP地址集中包含所述目标报文的源IP地址且与该源IP地址一起对应存储的时间与当前时间的差值大于预设时间阈值,将所述目标报文所属会话流的流量确定为非对等网络流量。本专利技术的实施例提供的技术方案可以包括以下有益效果:本专利技术提供了一种对等网络流量的识别方法及识别装置。该识别方法中,对等网络流量的识别装置通过分析接收到的报文所属会话流上传输的报文数量、该报文所属会话流的两个方向上传输的报文数量的比值、该报文所属会话流的两个方向上传输的数据量的比值、以及该报文的源IP地址与已知对等网络资源请求行为的源IP地址集之间的关系是否符合相应的设定条件,从而确定该报文所属会话流的流量是否为对等网络流量,对于加密报文,整个识别过程不会受报文加密的影响,可以精确的识别出报文所属会话流的流量是否为对等网络流量,适用性更好;此外,该识别方法,还可以先将对等网络流量的识别装置接收到的报文中与已知应用行为对应的报文筛选出,后续可以减少对等网络流量的误识别,提高对等网络流量识别的精确度。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种对等网络流量的识别系统的结构框图;图2为本专利技术实施例提供的一种对等网络流量的识别方法的流程示意图;图3为本专利技术实施例提供的一种对等网络流量的识别装置的结构框图。具体实施方式结合
技术介绍
可知,现有的对等网络流量的识别方法,存在无法识别加密报文或识别加密报文的精确度较低的缺点。为了克服这一缺点,本专利技术提供了一种对等网络流量的识别方法及识别装置。下面结合附图,详细介绍本专利技术提供的对等网络流量的识别方法及识别装置。需要对网络流量中的对等网络流量进行识别时,通常在用户终端与服务器之间的通信网络中连接对等网络流量的识别装置,以便对用户终端和服务器之间的通信网络的网络流量进行识别。基于此,在介绍本专利技术提供的对等网络流量的识别方法及识别装置之前,首先介绍一种对等网络流量的识别系统,采用该识别系统可以实施本专利技术实施例提供的对等网络流量的识别方法的各步骤。参见图1,图1示出的是本专利技术实施例提供的一种对等网络流量的识别系统的结构框图。结合图1可知,该识别系统包括:用户终端1、服务器2和对等网络流量的识别装置3,其中,对等网络流量的识别装置3串行连接本文档来自技高网...
【技术保护点】
一种对等网络流量的识别方法,其特征在于,包括:获取目标报文所属会话流的报文数量;如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。
【技术特征摘要】
1.一种对等网络流量的识别方法,其特征在于,包括:获取目标报文所属会话流的报文数量;如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。2.如权利要求1所述的识别方法,其特征在于,该识别方法还包括:将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配,根据匹配的结果确定所述待检测报文对应的已知应用行为;如果不存在与所述待检测报文相对应的已知应用行为,将所述待检测报文确定为目标报文。3.如权利要求2所述的识别方法,其特征在于,该识别方法还包括:如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为,将待检测报文所属会话流的流量确定为非对等网络流量,并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。4.如权利要求2所述的识别方法,其特征在于,该识别方法还包括:如果所述待检测报文对应的已知应用行为是对等网络资源请求行为,将所述待检测报文的源IP地址和当前时间对应存储至所述已知对等网络资源请求行为的源IP地址集中。5.如权利要求1所述的识别方法,其特征在于,该识别方法还包括:如果所述源IP地址集中不包含所述目标报文的源IP地址,或者所述源IP地址集中包含所述目标报文的源IP地址且与该源IP地址一起对应存储的时间与当前时间的差值大于预设时间阈值,将所述目标报文所属会话流的流量确定为非对等网络流量。6.一种对等网络流量的识别装置,其特征在于,包括:报文数量获取模块,用于获取目标报文所属会话流的报...
【专利技术属性】
技术研发人员:肖庆伟,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。