一种对等网络流量的识别方法及识别装置与流程

本发明涉及对等网络流量识别技术领域，尤其涉及一种对等网络流量的识别方法及识别装置。

背景技术：

目前，对等网络(peer-to-peer，p2p)由于具有多种优点，例如资源占用低，资源共享率高和资源利用率高等，使得对等网络流量在网络流量中占据的比例越来越大。但是随着对等网络流量占用网络带宽的增大，同时给网络带来较大负担。基于此，对对等网络流量的识别，以及进一步的管理越来越重要。

现有技术中，通常采用深度报文检测(deeppacketinspection，dpi)方法对对等网络流量进行识别，但是此种方法无法识别加密报文。对加密报文，通常采用基于流统计特性的识别方法对加密报文所属的会话流进行统计分析，从而识别该会话流的流量是否为对等网络流量，但是该方法容易出现误识别，识别的精确度较低。

所以，现有的对等网络流量的识别方法，无法精确识别加密报文的流量，适用性较差。

技术实现要素：

本发明提供了一种对等网络流量的识别方法及识别装置，以解决现有的对等网络流量的识别方法，无法精确识别加密报文的流量，适用性较差的问题。

第一方面，本发明提供了一种对等网络流量的识别方法，该识别方法包括：获取目标报文所属会话流的报文数量；如果所述报文数量大于预设第一阈值，获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值，以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值；如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值，获取已知对等网络资源请求行为的源ip地址集；如果所述源ip地址集中包含所述目标报文的源ip地址，并且与该源ip地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值，将所述目标报文所属会话流的流量确定为对等网络流量。

进一步，该识别方法还包括：将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配，根据匹配的结果确定所述待检测报文对应的已知应用行为；如果不存在与所述待检测报文相对应的已知应用行为，将所述待检测报文确定为目标报文。

进一步，该识别方法还包括：如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为，将待检测报文所属会话流的流量确定为非对等网络流量，并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。

进一步，该识别方法还包括：如果所述待检测报文对应的已知应用行为是对等网络资源请求行为，将所述待检测报文的源ip地址和当前时间对应存储至所述已知对等网络资源请求行为的源ip地址集中。

进一步，该识别方法还包括：如果所述源ip地址集中不包含所述目标报文的源ip地址，或者所述源ip地址集中包含所述目标报文的源ip地址且与该源ip地址一起对应存储的时间与当前时间的差值大于预设时间阈值，将所述目标报文所属会话流的流量确定为非对等网络流量。

第二方面，本发明还提供了一种对等网络流量的识别装置，该识别装置包括：报文数量获取模块，用于获取目标报文所属会话流的报文数量；比值获取模块，用于如果所述报文数量大于预设第一阈值，获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值，以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值；源ip地址集获取模块，用于如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值，获取已知对等网络资源请求行为的源ip地址集；第一流量确定模块，用于如果所述源ip地址集中包含所述目标报文的源ip地址，并且与该源ip地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值，将所述目标报文所属会话流的流量确定为对等网络流量。

进一步，该识别装置还包括：已知应用行为确定模块，用于将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配，根据匹配的结果确定所述待检测报文对应的已知应用行为；目标报文确定模块，用于如果不存在与所述待检测报文相对应的已知应用行为，将所述待检测报文确定为目标报文。

进一步，该识别装置还包括：第二流量确定模块，用于如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为，将待检测报文所属会话流的流量确定为非对等网络流量，并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。

进一步，该识别装置还包括：存储模块，用于如果所述待检测报文对应的已知应用行为是对等网络资源请求行为，将所述待检测报文的源ip地址和当前时间对应存储至所述已知对等网络资源请求行为的源ip地址集中。

进一步，该识别装置还包括：第三流量确定模块，用于如果所述源ip地址集中不包含所述目标报文的源ip地址，或者所述源ip地址集中包含所述目标报文的源ip地址且与该源ip地址一起对应存储的时间与当前时间的差值大于预设时间阈值，将所述目标报文所属会话流的流量确定为非对等网络流量。

本发明的实施例提供的技术方案可以包括以下有益效果：本发明提供了一种对等网络流量的识别方法及识别装置。该识别方法中，对等网络流量的识别装置通过分析接收到的报文所属会话流上传输的报文数量、该报文所属会话流的两个方向上传输的报文数量的比值、该报文所属会话流的两个方向上传输的数据量的比值、以及该报文的源ip地址与已知对等网络资源请求行为的源ip地址集之间的关系是否符合相应的设定条件，从而确定该报文所属会话流的流量是否为对等网络流量，对于加密报文，整个识别过程不会受报文加密的影响，可以精确的识别出报文所属会话流的流量是否为对等网络流量，适用性更好；此外，该识别方法，还可以先将对等网络流量的识别装置接收到的报文中与已知应用行为对应的报文筛选出，后续可以减少对等网络流量的误识别，提高对等网络流量识别的精确度。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种对等网络流量的识别系统的结构框图；

图2为本发明实施例提供的一种对等网络流量的识别方法的流程示意图；

图3为本发明实施例提供的一种对等网络流量的识别装置的结构框图。

具体实施方式

结合背景技术可知，现有的对等网络流量的识别方法，存在无法识别加密报文或识别加密报文的精确度较低的缺点。为了克服这一缺点，本发明提供了一种对等网络流量的识别方法及识别装置。

下面结合附图，详细介绍本发明提供的对等网络流量的识别方法及识别装置。

需要对网络流量中的对等网络流量进行识别时，通常在用户终端与服务器之间的通信网络中连接对等网络流量的识别装置，以便对用户终端和服务器之间的通信网络的网络流量进行识别。基于此，在介绍本发明提供的对等网络流量的识别方法及识别装置之前，首先介绍一种对等网络流量的识别系统，采用该识别系统可以实施本发明实施例提供的对等网络流量的识别方法的各步骤。

参见图1，图1示出的是本发明实施例提供的一种对等网络流量的识别系统的结构框图。结合图1可知，该识别系统包括：用户终端1、服务器2和对等网络流量的识别装置3，其中，对等网络流量的识别装置3串行连接于用户终端1和服务器2之间的通信网络中，用户终端1发送至服务器2的报文均会经过对等网络流量的识别装置3，服务器2发送至用户终端1的报文也均会经过对等网络流量的识别装置3，采用对等网络流量的识别装置3可以对用户终端1与服务器2之间的通信网络的网络流量进行识别。

参见图2，图2示出的是本发明实施例提供的一种对等网络流量的识别方法的流程示意图，该识别方法用于对等网络流量的识别装置(例如图1示出的对等网络流量的识别装置3)一侧，包括如下步骤：

步骤101、获取目标报文所属会话流的报文数量。

在一些可选的实施例中，对等网络流量的识别装置接收到的任意一个报文均可以作为目标报文。目标报文所属会话流指的是用户终端(例如图1中示出的用户终端1)与服务器(例如图1中示出的服务器2)之间的一次完整会话交互过程，由一系列交互报文组成，目标报文是这一系列交互报文中的一个报文，目标报文所属会话流的报文数量就是这一系列交互报文的总数。

在其它一些可选的实施例中，在获取目标报文所属会话流的报文数量之前，即执行步骤101之前，该识别方法还包括：获取待检测报文携带的应用行为特征，将该应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配，根据匹配的结果确定所述待检测报文对应的已知应用行为；如果已知应用行为特征集中不存在应用行为特征与待检测报文携带的应用行为特征相匹配的特征签名文件，即匹配不成功，说明不存在与所述待检测报文相对应的已知应用行为，则将所述待检测报文确定为目标报文。采用此种方式确定目标报文，可以将对等网络流量的识别装置接收到的报文中与已知应用行为对应的报文筛选出，后续可以减少对等网络流量的误识别，提高对等网络流量识别的精确度。

其中，待检测报文指的是对等网络流量的识别装置接收到的报文，对等网络流量的识别装置接收到的任意一个报文均可作为待检测报文。已知应用行为指的是一些公知应用的操作行为，例如访问某公知购物网站，通过某种公知下载软件下载数据，以及登录某公知聊天软件等均属于已知应用行为。已知应用行为特征集是指已知应用行为的特征签名文件的集合，其中，该集合中每个特征签名文件中均包含有应用行为特征和与该应用行为特征对应的已知应用行为的名称。应用行为特征指的是应用行为的标识，是每个应用行为区别与其它应用行为的标志。例如，访问某公知购物网站这一应用行为的应用行为特征可以为该公知购物网站的域名。

进一步，可以将已知应用行为特征集预先存储于对等网络流量的识别装置中，使用时直接从对等网络流量的识别装置中调取即可。当然也可以将已知应用行为特征集存储于其它存储装置中，此处不再一一列举。

步骤102、如果所述报文数量大于预设第一阈值，获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值，以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值。

其中，目标报文所属会话流第一方向可以是由用户终端至服务器的方向，也可以是由服务器至用户终端的方向。预设第一阈值可以根据实际需要进行设定。

当目标报文所属会话流第一方向是由用户终端至服务器的方向时，目标报文所属会话流第二方向是由服务器至用户终端的方向。目标报文所属会话流第一方向的报文数量是指该目标报文所属会话流中用户终端发送至服务器的报文的总数，目标报文所属会话流第二方向的报文数量是指该目标报文所属会话流中服务器发送至用户终端的报文的总数。目标报文所属会话流第一方向的数据量是指该目标报文所属会话流中用户终端发送至服务器的数据量，目标报文所属会话流第二方向的数据量是指该目标报文所属会话流中服务器发送至用户终端的数据量。

当目标报文所属会话流第一方向是由服务器至用户终端的方向时，目标报文所属会话流第二方向是由用户终端至服务器的方向。目标报文所属会话流第一方向的报文数量是指该目标报文所属会话流中服务器发送至用户终端的报文的总数，目标报文所属会话流第二方向的报文数量是指该目标报文所属会话流中用户终端发送至服务器的报文的总数。目标报文所属会话流第一方向的数据量是指该目标报文所属会话流中服务器发送至用户终端的数据量，目标报文所属会话流第二方向的数据量是指该目标报文所属会话流中用户终端发送至服务器的数据量。

步骤103、如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值，获取已知对等网络资源请求行为的源ip地址集。

其中，已知对等网络资源请求行为是指通过一些公知的下载软件下载数据。已知对等网络资源请求行为的源ip地址集是源ip地址存储文件的集合，该集合中每个源ip地址存储文件中均包含一个源ip地址和与该源ip地址一起对应存储的时间，其中，该源ip地址为通过某公知的下载软件下载数据的用户终端的源ip地址，与该源ip地址一起对应存储的时间是指将该源ip地址存储至该源ip地址存储文件中的存储时间。预设第二阈值和预设第三阈值均可以根据实际需要进行设定。

步骤104、如果所述源ip地址集中包含所述目标报文的源ip地址，并且与该源ip地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值，将所述目标报文所属会话流的流量确定为对等网络流量。

具体实施时，首先解析目标报文的源ip地址，之后查询已知对等网络资源请求行为的源ip地址集中是否存在包含该源ip地址的源ip地址存储文件，如果已知对等网络资源请求行为的源ip地址集中存在包含该源ip地址的源ip地址存储文件，说明已知对等网络资源请求行为的源ip地址集中包含该源ip地址，则再确定该源ip地址存储文件中包含的时间与当前时间的差值是否小于或等于预设时间阈值，如果该源ip地址存储文件中包含的时间与当前时间的差值小于或等于预设时间阈值，则将目标报文所属会话流的流量确定为对等网络流量。其中，预设时间阈值可以根据实际需要进行设定。

进一步，在将目标报文所属会话流的流量确定为对等网络流量之后，该识别方法还包括：在目标报文所属会话流上添加p2p流量标识。

在其它一些可选的实施例中，该识别方法还包括：如果已知对等网络资源请求行为的源ip地址集中不存在包含所述目标报文的源ip地址的源ip地址存储文件，说明已知对等网络资源请求行为的源ip地址集中不包含所述目标报文的源ip地址，或者已知对等网络资源请求行为的源ip地址集中存在包含所述目标报文的源ip地址的源ip地址存储文件，但该源ip地址存储文件中包含的时间与当前时间的差值大于预设时间阈值，说明已知对等网络资源请求行为的源ip地址集中包含所述目标报文的源ip地址且与该源ip地址一起对应存储的时间与当前时间的差值大于预设时间阈值，则将所述目标报文所属会话流的流量确定为非对等网络流量，并且在所述目标报文所属会话流上添加非p2p流量标识。

在其它一些可选的实施例中，该识别方法还包括：如果已知应用行为特征集中，存在应用行为特征与待检测报文携带的应用行为特征相匹配的特征签名文件，并且该特征签名文件中包含的已知应用行为的名称是某个非对等网络资源请求行为的名称，说明所述待检测报文对应的已知应用行为是非对等网络资源请求行为，则将待检测报文所属会话流的流量确定为非对等网络流量，并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。该应用标识可以为已知应用行为对应的应用名称，例如访问某公知购物网站这一应用行为对应的应用名称为该公知购物网站的名称。

在其它一些可选的实施例中，该识别方法还包括：如果已知应用行为特征集中，存在应用行为特征与待检测报文携带的应用行为特征相匹配的特征签名文件，并且该特征签名文件中包含的已知应用行为的名称是某个已知对等网络资源请求行为的名称，说明所述待检测报文对应的已知应用行为是对等网络资源请求行为，则解析所述待检测报文的源ip地址，将所述待检测报文的源ip地址和当前时间对应存储至所述已知对等网络资源请求行为的源ip地址集中，并且将待检测报文所属会话流的流量确定为对等网络流量，在所述待检测报文所属会话流上添加p2p流量标识。

本发明实施例提供的对等网络流量的识别方法中，对等网络流量的识别装置通过分析接收到的报文所属会话流上传输的报文数量、该报文所属会话流的两个方向上传输的报文数量的比值、该报文所属会话流的两个方向上传输的数据量的比值、以及该报文的源ip地址与已知对等网络资源请求行为的源ip地址集之间的关系是否符合相应的设定条件，从而确定该报文所属会话流的流量是否为对等网络流量，对于加密报文，整个识别过程不会受报文加密的影响，可以精确的识别出报文所属会话流的流量是否为对等网络流量，适用性更好；此外，该识别方法，还可以先将对等网络流量的识别装置接收到的报文中与已知应用行为对应的报文筛选出，后续可以减少对等网络流量的误识别，提高对等网络流量识别的精确度。

与本发明提供的对等网络流量的识别方法相对应，本发明还提供了一种对等网络流量的识别装置。

参见图3，图3示出的是本发明实施例提供的一种对等网络流量的识别装置的结构框图。结合图3可知，该识别装置包括：报文数量获取模块301，用于获取目标报文所属会话流的报文数量；比值获取模块302，用于如果所述报文数量大于预设第一阈值，获取所述目标报文所属会话流第一方向的报文数量与所述目标报文所属会话流第二方向的报文数量的第一比值，以及所述目标报文所属会话流第一方向的数据量与所述目标报文所属会话流第二方向的数据量的第二比值；源ip地址集获取模块303，用于如果所述第一比值大于预设第二阈值且所述第二比值大于预设第三阈值，获取已知对等网络资源请求行为的源ip地址集；第一流量确定模块304，用于如果所述源ip地址集中包含所述目标报文的源ip地址，并且与该源ip地址一起对应存储的时间与当前时间的差值小于或等于预设时间阈值，将所述目标报文所属会话流的流量确定为对等网络流量。

进一步，该识别装置还包括：已知应用行为确定模块305，用于将待检测报文携带的应用行为特征与已知应用行为特征集中包含的应用行为特征进行匹配，根据匹配的结果确定所述待检测报文对应的已知应用行为；目标报文确定模块306，用于如果不存在与所述待检测报文相对应的已知应用行为，将所述待检测报文确定为目标报文。

进一步，该识别装置还包括：第二流量确定模块307，用于如果所述待检测报文对应的已知应用行为是非对等网络资源请求行为，将待检测报文所属会话流的流量确定为非对等网络流量，并且在所述待检测报文所属会话流上添加所述待检测报文对应的已知应用行为的应用标识。

进一步，该识别装置还包括：存储模块308，用于如果所述待检测报文对应的已知应用行为是对等网络资源请求行为，将所述待检测报文的源ip地址和当前时间对应存储至所述已知对等网络资源请求行为的源ip地址集中。

进一步，该识别装置还包括：第三流量确定模块309，用于如果所述源ip地址集中不包含所述目标报文的源ip地址，或者所述源ip地址集中包含所述目标报文的源ip地址且与该源ip地址一起对应存储的时间与当前时间的差值大于预设时间阈值，将所述目标报文所属会话流的流量确定为非对等网络流量。

采用本发明实施例提供的对等网络流量的识别装置可以实施上述对等网络流量的识别方法中的各步骤，并获得相同的有益效果。采用该对等网络流量的识别装置对加密报文进行流量识别，整个识别过程不会受报文加密的影响，可以精确的识别出报文所属会话流的流量是否为对等网络流量，适用性更好；此外，该识别装置，还可以先将接收到的报文中与已知应用行为对应的报文筛选出，后续可以减少对等网络流量的误识别，提高对等网络流量识别的精确度。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的对等网络流量的识别方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-onlymemory，简称：rom)或随机存储记忆体(英文：randomaccessmemory，简称：ram)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于对等网络流量的识别装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。