点对点业务的识别方法和互联网业务识别系统.pdf

点对点业务的识别方法和互联网业务识别系统
    【技术领域】

    本发明涉及通信领域，具体而言，涉及一种P2P(Point to Point，点对点)业务的识别方法和互联网业务识别系统。

    背景技术

    互联网宽带业务已逐渐成为运营商的主要收入来源之一、更是运营商收入增长的首要推动力。新的互联网宽带业务如P2P、VoIP(Voice Over Internet Protocol，网络电话)、流媒体、网络游戏等吸引了大量的用户，但同时也带来了巨大的问题。这其中尤以P2P业务的盛行带来的挑战最大。

    P2P业务消耗大量带宽：据有关文献的数据显示，城域网白天流量的60-70％、晚上流量的80-90％是P2P业务。根据我们对163骨干网的实测数据显示：163骨干网中P2P业务流量约占50％、传统业务流量(包括HTTP、FTP、Email等)约占40％、其他流量约占10％。可见P2P业务消耗了大部分的带宽，并由此引发了传统业务的一些服务质量问题。

    P2P业务对现有的互联网接入方式产生了巨大的挑战：目前互联网接入层最常见的接入方式是DSL接入。DSL是一种非对称的接入方式、用户的下行带宽远大于上行带宽，但是P2P业务的大量使用必然打破DSL接入的设计框架，运营商不得不投入巨资改造接入网。

    然而P2P业务带来的收益十分有限。目前互联网宽带业务的计费方式比较单一，主要是计时和包月方式。而P2P业务的主要使用者大都是包月用户，这部分用户产生的流量巨大但业务收益是相对较小的。因此，有必要针对不同的互联网业务(包括P2P业务、VoIP业务、流媒体、网络游戏、即时通信等)采用不同的、精细化的计费方式、才能保障宽带收入和业务发展同步，避免运营商弱化为“比特管道”。

    综上所述，对于互联网上的业务尤其是P2P业务进行监测、分析和管控变得非常必要。现有技术中提供了一种对互联网及P2P业务的流量进行监控的方法，该方法基于行为检测的识别，即DFI(Deep Flow Inspection，深度流检测)识别，主要是通过检测P2P业务的一些通用行为特征如会话数是否超过阈值来进行识别。这种DFI识别的效率很高，但缺点是因为提取的行为特征的非唯一性而容易导致误判。

    【发明内容】

    本发明旨在提供P2P业务的识别方法和互联网业务识别系统，以解决现有技术的DFI识别容易导致误判的问题。

    根据本发明的一个方面，提供了一种P2P业务的识别方法，包括进行深度流检测的步骤，其具体包括：根据数据包的五元组信息判断数据包的源IP的连接数是否超过第一阈值；若是超过第一阈值，则判断源IP的连接时长是否超过第二阈值；否则结束本深度流检测的步骤；若是超过第二阈值，则将数据包的流量标识为P2P业务，否则判断源IP的连接流量是否超过第三阈值；若是超过第三阈值，则将数据包的流量标识为P2P业务，否则判断源IP的上行、下行流量的差值是否小于第四阈值；若是小于第四阈值，则将数据包的流量标识为P2P业务，否则结束本深度流检测的步骤。

    优选的，在进行深度流检测之前，还包括进行深度数据包检测的步骤，若该步骤将数据包的流量标识为P2P业务，则不再执行深度流检测的步骤；若该步骤未将数据包的流量标识为P2P业务，则继续执行深度流检测的步骤。

    优选的，深度数据包检测的步骤具体包括以下至少之一：对数据包的有效负荷进行解码和特征字识别，判断是否符合BT(BitTorrent，比特流)的特征，若是，则将数据包的流量标识为BT类地P2P业务；对数据包的有效负荷进行解码和特征字识别，判断是否符合eDonkey/eMule(电驴/电骡)的特征，若是，则将数据包的流量标识为eDonkey/eMule类的P2P业务；对数据包的有效负荷进行解码和特征字识别，判断是否符合迅雷的特征，若是，则将数据包的流量标识为迅雷类的P2P业务。

    优选的，对数据包的有效负荷进行解码和特征字识别，判断是否符合BT的特征具体包括：判断数据包的有效负荷中是否含有以下至少一种：“.torrent”文件下载请求、“BitTorrent protocol”、“GET/announce？info_hash＝”、“GET scrape？info_hash＝”、“data？fid＝”、“d1:da:id20:”；若有，则判定数据包符合BT的特征。

    优选的，对数据包的有效负荷进行解码和特征字识别，判断是否符合eDonkey/eMule的特征具体包括：判断数据包的有效负荷中是否含有以下至少一种：“e3********47”、“e3********4c”、“e3********01”、“e396”、“c590”、“c591”、“c592”，其中“*”是通配符；若有，则判定数据包符合eDonkey/eMule的特征。

    优选的，对数据包的有效负荷进行解码和特征字识别，判断是否符合迅雷的特征具体包括：判断数据包的有效负荷中是否含有以下至少一种：“33000000”、“39000000”、“32000000”；若有，则判定数据包符合迅雷的特征。

    优选的，在进行深度数据包检测之前，还包括进行基本数据包检测的步骤，若该步骤已经识别数据包的流量，则不再执行深度数据包检测的步骤；若该步骤未识别数据包的流量，则继续执行深度数据包检测的步骤。

    优选的，基本数据包检测的步骤具体包括：对数据包的有效负荷进行解码和基本分析，判断数据包是否符合标准协议的特征，标准协议包括以下至少一种：HTTP、FTP、Email、SIP(Session InitiationProtocol，会话初始协议)、RTP(Real-time Transport Protocol，实时传输协议)；若是，则将数据包的流量标识为标准协议的业务。

    根据本发明的另一方面，提供了一种互联网业务识别系统，包括：流判别模块，用于对数据包进行流判别，如果判定流表中存在数据包的五元组或五元组中多个字段的组合，则交由策略执行模块按照策略表的要求执行，如不存在则交由策略执行模块按照无策略执行，并将数据包拷贝一份转发给EPI(Elementary PacketInspection，基本数据包检测)识别模块；EPI识别模块，用于对数据包的有效负荷进行解码和基本分析，判断数据包是否符合标准协议的特征，标准协议包括以下至少一种：HTTP、FTP、Email、SIP、RTP；若是，则将数据包的流量标识为标准协议的业务；否则将数据包转发给DPI(Deep Packet Inspection，深度数据包检测)识别模块；DPI识别模块，用于对数据包的有效负荷进行解码和特征字识别，以判断数据包是否符合BT、eDonkey/eMule、或迅雷的特征；若是，则将数据包的流量标识为BT、eDonkey/eMule、或迅雷类的P2P业务，否则将数据包转发给DFI模块；DFI识别模块，用于对数据包的五元组信息进行基于行为检测的识别，以判断数据包的源IP的行为特征是否符合P2P业务的行为特征，若是，将数据包的流量标识为P2P业务。

    优选的，DFI识别模块包括：第一单元，用于根据数据包的五元组信息判断数据包的源IP的连接数是否超过第一阈值；若是超过第一阈值，则执行第二单元，否则结束DFI识别模块的执行；第二单元，用于判断源IP的连接时长是否超过第二阈值；若是超过第二阈值，则将数据包的流量标识为P2P业务；否则执行第三单元；第三单元，用于判断源IP的连接流量是否超过第三阈值；若是超过第三阈值，则将数据包的流量标识为P2P业务，否则执行第四单元；第四单元，用于判断源IP的上行、下行流量的差值是否小于第四阈值；若是小于第四阈值，则将数据包的流量标识为P2P业务，否则结束DFI识别模块的执行。

    上述P2P业务的识别方法由于提取了较多的P2P业务的行为特征，所以克服了现有技术DFI识别方法容易误判的问题，进而较之现有的DFI识别方法更加准确、误判率更低。上述的互联网业务识别系统因为将EPI识别、DPI识别和DFI识别结合，因此大大降低了需要DPI模块和DFI模块识别的流量，使得系统的性能得到很大的提升、同时也降低了系统的实现成本。

    【附图说明】

    此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

    图1示出了根据本发明实施例的P2P业务的识别方法处理流程图；

    图2示出了根据本发明优选实施例的互联网业务监控系统结构图；

    图3示出了根据本发明优选实施例的DPI模块处理流程图；

    图4示出了根据本发明优选实施例的BT业务识别流程图；

    图5示出了根据本发明优选实施例的eDonkey/eMule业务识别流程图；

    图6示出了根据本发明优选实施例的迅雷业务识别流程图；

    图7示出了根据本发明优选实施例的DFI模块处理流程图。

    【具体实施方式】

    下面将参考附图并结合实施例，来详细说明本发明。

    图1示出了根据本发明实施例的P2P业务的识别方法处理流程图，包括如下步骤：

    步骤S10，根据数据包的五元组信息判断数据包的源IP的连接数是否超过第一阈值；

    步骤S20，若是超过第一阈值，则判断源IP的连接时长是否超过第二阈值；否则结束本深度流检测的步骤；

    步骤S30，若是超过第二阈值，则将数据包的流量标识为P2P业务；否则判断源IP的连接流量是否超过第三阈值；

    步骤S40，若是超过第三阈值，则将数据包的流量标识为P2P业务，否则判断源IP的上行、下行流量的差值是否小于第四阈值；若是小于第四阈值，则将数据包的流量标识为P2P业务，否则结束本深度流检测的步骤。

    上述P2P业务的识别方法由于提取了较多的P2P业务的行为特征，所以克服了现有技术DFI识别方法容易误判的问题，进而较之现有的DFI识别方法更加准确、误判率更低。

    图2示出了根据本发明优选实施例的互联网业务监控系统结构图，其包括：

    流判别模块，用于对数据包进行流判别，如果判定流表中存在数据包的五元组或五元组中多个字段的组合，则交由策略执行模块按照策略表的要求执行，如不存在则交由策略执行模块按照无策略执行，并将数据包拷贝一份转发给EPI识别模块；

    EPI识别模块，用于对数据包的有效负荷进行解码和基本分析，判断数据包是否符合标准协议的特征，标准协议包括以下至少一种：HTTP、FTP、Email、SIP、RTP；若是，则将数据包的流量标识为标准协议的业务；否则将数据包转发给DPI识别模块；

    DPI识别模块，用于对数据包的有效负荷进行解码和特征字识别，以判断数据包是否符合BT、eDonkey/eMule、或迅雷的特征；若是，则将数据包的流量标识为BT、eDonkey/eMule、或迅雷类的P2P业务，否则将数据包转发给DFI模块；

    DFI识别模块，用于对数据包的五元组信息进行基于行为检测的识别，以判断数据包的源IP的行为特征是否符合P2P业务的行为特征，若是，将数据包的流量标识为P2P业务。

    上述的互联网业务识别系统因为将EPI识别、DPI识别和DFI识别结合，因此大大降低了需要DPI模块和DFI模块识别的流量，使得系统的性能得到很大的提升、同时也降低了系统的实现成本。

    优选的，DFI识别模块包括：第一单元，用于根据数据包的五元组信息判断数据包的源IP的连接数是否超过第一阈值；若是超过第一阈值，则执行第二单元，否则结束DFI识别模块的执行；第二单元，用于判断源IP的连接时长是否超过第二阈值；若是超过第二阈值，则将数据包的流量标识为P2P业务；否则执行第三单元；第三单元，用于判断源IP的连接流量是否超过第三阈值；若是超过第三阈值，则将数据包的流量标识为P2P业务，否则执行第四单元；第四单元，用于判断源IP的上行、下行流量的差值是否小于第四阈值；若是小于第四阈值，则将数据包的流量标识为P2P业务，否则结束DFI识别模块的执行。

    该DFI识别模块由于提取了较多的P2P业务的行为特征，所以克服了现有技术DFI识别方法容易误判的问题，进而较之现有的DFI识别方法更加准确、误判率更低。

    下面具体描述本发明优选实施例的互联网业务监控系统。

    1.流判别模块

    当数据包到达本系统后，首先进行流判别、即根据数据包的五元组信息在流表中进行查找，判断是否存在该五元组或五元组中几个字段的组合的流表项，如存在则直接交由策略执行模块按照策略表的要求执行，如不存在则直接交由策略执行模块按照无策略执行、并将数据拷贝一份交由EPI识别模块进行下一步的识别。

    2.EPI识别模块

    EPI识别是指对一些标准协议如HTTP、FTP、Email、SIP、RTP等标准协议的识别，这些协议可以根据数据包的包头信息和少量的特征字进行识别。EPI模块识别的结果更新流表、增加新的流表项，使得该流表项在后续的识别过程中生效而不需再次将数据包送往EPI识别模块。

    3.DPI识别模块

    经过EPI模块无法识别的数据包送往DPI识别模块，进行P2P业务的特征字深度识别，对如BT、eMule/eDonkey、迅雷等P2P业务进行识别，这些业务通常需要比较多的特征字进行识别。DPI模块识别的结果更新流表、增加新的流表项，使得该流表项在后续的识别过程中生效而不需再次将数据包送往DPI识别模块。

    4.DFI识别模块

    经过DPI模块无法识别的数据包送往DFI识别模块，进行P2P业务的流深度识别，主要通过连接数、连接流量、连接持续时间和连接的上下行流量比较等行为特征进行识别。DFI模块识别的结果更新流表、增加新的流表项，使得该流表项在后续的识别过程中生效而不需再次将数据包送往DFI识别模块。

    图2的互联网业务识别系统执行如下步骤：

    步骤101：当数据包到达流判别模块后，首先根据数据包的五元组信息在流表进行中查找是否存在该五元组或五元组中几个字段的组合的流表项，如存在则分别执行步骤105和步骤106，如不存在则按照无策略方式执行步骤106、并执行步骤102。

    步骤102：当数据包到达EPI识别模块后，对标准协议如HTTP、FTP、Email、SIP、RTP等根据EPI特征库中的特征字进行识别。如果EPI识别模块识别出了数据包的业务类型则更新流表、增加新的流表项，使得该流表项在后续的识别过程中生效而不需再次将数据包送往EPI识别模块，如果EPI识别模块无法识别数据包的业务类型则执行步骤103进行下一步的识别。根据我们对163骨干网的实测数据显示，EPI处理模块一般可以处理约40％的互联网业务流量。

    步骤103：当数据包到达DPI识别模块后，对P2P业务进行特征字的深度识别。根据我们对163骨干网的实测数据显示：163骨干网中P2P业务流量约占总流量的50％、而其中BT业务流量约占P2P业务流量的40％、eDonkey/eMule业务流量约占P2P业务流量的30％、迅雷业务流量约占P2P业务流量的20％，因此DPI识别模块主要对BT、eDonkey/eMule、迅雷业务进行特征字的深度识别。其识别过程如图3所示，包括如下步骤：

    步骤201：对数据包的有效负荷进行解码和深度分析，判断是否符合BT业务的特征，其具体识别过程如图4所示，包括如下的步骤：

    步骤301：判断数据包的有效负荷中是否含有“.torrent”文件下载请求，若有则判定该数据包为BT业务并结束BT识别流程，否则执行步骤302。

    步骤302：判断数据包的有效负荷中是否含有“BitTorrentprotocol”，若有则判定该数据包为BT业务并结束BT识别流程，否则执行步骤303。

    步骤303：判断数据包的有效负荷中是否含有“GET/announce？info_hash＝”，若有则判定该数据包为BT业务并结束BT识别流程，否则执行步骤304。

    步骤304：判断数据包的有效负荷中是否含有“GETscrape？info_hash＝”，若有则判定该数据包为BT业务并结束BT识别流程，否则执行步骤305。

    步骤305：判断数据包的有效负荷中是否含有“data？fid＝”，若有则判定该数据包为BT业务并结束BT识别流程，否则执行步骤306。

    步骤306：判断数据包的有效负荷中是否含有“d1:da:id20:”，若有则判定该数据包为BT业务并结束BT识别流程，否则结束步骤201。

    对于步骤201识别流程结束后判定为BT业务流量的，执行步骤202，否则执行步骤203。

    步骤202：将该数据包的流量标识为BT业务，并将该数据包的五元组或五元组中几个字段的组合形成新的流表项并添加到流表，然后结束步骤103的执行。

    步骤203：对数据包的有效负荷进行解码和深度分析，判断是否符合eDonkey/eMule业务的特征，其具体识别过程如图5所示，包括如下的步骤：

    步骤401：判断数据包的有效负荷是否匹配“e3********47”(其中“**”为非特定的两个字符)，若匹配则判定该数据包为eDonkey/eMule业务并结束eDonkey/eMule识别流程，否则执行步骤402。

    步骤402：判断数据包的有效负荷中是否匹配“e3********4c”(其中“**”为非特定的两个字符)，若匹配则判定该数据包为eDonkey/eMule业务并结束eDonkey/eMule识别流程，否则执行步骤403。

    步骤403：判断数据包的有效负荷中是否匹配“e3********01”(其中“**”为非特定的两个字符)，若匹配则判定该数据包为eDonkey/eMule业务并结束eDonkey/eMule识别流程，否则执行步骤404。

    步骤404：判断数据包的有效负荷中是否含有“c396”，若有则判定该数据包为eDonkey/eMule业务并结束eDonkey/eMule识别流程，否则执行步骤405。

    步骤405：判断数据包的有效负荷中是否含有“c590”或“c591”或“c592”，若有则判定该数据包为eDonkey/eMule业务并结束eDonkey/eMule识别流程，否则结束步骤203。

    对于步骤203识别流程结束后判定为eDonkey/eMule业务流量的，执行步骤204，否则执行步骤205。

    步骤204：将该数据包的流量标识为eDonkey/eMule业务，并将该数据包的五元组或五元组中几个字段的组合形成新的流表项并添加到流表，然后结束步骤103的执行。

    步骤205：对数据包的有效负荷进行解码和深度分析，判断是否符合迅雷业务的特征，其具体识别过程如图5所示，包括如下的步骤：

    步骤501：判断数据包的有效负荷中是否含有“33000000”，若是则判定该数据包为迅雷业务并结束迅雷识别流程，否则执行步骤502。

    步骤502：判断数据包的有效负荷中是否含有“39000000”，若有则判定该数据包为迅雷业务并结束迅雷识别流程，否则执行步骤503。

    步骤503：判断数据包的有效负荷中是否含有“32000000”，若有则判定该数据包为迅雷业务并结束迅雷识别流程，否则结束步骤205。

    对于步骤205识别流程结束后判定为迅雷业务流量的，执行步骤206，否则结束步骤103的执行。

    步骤206：将该数据包的流量标识为迅雷业务，并将该数据包的五元组或五元组中几个字段的组合形成新的流表项并添加到流表，然后结束步骤103的执行。

    对于在步骤103中仍无法识别业务类型的数据包则执行步骤104进行下一步的识别。

    步骤104：当数据包到达DFI识别模块后，根据DFI特征库的行为特征进行识别。其识别过程如图7所示，包括如下步骤：

    步骤601：提取数据包的五元组信息，判断源IP的连接数是否超过阈值，若是则执行步骤602，否则结束DFI识别流程。

    步骤602：判断源IP的连接时长是否超过阈值，若是则执行步骤605，否则执行步骤603。

    步骤603：判断源IP的连接流量是否超过阈值，若是则执行步骤605，否则执行步骤604。

    步骤604：判断源IP的上行、下行流量的差值是否小于阈值，若是则执行步骤605，否则结束DFI识别流程。

    步骤605：将该数据包的流量标识为其他P2P业务，并将该数据包的五元组或五元组中几个字段的组合形成新的流表项并添加到流表，然后结束步骤104的执行。

    步骤105：根据流判别模块的识别结果，按照业务类型、源IP、目的IP等类别分别统计流量，并提供统计分析结果。

    步骤106：根据流判别模块的识别结果，并根据流表和策略表的信息执行数据包的处理策略，包括直接转发或不处理、限流、拦截、干扰等。

    从以上的描述中，可以看出，发明和现有技术和系统相比具有如下优点：

    1.本发明中公开的DFI识别方法和现有的DFI识别方法相比，由于提取了较多的P2P业务的行为特征，包括连接数、连接时长、连接流量、上/下行流量的差异等特征的组合来判别P2P业务流量，较之现有的DFI识别方法更加准确、误判率更低。

    2.本发明采用了DPI和DFI相结合的识别方法，和现有的完全采用DPI的识别方法或完全采用DFI的识别方法相比较，既能够准确地识别已知的P2P业务、也能够高效地识别未知和加密的P2P业务，并能够在确保监测、管控P2P业务流量的效果的同时大大减少升级特征库的频率。DPI识别是基于特征字的识别，即DPI识别，主要是通过特征字来进行P2P数据报文的检测。DPI识别的准确率很高，但是对系统的性能消耗很大、尤其是基于软件实现的DPI识别一般只能对1Gbps-2Gbps的流量进行线性的识别，基于硬件实现的DPI识别则成本很高。基于DPI技术的识别方法还需要经常升级特征库以适应新的协议特征，并且对于加密P2P业务的识别也十分困难。而DFI识别则无法识别出具体的P2P业务类型。DPI和DFI结合就克服了上述的缺陷。

    3.本发明采用EPI识别、DPI识别和DFI识别的三级识别处理流程，前级识别模块均可以降低后级识别模块的输入流量，因此大大降低了需要DPI模块和DFI模块识别的流量，使得系统的性能得到很大的提升、同时也降低了系统的实现成本。EPI识别是基于端口号的识别，传统业务大都使用知名端口，如HTTP业务使用80端口、FTP使用21端口。早期的P2P业务也多使用固定端口，如BT使用6881-6889端口。在这种情况下，由于业务类型和端口存在对应关系，对业务流量的识别方式比较简单：检查数据包的传输层的包头信息，如果端口号与某些特定的端口号匹配，则说明该数据包即为与端口对应的某种业务。但是随着P2P业务的发展，目前大多数P2P业务已经发展为可变端口了。因此，基于端口号的识别已经很难识别新的P2P业务了。但采用EPI识别、DPI识别和DFI识别的三级识别处理流程，则充分利用了EPI识别先排除掉约40％的流量识别，可以加快P2P业务识别的速度。

    上述互联网业务监控的方法和系统，可以以克服现有技术的不足，可以用于对从1Gbps到10Gbps的高速网络流量进行监控，并能够同时兼顾识别的准确性和识别的效率、节省监控的成本。本发明能够既保证重点业务拥有足够的带宽资源、又可以降低运营商的资本性支出(CAPEX)与运营支出(OPEX)。

    显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

    以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。