[发明专利]P2P流量识别方法、装置、设备和系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种P2P流量首报文识别的方法、装置、设备和系统。

背景技术

近年来，计算机网络中的各种对等网络(Peer-to-Peer，P2P)应用越来越丰富，出现了许多新的应用类型和协议，这些P2P应用消耗了大量的网络带宽。由于不同的网络应用对带宽资源的需求不一样，如网络游戏、网络电话(VOIP，Voice over Internet Protocol)、视频会议等实时应用对网络传输时延、抖动等特性较为敏感，当网络上有P2P应用流量等高流量型应用时，实时应用的使用就会受很大的影响。

为了解决上述问题，现有技术中，通过为企业、网吧租用两条或多条广域网链路，其中一条高质量线路用于传输对网络传输时延、抖动等特性敏感的关键应用，另一条低质量线路用于传输P2P应用等。此种情况，需要出口网关设备能够根据应用类型进行策略路由。由于出口网关设备通常部署网络地址转换(NAT，Network Address Translation)功能，连接一旦建立，虽然能够根据应用类型的识别结果修改上行流量的线路，但是真正消耗带宽的下行流量仍然占用连接建立时选择的线路。因此，为了有效地利用网络资源，必须对P2P应用流量进行有效地管理，而其前提是能够实现对P2P流量的高效、准确的识别。

传统的P2P流量识别方法可以分为三类：端口映射(Port Mapping)、深度数据包检测(DPI，Deep Packet Inspection)、流量特征检测(DFI，Deep Flow Identify)。其中：

端口映射方法是根据各种P2P应用所使用的传输层端口进行识别，但现有的P2P应用为了躲避检测，都已经开始使用动态端口，甚至使用其它网络应用的端口，如HTTP的80端口，因此该方法无法准确地识别P2P流量；

深度数据包检测方法是通过分析应用层载荷、提取各种P2P应用的特征串进行识别，该方法准确性高、易于实现，其缺点是只能对以明文方式传输的P2P应用进行检测，而大多数P2P应用已经开始采用模糊加密协议传输数据。对于TCP连接，当获取到应用层载荷的时候，已经经过了三次握手过程，因此无法在连接建立时识别出P2P流量；

流量特征检测方法是通过对网络流量中所有数据包进行统计分析，如数据包大小、间隔时间、连接数量等，利用机器学习、数据挖掘等方法，发现P2P应用的流量特征，以此来检测P2P应用的流量。这种方法能够检测未知和加密的P2P流量，但是需要对大量数据包进行统计分析才能做出判断，处理的数据量较大，且存在一定的误判率，同时，流量特征检测方法只能在连接建立以后提取P2P应用的流量特征，而无法在连接建立时识别出P2P流量。另外，这类方法的检测依据是P2P应用的流量特征，这是一个统计量，无法准确区分各种具体的P2P应用流量。

除了以上三种方法，近年来出现了一种利用主动探测识别P2P流量的方法。该方法首先通过深度数据包检测识别明文P2P流量，然后结合流量特征检测方法，标记出疑似P2P流的未知连接，接着向外网对端发送特定P2P应用协议的交互报文进行主动探测(如发送电驴edonkey协议的Hello报文)，如果对端的回应报文是该特定P2P协议交互报文的回应(如回应电驴edonkey协议的Hello answer报文)，则可以判断出该流量为P2P流量。当所有P2P协议的交互特征库都尝试探测后，仍然无法收到相应P2P应用协议的应答报文，则认为该连接为未知应用。相比于流量特征检测方法，主动探测方法能够准确地识别出加密P2P流量，并且区分各种具体的P2P应用。但是，这种识别方式是在连接建立以后进行的探测，无法做到在建立连接时识别出P2P流量，等到识别出来后，可能这条连接已经进行了一定量的下载。另外，一个内网P2P用户通常向数量庞大的外网对端请求资源，随着加密P2P流量和P2P应用协议种类的增加，需要发送的主动探测流量可能消耗大量的出口带宽，无法实现有效的流量管理。

综上所述，如何在连接建立时对P2P流量进行准确识别，称为现有技术中亟待解决的技术问题之一。

发明内容

本发明实施例提供一种P2P流量识别方法、装置、网关设备和系统，用以在连接建立时对P2P流量进行准确识别，从而满足根据应用类型进行策略路由的需要，达到充分利用多条线路、保障关键应用正常运行的目的。

本发明实施例提供一种P2P流量识别方法，包括：