一种对等网络流量的识别方法及识别装置制造方法及图纸
【技术实现步骤摘要】
一种对等网络流量的识别方法及识别装置
本专利技术涉及对等网络流量识别
,尤其涉及一种对等网络流量的识别方法及识别装置。
技术介绍
目前,对等网络(Peer-to-Peer,P2P)由于具有多种优点,例如资源占用低,资源共享率高和资源利用率高等,使得对等网络流量在网络流量中占据的比例越来越大。但是随着对等网络流量占用网络带宽的增大,同时给网络带来较大负担。基于此,对对等网络流量的识别,以及进一步的管理越来越重要。现有技术中,通常采用深度报文检测(DeepPacketInspection,DPI)方法对对等网络流量进行识别,但是此种方法无法识别加密报文。对加密报文,通常采用基于流统计特性的识别方法对加密报文所属的会话流进行统计分析,从而识别该会话流的流量是否为对等网络流量,但是该方法容易出现误识别,识别的精确度较低。所以,现有的对等网络流量的识别方法,无法精确识别加密报文的流量,适用性较差。
技术实现思路
本专利技术提供了一种对等网络流量的识别方法及识别装置,以解决现有的对等网络流量的识别方法,无法精确识别加密报文的流量,适用性较差的问题。第一方面,本专利技术提供了...
【技术保护点】
一种对等网络流量的识别方法,其特征在于,包括:获取目标报文所属会话流的报文数量;如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。
【技术特征摘要】
1.一种对等网络流量的识别方法,其特征在于,包括:获取目标报文所属会话流的报文数量;如果所述报文数量大于预设第一阈值,获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值,以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值;如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值,获取已知对等网络资源请求行为的源IP地址集;如果所述源IP地址集中包含所述目标报文的源IP地址,并且与该源IP地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值,将所述目标报文所属会话流的流量确定为对等网络流量。2.如权利要求1所述的识别方法,其特征在于,该识别方法还包括:将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配,根据匹配的结果确定所述待检测报文对应的已知应用行为;如果不存在与所述待检测报文相对应的已知应用行为,将所述待检测报文确定为目标报文。3.如权利要求2所述的识别方法,其特征在于,该识别方法还包括:如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为,将待检测报文所属会话流的流量确定为非对等网络流量,并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。4.如权利要求2所述的识别方法,其特征在于,该识别方法还包括:如果所述待检测报文对应的已知应用行为是对等网络资源请求行为,将所述待检测报文的源IP地址和当前时间对应存储至所述已知对等网络资源请求行为的源IP地址集中。5.如权利要求1所述的识别方法,其特征在于,该识别方法还包括:如果所述源IP地址集中不包含所述目标报文的源IP地址,或者所述源IP地址集中包含所述目标报文的源IP地址且与该源IP地址一起对应存储的时间与当前时间的差值大于预设时间阈值,将所述目标报文所属会话流的流量确定为非对等网络流量。6.一种对等网络流量的识别装置,其特征在于,包括:报文数量获取模块,用于获取目标报文所属会话流的报...
【专利技术属性】
技术研发人员:肖庆伟,
申请(专利权)人:北京安博通科技股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。