| 发明名称 | P2P流量检测方法及装置 | ||
| 摘要 | 本发明提供了一种P2P流量检测方法及装置,其中,所述方法包括:S1、使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包;S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳;S3、在检测点观察P2P对等点的连接关系;S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量。本发明可提高对特殊P2P流量检测的准确度,避免了引擎设备所出现严重的误判、漏判问题,是主要针对一些主流复杂应用的流量特征而定制的优化途径。 | ||
| 申请公布号 | CN102333012B | 申请公布日期 | 2014.06.04 |
| 申请号 | CN201110314332.3 | 申请日期 | 2011.10.17 |
| 申请人 | 苏州迈科网络安全技术股份有限公司 | 发明人 | 张庆;张元生;胡斌 |
| 分类号 | H04L12/26(2006.01)I;H04L29/08(2006.01)I | 主分类号 | H04L12/26(2006.01)I |
| 代理机构 | 南京苏科专利代理有限责任公司 32102 | 代理人 | 陆明耀;姚姣阳 |
| 主权项 | 一种P2P流量检测方法,其特征在于,所述P2P流量检测方法包括以下步骤:S1、使用嗅探工具抓取互联网上的P2P应用的检测点数据流通信过程指定时间的会话数据包; S2、对抓取到的所有会话数据包的流量特征数据做统计分析,按TCP与UDP归纳; S3、在检测点观察P2P对等点的连接关系; S4、根据所述连接关系以及对应的TCP和/或UDP的统计等式计算P2P应用的流量;所述TCP和/或UDP的统计等式可为:TCP流量特征:①假如A和互联网上n个节点存在连接,A和任意一个节点之间存在n2条TCP连接,n2>1,该连接由A发起,发起这样的多条连接为P2P的多线程连接,这里要引入一个变量,即要统计使用多线程连接的不同目的地址数TCP_Tdiff_dest,设备里设为可调;值满足如下等式:2≤TCP_Tdiff_dest;2≤n2≤10;②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Pdiff_dest,这些连接的目的端口将不纳入判断条件,不同源端口数TCP_Pdiff_sport;这些值满足如下等式,n3为阈值,可调:TCP_Pdiff_dest=n,n≥n3;TCP_Pdiff_sport= TCP_Pdiff_dest;③假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条TCP连接,如果计算这些连接的不同目的地址数TCP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数TCP_Ddiff_sport;这些值满足如下等式,n4为阈值,可调:TCP_Ddiff_dest=n,n≥n4;TCP_Ddiff_sport= TCP_Ddiff_dest;④假如A和任意一个节点之间先后存在多条TCP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有TCP连接看作一个连接,划入②中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;UDP流量特征:①假如检测点A处于公网上或处于常用的NAT后,使用与P2P通用流量特征UDP流量特征相同的描述,满足如下等式,n5为阈值,可调:UDP_Pdiff_sport<n;UDP_Pdiff_dest=UDP_Pdiff_dport,n≥n5;UDP_Pdiff_dest=n;②假如A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Ddiff_dest,设备里设为可调,且这些连接的目的端口都相同,不同源端口数UDP_Ddiff_sport;这些值满足如下等式,n6为阈值,可调:UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= UDP_Ddiff_dest;或者UDP_Ddiff_dest=n,n≥n6;UDP_Ddiff_sport= 1;③假如检测点A和互联网上n个节点存在连接,A和任意一个节点之间至多存在一条UDP连接,如果计算这些连接的不同目的地址数UDP_Sdiff_dest,这些连接的源端口将不纳入判断条件,不同目的端口数UDP_Sdiff_dport;这些值满足如下等式,n7为阈值,可调:UDP_Sdiff_dest=n,n≥n7,n7测试时设为20;UDP_Sdiff_dport= UDP_Sdiff_dest;④假如A和互联网上n个节点存在连接,A和任意一个节点之间存在多条UDP连接,这样的多条UDP连接的目的端口不相同,且这些连接的源端口都相同,可以将与此目的地址通信的所有UDP连接看作一个连接,划入①中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_PHdiff_dest,这个值满足如下等式,n8为阈值,可调:UDP_PHdiff_dest=n,n≥n8;⑤假如A和任意一个节点之间先后存在多条UDP连接,且这些连接的源端口不同,目的地址与目的端口都相同,将与此目的地址通信的所有UDP连接看作一个连接,划入③中进行统计,查询,判断;最后将与此目的地址通信的所有连接都归为P2P流量;计算这些连接的不同目的地址数UDP_SHdiff_dest,这个值满足如下等式,n9为阈值,可调:UDP_SHdiff_dest=n,n≥n9。 | ||
| 地址 | 215021 江苏省苏州市工业园区金鸡湖大道1355号国际科技园三期8B | ||