本申请实施例提供了一种流量识别方法及装置,涉及网络技术领域,其中,上述方法包括:判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口;统计与第一地址端口对建立连接的第二地址端口对中不同IP地址的第一数量、以及不同端口的第二数量,其中,所述第一地址端口对为由所述待检测IP地址和待检测端口组成的信息对;在所述第一数量与第二数量之间的差值小于预设数量阈值的情况下,将所述网络数据流识别为点对点P2P流量。应用本申请实施例提供的方案识别流量能够提高流量识别的准确度。
A Flow Identification Method and Device
【技术实现步骤摘要】
一种流量识别方法及装置
本申请涉及网络
,特别是涉及一种流量识别方法及装置。
技术介绍
近年来,基于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的互联网络规模不断扩大,网络承载的业务也越来越多。除了HTTP、FTP(FileTransferProtocol,文件传输协议)、E-mail等传统业务外,P2P(Peer-to-Peer,点对点)、VoIP(VoiceoverInternetProtocol,基于IP的语音传输)和流媒体等网络新业务也层出不穷。尤其是P2P应用的大量出现对互联网起到了巨大的推动作用。然而,P2P流量数据量较大,需要的网络资源较多,造成了网络带宽的巨大消耗,易引起网络阻塞。另外,P2P网络的“去中心化”特点使得网络不容易管理,通过P2P网络分发内容,易引起蠕虫、病毒或其它的恶意代码的传播,给网络带来安全隐患。鉴于上述情况,需要对网络数据流进行识别,在识别出P2P流量后,可以根据具体情况对P2P流量进行控制。现有技术中,对网络数据流进行识别时,一般是通过端口匹配法对网络数据流进行识别。由于P2P兴起的早期,大多数P2P应用使用固定的端口进行通信,因此,可以根据网络数据流中各报文携带的源端口或者目的端口判断网络数据流是否为P2P流量。然而,随着P2P业务的推广,越来越多的P2P应用采用动态随机端口或者伪装端口通信,使得应用上述端口匹配法进行网络数据流识别时,有时难以识别出P2P流量,从而导致流量识别准确率低。
技术实现思路
本申请实施例的目的在于提供一种流量识别方法及装置,以提高流量识别的准确率。具体技术方案如下:第一方面,本申请实施例提供了一种流量识别方法,所述方法包括:判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口;统计与第一地址端口对建立连接的第二地址端口对中不同IP地址的第一数量、以及不同端口的第二数量,其中,所述第一地址端口对为由所述待检测IP地址和待检测端口组成的信息对;在所述第一数量与第二数量之间的差值小于预设数量阈值的情况下,将所述网络数据流识别为点对点P2P流量。第二方面,本申请实施例提供了一种流量识别装置,所述装置包括:信息判断模块,用于判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,触发信息确定模块;所述信息确定模块,用于根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口;数量统计模块,用于统计与第一地址端口对建立连接的第二地址端口对中不同IP地址的第一数量、以及不同端口的第二数量,其中,所述第一地址端口对为由所述待检测IP地址和待检测端口组成的信息对;流量识别模块,用于在所述第一数量与第二数量之间的差值小于预设数量阈值的情况下,将所述网络数据流识别为点对点P2P流量。第三方面,本申请实施例提供了一种电子设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第一方面所述的方法步骤。第四方面,一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现上述第一方面所述的方法步骤。由以上可见,应用本申请实施例提供的方案进行流量识别时,在网络数据流的各报文携带的协议信息包括TCP协议信息和UDP协议信息的情况下,根据各报文携带的IP地址和端口,确定待检测IP地址和待检测端口,并统计与包含上述待检测IP地址和待检测端口的地址端口对建立连接的IP地址的第一数量、与上述地址端口对建立连接的端口的第二数量,且在第一数量与第二数量之间的差值小于预设数量阈值时,才将网络数据流识别为P2P流量。可见,应用本申请实施例提供的方案进行流量识别时,不仅参考了网络数据流中各报文携带的端口,还依据了网络数据流中各报文携带的协议信息、IP地址,通过对多种信息综合分析,识别网络数据流是否为P2P流量,相比于现有技术中单纯的考虑端口,所使用的信息更加丰富,从而有利于提供网络数据流识别的准确度。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种流量识别方法的流程示意图;图2a为本申请实施例提供的第一种网络结构示意图;图2b为本申请实施例提供的第二种网络结构示意图;图2c为本申请实施例提供的第三种网络结构示意图;图3为本申请实施例提供的一种流量识别装置的结构示意图;图4为本申请实施例提供的一种电子设备的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。图1为本申请实施例提供的一种流量识别方法的流程示意图,该方法可以应用于网络设备,图1所示的方法包括如下S101-S104,以下对各部分进行详细说明。S101:判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息,若为是,执行S102。具体的,由于对网络流量进行识别可以是对一段时间内网络中传输的网络数据流进行识别,所以上述网络数据流可以为一定时长的时间段内网络中传输的网络数据流,例如,当前时刻之前5分钟之内网络中传输的网络数据流,还可以是两个特定时间点之间网络中传输的网络数据流,例如,2019.5.918:00:00-2019.5.918:05:00这一时间段内网络中传输的网络流量等。上述TCP(TransmissionControlProtocol,传输控制协议)协议信息可以是表示TCP的标识性信息。例如,上述TCP的标识性信息为:TCP。上述UDP(UserDatagramProtocol,用户数据报协议)协议信息可以是表示UDP的标识性信息。例如,上述UDP的标识性信息为:UDP。具体的,由于报文的五元组信息、七元组信息等中包括协议信息,鉴于这种情况,可以从网络数据流的各报文的五元组信息、七元组信息中获得各报文携带的协议信息,然后判断所获得的所有协议信息中是否既包含TCP协议信息,也包括UDP协议信息。本申请的一个实施例中,在所获得的协议信息中不是既包含TCP协议信息又包括UDP协议信息的情况下,可以认为上述网络数据流不是P2P流量。S102:根据上述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口。本领域技术人员可以理解的是,报文的五元组信息或者七元组信息中除了包括协议信息外,还包括源IP地址、目的IP地址、源端口和目的端口。鉴于此,本申请的一个实施例中,可以通过以下两种方式中的一种确定待检测IP地址和待检测端口。第一种方式,将各报文携带的目的IP地址确定为本文档来自技高网...
【技术保护点】
1.一种流量识别方法,其特征在于,所述方法包括:判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口;统计与第一地址端口对建立连接的第二地址端口对中不同IP地址的第一数量、以及不同端口的第二数量,其中,所述第一地址端口对为由所述待检测IP地址和待检测端口组成的信息对;在所述第一数量与第二数量之间的差值小于预设数量阈值的情况下,将所述网络数据流识别为点对点P2P流量。
【技术特征摘要】
1.一种流量识别方法,其特征在于,所述方法包括:判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口;统计与第一地址端口对建立连接的第二地址端口对中不同IP地址的第一数量、以及不同端口的第二数量,其中,所述第一地址端口对为由所述待检测IP地址和待检测端口组成的信息对;在所述第一数量与第二数量之间的差值小于预设数量阈值的情况下,将所述网络数据流识别为点对点P2P流量。2.根据权利要求1所述的方法,其特征在于,所述根据所述各报文携带的IP地址和端口,确定待检测IP地址和待检测端口,包括:将所述各报文携带的目的IP地址确定为待检测IP地址,并将所述各报文携带的目的端口确定为待检测端口;或将所述各报文携带的源IP地址确定为待检测IP地址,并将所述各报文携带的源端口确定为待检测端口。3.根据权利要求1或2所述的方法,其特征在于,在确定所述待检测端口之后,还包括:判断所述待检测端口是否为预设端口列表中的端口;若为否,执行所述获得与第一地址端口对建立连接的地址端口对中不同IP地址的第一数量、以及不同端口的第二数量的步骤。4.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:在所述待检测端口不是所述预设端口列表中的端口的情况下,判断所述待检测端口是否为已知业务所采用的端口;若为否,执行所述获得与第一地址端口对建立连接的地址端口对中不同IP地址的第一数量、以及不同端口的第二数量的步骤。5.一种流量识别装置,其特征在于,所述装置包括:信息判断模块,用于判断网络数据流的各报文携带的协议信息中是否包含TCP协议信息和UDP协议信息;若为是,...
【专利技术属性】
技术研发人员:顾成杰,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。