P2p流檢測方法和設(shè)備的制作方法
【專利摘要】本申請?zhí)峁┝薖2P流檢測方法和設(shè)備�����,本發(fā)明中��,先對(duì)接收的數(shù)據(jù)流進(jìn)行DFI檢測�����,通過DFI檢測識(shí)別出數(shù)據(jù)流為P2P流����,則不再通過DPI檢測進(jìn)一步識(shí)別,而通過DFI檢測識(shí)別出非P2P流時(shí)�����,進(jìn)一步執(zhí)行DPI檢測來識(shí)別���,并在DPI檢測識(shí)別出P2P流時(shí)�����,將該識(shí)別出的P2P流的流量����、所攜帶的目的IP地址�,目的端口號(hào),協(xié)議號(hào)��、匹配的應(yīng)用名稱作為DFI檢測的部分特征依據(jù)����,以便對(duì)后續(xù)的數(shù)據(jù)流進(jìn)行DFI檢測����。這能夠避免使用單一的DPI檢測或者DFI檢測識(shí)別P2P流所帶來的缺陷�����。
【專利說明】P2P流檢測方法和設(shè)備
【技術(shù)領(lǐng)域】
[0001] 本申請涉及網(wǎng)絡(luò)通信技術(shù)�����,特別涉及P2P流檢測方法和設(shè)備����。
【背景技術(shù)】
[0002] 目前�,網(wǎng)絡(luò)中大部分?jǐn)?shù)據(jù)流都是點(diǎn)到點(diǎn)(P2P :Point to Point)流,P2P流往往占 據(jù)了用戶或者企業(yè)的大部分帶寬����,嚴(yán)重影響用戶或者企業(yè)的正常業(yè)務(wù)運(yùn)行。例如��,某公司內(nèi) 大量員工使用辦公網(wǎng)絡(luò)觀看在線視頻����,下載各種電影,電視劇,這導(dǎo)致公司內(nèi)辦公網(wǎng)絡(luò)的絕 大部分帶寬都被非工作相關(guān)的流量占用���,會(huì)影響公司內(nèi)的正常業(yè)務(wù)辦理����。
[0003] 目前的P2P流識(shí)別基本上都是單一的深度包檢測(DPI :De印Packet Inspection)或者深度流檢測(DFI:Deep Flow Inspection),而這兩種檢測方法的優(yōu)缺點(diǎn) 非常明顯�����,各自都有比較高的局限性�����。比如��,直接進(jìn)行DPI檢測�����,會(huì)導(dǎo)致檢測設(shè)備開銷非常 大���,而且檢測效率低下�����,并且在大量復(fù)雜的數(shù)據(jù)流進(jìn)入檢測設(shè)備時(shí)容易給CPU造成很大的 負(fù)擔(dān)��,也容易加大網(wǎng)絡(luò)延時(shí)��。并且���,DPI檢測還存在重復(fù)檢測的情況��,例如監(jiān)控區(qū)域的用戶A 與非監(jiān)控區(qū)域的用戶B在使用BT進(jìn)行P2P通信��,用戶B為服務(wù)器端��,該DPI檢測就要求檢 測設(shè)備對(duì)用戶A與用戶B兩個(gè)用戶間的每一條數(shù)據(jù)流進(jìn)行識(shí)別并執(zhí)行相應(yīng)的操作���,而實(shí)際 應(yīng)用中,檢測設(shè)備只要識(shí)別出用戶A與用戶B兩個(gè)用戶間的第一條數(shù)據(jù)流即可����,用不著每條 數(shù)據(jù)流都逐一重復(fù)檢測識(shí)別�����,也即����,DPI檢測會(huì)導(dǎo)致檢測設(shè)備執(zhí)行的重復(fù)勞動(dòng)非常嚴(yán)重���,效 率十分低。而DFI檢測�����,其是基于數(shù)據(jù)流的特征如IP地址�����、端口���、平均每個(gè)包的大小��、會(huì)話 前幾個(gè)報(bào)文各自的大小或者方向等進(jìn)行檢測的�,其雖然會(huì)節(jié)省檢測設(shè)備的開銷�,但是準(zhǔn)確 率偏低,容易引起誤報(bào)�,同時(shí)也不能非常精確的識(shí)別出數(shù)據(jù)流具體屬于什么應(yīng)用,比如�����,迅 雷下載的數(shù)據(jù)流通過檢測設(shè)備時(shí)可能被識(shí)別出是在進(jìn)行P2P下載,卻無法識(shí)別出是在使用 迅雷進(jìn)行下載����。
【發(fā)明內(nèi)容】
[0004] 本申請?zhí)峁┝?P2P流檢測方法和設(shè)備,以避免使用單一的DPI檢測或者DFI檢測 識(shí)別P2P流所帶來的缺陷���。
[0005] 本申請?zhí)峁┑募夹g(shù)方案包括:
[0006] 一種P2P流檢測方法�����,該方法應(yīng)用于設(shè)置在網(wǎng)絡(luò)出口的設(shè)備�����,包括以下步驟:
[0007] 識(shí)別待檢測的數(shù)據(jù)流是屬于HTTP流還是非HTTP流�����;
[0008] 如果是非HTTP流�����,則對(duì)所述數(shù)據(jù)流進(jìn)行如下DFI檢測:檢測本地的DFI規(guī)則庫中 是否存在至少包含以下內(nèi)容的DFI規(guī)則:所述數(shù)據(jù)流攜帶的目的IP地址、目的端口號(hào)��、協(xié)議 號(hào),在DFI檢測結(jié)果為是時(shí)�����,判定所述數(shù)據(jù)流為P2P流�,對(duì)該數(shù)據(jù)流執(zhí)行預(yù)先定義的流量控 制操作;
[0009] 如果是HTTP流�����,或者在DFI檢測結(jié)果為否時(shí)��,開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù) 流的前N個(gè)報(bào)文的總流量M���,N大于1��,在統(tǒng)計(jì)出的總流量Μ小于第一設(shè)定流量閾值或者單 位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的報(bào)文數(shù)量小于Ν時(shí)���,判定所述數(shù)據(jù)流為非P2P流,在統(tǒng)計(jì)出的總 流量Μ大于第一設(shè)定流量閾值時(shí)對(duì)所述數(shù)據(jù)流進(jìn)一步執(zhí)行DPI檢測�����,在DPI檢測出所述數(shù) 據(jù)流為非P2P流時(shí)���,按照預(yù)先配置的非P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制��,在DPI 檢測出所述數(shù)據(jù)流為P2P流時(shí)�,除了按照預(yù)先配置的P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流 量控制之外,還識(shí)別所述數(shù)據(jù)流匹配的應(yīng)用名稱���,將匹配的應(yīng)用名稱��、統(tǒng)計(jì)出的總流量M����、所 述數(shù)據(jù)流攜帶的目的IP地址��、目的端口號(hào)���、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則 庫�。
[0010] -種P2P流檢測設(shè)備����,該設(shè)備為設(shè)置在網(wǎng)絡(luò)出口的設(shè)備,包括:
[0011] 識(shí)別單元���,用于識(shí)別待檢測的數(shù)據(jù)流是屬于HTTP流還是非HTTP流��;
[0012] DFI檢測單元�,用于在所述識(shí)別單元識(shí)別出所述數(shù)據(jù)流為非HTTP流時(shí)�����,對(duì)所述數(shù) 據(jù)流進(jìn)行如下DFI檢測:檢測本地的DFI規(guī)則庫中是否存在至少包含以下內(nèi)容的DFI規(guī)則: 所述數(shù)據(jù)流攜帶的目的IP地址�、目的端口號(hào)、協(xié)議號(hào)�����,在所述DFI檢測單元的DFI檢測結(jié)果 為是時(shí)����,判定所述數(shù)據(jù)流為P2P流,對(duì)該數(shù)據(jù)流執(zhí)行預(yù)先定義的流量控制操作�;
[0013] 統(tǒng)計(jì)單元,用于在所述識(shí)別單元識(shí)別出所述數(shù)據(jù)流為HTTP流����,或者在DFI檢測單 元的DFI檢測結(jié)果為否時(shí),開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的前N個(gè)報(bào)文的總流量M���, N大于1��,在該統(tǒng)計(jì)出的總流量Μ小于第一設(shè)定流量閾值或者單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的 報(bào)文數(shù)量小于Ν時(shí)����,判定所述數(shù)據(jù)流為非P2P流,
[0014] DPI檢測單元�,用于在所述統(tǒng)計(jì)單元統(tǒng)計(jì)出的總流量Μ大于第一設(shè)定流量閾值時(shí) 對(duì)所述數(shù)據(jù)流執(zhí)行DPI檢測,在DPI檢測出所述數(shù)據(jù)流為非P2P流時(shí)����,按照預(yù)先配置的非 P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制,在DPI檢測出所述數(shù)據(jù)流為P2P流時(shí)���,除了按 照預(yù)先配置的P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制之外�����,還識(shí)別所述數(shù)據(jù)流匹配的 應(yīng)用名稱��,將匹配的應(yīng)用名稱����、所述統(tǒng)計(jì)單元統(tǒng)計(jì)出的總流量M��、所述數(shù)據(jù)流攜帶的目的IP 地址、目的端口號(hào)�����、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫���。
[0015] 由以上技術(shù)方案可以看出,本發(fā)明中�,先對(duì)接收的數(shù)據(jù)流進(jìn)行DFI檢測,通過DFI 檢測識(shí)別出數(shù)據(jù)流為P2P流����,則不再通過DPI檢測進(jìn)一步識(shí)別,而通過DFI檢測識(shí)別出非 P2P流時(shí)�,進(jìn)一步執(zhí)行DPI檢測來識(shí)別,并在DPI檢測識(shí)別出P2P流時(shí)���,將該識(shí)別出的P2P流 的流量��、所攜帶的目的IP地址����,目的端口號(hào)��,協(xié)議號(hào)、匹配的應(yīng)用名稱作為DFI檢測的部分 特征依據(jù)�,以便對(duì)后續(xù)的數(shù)據(jù)流進(jìn)行DFI檢測。這能夠避免使用單一的DPI檢測或者DFI 檢測識(shí)別P2P流所帶來的缺陷�����。
【專利附圖】
【附圖說明】
[0016] 圖1為本發(fā)明實(shí)施例提供的方法流程圖����。
[0017] 圖2為本發(fā)明實(shí)施例提供的實(shí)例示意圖;
[0018] 圖3為本發(fā)明實(shí)施例提供的設(shè)備結(jié)構(gòu)圖�。
【具體實(shí)施方式】
[0019] 為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面結(jié)合附圖和具體實(shí)施例對(duì) 本發(fā)明進(jìn)行詳細(xì)描述�。
[0020] 在現(xiàn)有技術(shù)中,DPI檢測是一種基于應(yīng)用層的流量檢測和控制技術(shù)�����,其主要是對(duì)數(shù) 據(jù)流的具體內(nèi)容進(jìn)行逐字節(jié)的掃描�����,并與已知的應(yīng)用規(guī)則庫進(jìn)行匹配識(shí)別出數(shù)據(jù)流屬于何 種網(wǎng)絡(luò)應(yīng)用��,然后按照系統(tǒng)定義的管理策略對(duì)數(shù)據(jù)流進(jìn)行管理操作。
[0021] 而DFI檢測是一種基于流的檢測技術(shù)�����,不同的網(wǎng)絡(luò)應(yīng)用體現(xiàn)在會(huì)話連接或數(shù)據(jù)流 上的狀態(tài)不同�����,DFI檢測簡單的說就是對(duì)數(shù)據(jù)流的特征進(jìn)行檢測�,如IP����,端口,平均每個(gè)包 的大小����,會(huì)話前幾個(gè)報(bào)文各自的大小或者方向等。
[0022] 應(yīng)用于本發(fā)明中�����,為了避免使用單一的DPI檢測或者DFI檢測識(shí)別P2P流所帶來 的缺陷���,本發(fā)明將DFI檢測和DPI檢測兩種方式結(jié)合在一起進(jìn)行P2P流檢測��,而這種結(jié)合并 非是簡單的羅列組合�,其是先對(duì)數(shù)據(jù)流進(jìn)行DFI檢測(DFI檢測通常在網(wǎng)絡(luò)的三四層進(jìn)行), 通過DFI檢測識(shí)別出數(shù)據(jù)流為P2P流���,則不再通過DPI檢測進(jìn)一步識(shí)別該數(shù)據(jù)流����;通過DFI 檢測識(shí)別出數(shù)據(jù)流不為P2P流時(shí)�,則統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的前N個(gè)報(bào)文的總流 量M,將該統(tǒng)計(jì)出的總流量Μ定義為該數(shù)據(jù)流的流量M�,之后對(duì)該數(shù)據(jù)流進(jìn)一步執(zhí)行DPI檢 測,并在通過DPI檢測識(shí)別出該數(shù)據(jù)流為P2P流時(shí)��,將該數(shù)據(jù)流的流量M��、該數(shù)據(jù)流所攜帶的 目的IP地址�、目的端口號(hào)、協(xié)議號(hào)�����、匹配的應(yīng)用名稱(在這里我們將其稱為五元組)作為后 續(xù)DFI檢測的部分特征依據(jù)���,以便對(duì)后續(xù)的數(shù)據(jù)流進(jìn)行DFI檢測��。
[0023] 下面結(jié)合圖1對(duì)本發(fā)明提供的方法進(jìn)行描述:
[0024] 參見圖1�����,圖1為本發(fā)明實(shí)施例提供的方法流程圖��。該方法應(yīng)用于設(shè)置在網(wǎng)絡(luò)出 口的設(shè)備���,而通常��,設(shè)置在網(wǎng)絡(luò)出口的設(shè)備一般為帶寬管理設(shè)備比如應(yīng)用控制網(wǎng)關(guān)設(shè)備�,因 此��,本發(fā)明提供的方法可應(yīng)用于帶寬管理設(shè)備�����。當(dāng)然��,本發(fā)明提供的方法也可應(yīng)用于獨(dú)立于 帶寬管理設(shè)備的其他設(shè)備�����,本發(fā)明并不具體限定����。
[0025] 如圖1所示,該流程可包括以下步驟:
[0026] 步驟101�,識(shí)別待檢測的數(shù)據(jù)流是屬于HTTP流還是非HTTP流,如果是非HTTP流����, 執(zhí)行步驟102,如果是HTTP流,執(zhí)行步驟104��。
[0027] 本發(fā)明中��,圖1所示流程可應(yīng)用于以下場景:服務(wù)器位于非監(jiān)控區(qū)域��,客戶端位于 監(jiān)控區(qū)域���,應(yīng)用于該場景���,則本步驟101中待檢測的數(shù)據(jù)流即為服務(wù)器發(fā)送的數(shù)據(jù)流,這種 場景常見��,本發(fā)明重點(diǎn)描述���。作為本發(fā)明的另一應(yīng)用實(shí)例�,圖1所示流程也可應(yīng)用于以下場 景:服務(wù)器位于監(jiān)控區(qū)域,客戶端位于非監(jiān)控區(qū)域���,應(yīng)用于該場景�,則本步驟101中即為客 戶端發(fā)送的數(shù)據(jù)流���,這種場景一般很少見�����,本發(fā)明不重點(diǎn)描述���,涉及時(shí)可按照第一種場景相 應(yīng)配置即可。
[0028] 另外�����,本步驟101中�����,識(shí)別所述數(shù)據(jù)流是屬于HTTP流還是非HTTP流可完全按照 HTTP協(xié)議執(zhí)行�����,當(dāng)所述數(shù)據(jù)流滿足HTTP協(xié)議��,就認(rèn)為是HTTP流�����,反之��,當(dāng)所述數(shù)據(jù)流不滿足 HTTP協(xié)議��,則就認(rèn)為是非HTTP流�。
[0029] 步驟102,對(duì)所述數(shù)據(jù)流進(jìn)行如下DFI檢測:檢測本地的DFI規(guī)則庫中是否存在至 少包含以下內(nèi)容的DFI規(guī)則:所述數(shù)據(jù)流攜帶的目的IP地址、目的端口號(hào)�、協(xié)議號(hào),如果存 在�,執(zhí)行步驟103,如果不存在,執(zhí)行步驟104�。
[0030] 本發(fā)明中,DFI檢測時(shí)依賴的DFI規(guī)則庫不同于現(xiàn)有傳統(tǒng)DFI檢測時(shí)依賴的DFI規(guī) 則庫��,在現(xiàn)有傳統(tǒng)的DFI檢測中����,DFI規(guī)則庫中的DFI規(guī)則都是基于傳統(tǒng)的五元組,即源IP 地址,源端口,目的IP地址���,目的端口和傳輸層協(xié)議號(hào)��,而本發(fā)明中,DFI規(guī)則庫中的DFI規(guī) 則是基于一個(gè)全新的五元組�,其依賴于DPI檢測�,具體包括:數(shù)據(jù)流的流量M、數(shù)據(jù)流的目的 IP地址�、目的端口號(hào)、協(xié)議號(hào)�、應(yīng)用名稱,具體見下述步驟108��。
[0031] 步驟103,判定該數(shù)據(jù)流為P2P流���,對(duì)該數(shù)據(jù)流執(zhí)行預(yù)先定義的流量控制操作��。結(jié) 束當(dāng)前流程�。
[0032] DFI檢測過程在網(wǎng)絡(luò)的三四層進(jìn)行��,因此���,應(yīng)用于本發(fā)明中,當(dāng)對(duì)數(shù)據(jù)流進(jìn)行P2P 流識(shí)別時(shí),先在網(wǎng)絡(luò)的三四層進(jìn)行����,當(dāng)通過DFI檢測識(shí)別出所述數(shù)據(jù)流為P2P流時(shí),則就不 再進(jìn)一步檢測�,即只在網(wǎng)絡(luò)三四層就完成了數(shù)據(jù)流的P2P流識(shí)別,無需再到應(yīng)用層進(jìn)行DPI 檢測來識(shí)別P2P流�����。
[0033] 這里����,預(yù)先定義的流量控制操作可根據(jù)實(shí)際情況設(shè)置,比如阻斷數(shù)據(jù)流����、對(duì)數(shù)據(jù)流 進(jìn)行限速等,本發(fā)明并不具體限定��。
[0034] 優(yōu)選地��,本發(fā)明中��,步驟103還可進(jìn)一步將該步驟102檢測出的DFI規(guī)則中的應(yīng)用 名稱作為所述數(shù)據(jù)流匹配的應(yīng)用����,并通過日志方式輸出���,以告知用戶當(dāng)前數(shù)據(jù)流匹配了哪 些網(wǎng)絡(luò)應(yīng)用服務(wù)。
[0035] 步驟104,開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于該數(shù)據(jù)流的前N個(gè)報(bào)文的總流量M����,N大于1。
[0036] 因?yàn)閱渭兊谼FI檢測準(zhǔn)確率偏低��,容易引起誤報(bào)��,則當(dāng)通過DFI檢測識(shí)別出所述數(shù) 據(jù)流為非P2P流時(shí)�����,則為避免誤報(bào)�,還需進(jìn)一步在應(yīng)用層對(duì)該數(shù)據(jù)流進(jìn)行DPI檢測,具體見 下文����。
[0037] 本發(fā)明中,結(jié)合實(shí)際情況��,N-般取值為30,當(dāng)然���,N也可取值為其他值��,本發(fā)明并 不具體限定����。
[0038] 為便于描述��,這里將該統(tǒng)計(jì)出的總流量Μ簡稱為所述數(shù)據(jù)流的流量M����。本發(fā)明中, 針對(duì)一條數(shù)據(jù)流只統(tǒng)計(jì)一次流量���,不會(huì)重復(fù)統(tǒng)計(jì)流量����。
[0039] 步驟105,在該統(tǒng)計(jì)出的所述數(shù)據(jù)流的流量Μ小于第一設(shè)定流量閾值或者單位時(shí) 間內(nèi)屬于該數(shù)據(jù)流的報(bào)文數(shù)量小于Ν時(shí)�����,判定所述數(shù)據(jù)流為非P2P流�。結(jié)束當(dāng)前流程。
[0040] 步驟106,在該統(tǒng)計(jì)出的所述數(shù)據(jù)流的流量Μ大于第一設(shè)定流量閾值時(shí)對(duì)所述數(shù) 據(jù)流進(jìn)一步執(zhí)行DPI檢測���。之后執(zhí)行步驟107和步驟108���。
[0041] 本發(fā)明中���,DPI檢測類似于現(xiàn)有傳統(tǒng)的DPI檢測,這里不再贅述��。
[0042] 步驟107,在DPI檢測出所述數(shù)據(jù)流為非P2P流時(shí)�����,按照預(yù)先配置的非P2P流處理 方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制����。結(jié)束當(dāng)前流程。
[0043] 步驟108,在DPI檢測出所述數(shù)據(jù)流為P2P流時(shí)��,除了按照預(yù)先配置的P2P流處理 方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制之外�����,還識(shí)別所述數(shù)據(jù)流匹配的應(yīng)用名稱�,將匹配的應(yīng)用 名稱、統(tǒng)計(jì)出的所述數(shù)據(jù)流的流量M��、所述數(shù)據(jù)流攜帶的目的IP地址、目的端口號(hào)�、協(xié)議號(hào) 作為一條DFI規(guī)則更新至所述DFI規(guī)則庫。
[0044] 如上所述���,本發(fā)明中的DPI檢測類似于現(xiàn)有傳統(tǒng)的DPI檢測,現(xiàn)有傳統(tǒng)的DPI檢測 是基于數(shù)據(jù)流的具體內(nèi)容進(jìn)行逐字節(jié)的掃描�����,并與已知的應(yīng)用規(guī)則庫進(jìn)行匹配識(shí)別出該數(shù) 據(jù)流屬于何種網(wǎng)絡(luò)應(yīng)用���,基于此�����,執(zhí)行到本步驟108時(shí)����,可基于類似傳統(tǒng)的DPI檢測很容易 識(shí)別出所述數(shù)據(jù)流匹配的應(yīng)用名稱�����。
[0045] 優(yōu)選地�����,本發(fā)明中,在上述步驟104執(zhí)行之前����,可進(jìn)一步執(zhí)行以下步驟:為所述數(shù) 據(jù)流分配一個(gè)編號(hào),這里�����,不同數(shù)據(jù)流分配的編號(hào)不同�����。
[0046] 基于此���,在步驟106執(zhí)行之前��,可進(jìn)一步執(zhí)行以下步驟:將該統(tǒng)計(jì)出的總流量Μ作 為所述數(shù)據(jù)流的流量Μ與所述數(shù)據(jù)流被分配的編號(hào)一起對(duì)應(yīng)記錄至預(yù)先建立的流量大小 記錄表�;
[0047] 下述表1示出了流量大小記錄表:
[0048] 表 1
[0049]
【權(quán)利要求】
1. 一種P2P流檢測方法��,其特征在于�,該方法應(yīng)用于設(shè)置在網(wǎng)絡(luò)出口的設(shè)備,包括以下 步驟: 識(shí)別待檢測的數(shù)據(jù)流是屬于HTTP流還是非HTTP流; 如果是非HTTP流���,則對(duì)所述數(shù)據(jù)流進(jìn)行如下DFI檢測:檢測本地的DFI規(guī)則庫中是否 存在至少包含以下內(nèi)容的DFI規(guī)則:所述數(shù)據(jù)流攜帶的目的IP地址����、目的端口號(hào)��、協(xié)議號(hào)�, 在DFI檢測結(jié)果為是時(shí),判定所述數(shù)據(jù)流為P2P流�����,對(duì)該數(shù)據(jù)流執(zhí)行預(yù)先定義的流量控制操 作�����; 如果是HTTP流����,或者在DFI檢測結(jié)果為否時(shí)�,開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的 前N個(gè)報(bào)文的總流量M,N大于1�����,在統(tǒng)計(jì)出的總流量Μ小于第一設(shè)定流量閾值或者單位時(shí)間 內(nèi)屬于所述數(shù)據(jù)流的報(bào)文數(shù)量小于Ν時(shí),判定所述數(shù)據(jù)流為非P2P流��;在統(tǒng)計(jì)出的總流量Μ 大于第一設(shè)定流量閾值時(shí)對(duì)所述數(shù)據(jù)流進(jìn)一步執(zhí)行DPI檢測�,在DPI檢測出所述數(shù)據(jù)流為 非P2P流時(shí),按照預(yù)先配置的非P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制�,在DPI檢測出 所述數(shù)據(jù)流為P2P流時(shí),除了按照預(yù)先配置的P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制 之外���,還識(shí)別所述數(shù)據(jù)流匹配的應(yīng)用名稱�����,將匹配的應(yīng)用名稱����、統(tǒng)計(jì)出的總流量M���、所述數(shù)據(jù) 流攜帶的目的IP地址�、目的端口號(hào)����、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫�����。
2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,在檢測出DFI規(guī)則庫中存在至少包含以下 內(nèi)容的DFI規(guī)則:所述數(shù)據(jù)流攜帶的IP地址、端口號(hào)�����、協(xié)議號(hào)時(shí)�����,該方法進(jìn)一步包括: 將該存在的DFI規(guī)則中的應(yīng)用名稱作為所述數(shù)據(jù)流匹配的應(yīng)用���,并通過日志方式輸 出。
3. 根據(jù)權(quán)利要求1所述的方法���,其特征在于���,在開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流 的前N個(gè)報(bào)文的總流量Μ之前,進(jìn)一步包括:為所述數(shù)據(jù)流分配一個(gè)編號(hào),不同數(shù)據(jù)流分配 的編號(hào)不同����; 在對(duì)所述數(shù)據(jù)流執(zhí)行DPI檢測之前,該方法進(jìn)一步包括:將該統(tǒng)計(jì)出的總流量Μ作為所 述數(shù)據(jù)流的流量Μ與所述數(shù)據(jù)流被分配的編號(hào)一起對(duì)應(yīng)記錄至預(yù)先建立的流量大小記錄 表�; 所述將匹配的應(yīng)用名稱、統(tǒng)計(jì)出的總流量Μ���、所述數(shù)據(jù)流攜帶的目的IP地址����、目的端口 號(hào)�、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫包括: 定時(shí)或者實(shí)時(shí)從所述流量大小記錄表中找到所述數(shù)據(jù)流的流量Μ ; 如果該找到的所述數(shù)據(jù)流的流量Μ大于第二設(shè)定流量閾值,則將該找到的所述數(shù)據(jù)流 的流量Μ���、所述數(shù)據(jù)流匹配的應(yīng)用名稱����、所述數(shù)據(jù)流攜帶的目的IP地址�����、目的端口號(hào)���、協(xié)議 號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫����。
4. 根據(jù)權(quán)利要求1所述的方法,其特征在于��,該方法進(jìn)一步包括: 定期將本地DFI規(guī)則庫上傳至云端�����; 接收所述云端下發(fā)的可共享的DFI規(guī)則庫�����,并將該接收的DFI規(guī)則庫添加到本地的DFI 規(guī)則庫��; 其中�����,所述云端下發(fā)的可共享的DFI規(guī)則庫通過以下步驟確定: 云端針對(duì)收到的每一 DFI規(guī)則����,如果該DFI規(guī)則中的流量大于或等于第三設(shè)定流量閾 值�����,則將該DFI規(guī)則作為待選DFI規(guī)則; 為每一待選DFI規(guī)則設(shè)定對(duì)應(yīng)的P2P信用值����; 將P2P信用值大于設(shè)定值的非重復(fù)DFI規(guī)則組織在一起形成所述可共享的DFI規(guī)則 庫。
5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,該方法進(jìn)一步包括: 在客戶需求與其他設(shè)備共享DFI規(guī)則庫時(shí)��,接收來自其他設(shè)備發(fā)送的DFI規(guī)則庫���; 利用本地的DFI規(guī)則庫和本地已配置的第三設(shè)定流量閾值����、以及接收的DFI規(guī)則庫生 成可共享的DFI規(guī)則庫��,并下發(fā)給其他設(shè)備�; 其中,所述可共享的DFI規(guī)則庫通過以下步驟確定: 針對(duì)本地DFI規(guī)則庫���、以及收到的DFI規(guī)則庫中的每一 DFI規(guī)則�����,如果該DFI規(guī)則中的 流量大于或等于本地已配置的第三設(shè)定流量閾值�,則將該DFI規(guī)則作為待選DFI規(guī)則; 為每一待選DFI規(guī)則設(shè)定對(duì)應(yīng)的P2P信用值���; 將P2P信用值大于設(shè)定值的非重復(fù)DFI規(guī)則組織在一起形成所述可共享的DFI規(guī)則 庫�����。
6. 根據(jù)權(quán)利要求4或5所述的方法��,其特征在于��,所述為每一待選DFI規(guī)則設(shè)定對(duì)應(yīng)的 P2P信用值�; 針對(duì)每一待選DFI規(guī)則����,識(shí)別該待選DFI規(guī)則中的IP地址、端口號(hào)�; 按照以下原則為該待選DFI規(guī)則設(shè)定對(duì)應(yīng)的P2P信用值:包含該識(shí)別出的IP地址、端 口號(hào)的DFI規(guī)則的數(shù)量越多�����,該待選DFI規(guī)則對(duì)應(yīng)的P2P信用值就越高的原則�。
7. -種P2P流檢測設(shè)備,其特征在于���,該設(shè)備為設(shè)置在網(wǎng)絡(luò)出口的設(shè)備���,包括: 識(shí)別單元,用于識(shí)別待檢測的數(shù)據(jù)流是屬于HTTP流還是非HTTP流����; DFI檢測單元,用于在所述識(shí)別單元識(shí)別出所述數(shù)據(jù)流為非HTTP流時(shí)��,對(duì)所述數(shù)據(jù)流 進(jìn)行如下DFI檢測:檢測本地的DFI規(guī)則庫中是否存在至少包含以下內(nèi)容的DFI規(guī)則:所述 數(shù)據(jù)流攜帶的目的IP地址���、目的端口號(hào)���、協(xié)議號(hào),在所述DFI檢測單元的DFI檢測結(jié)果為是 時(shí)����,判定所述數(shù)據(jù)流為P2P流,對(duì)該數(shù)據(jù)流執(zhí)行預(yù)先定義的流量控制操作�����; 統(tǒng)計(jì)單元,用于在所述識(shí)別單元識(shí)別出所述數(shù)據(jù)流為HTTP流�,或者在DFI檢測單元的 DFI檢測結(jié)果為否時(shí),開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的前N個(gè)報(bào)文的總流量M��,N大 于1�����,在該統(tǒng)計(jì)出的總流量Μ小于第一設(shè)定流量閾值或者單位時(shí)間內(nèi)屬于所述數(shù)據(jù)流的報(bào) 文數(shù)量小于Ν時(shí)�,判定所述數(shù)據(jù)流為非P2P流, DPI檢測單元���,用于在所述統(tǒng)計(jì)單元統(tǒng)計(jì)出的總流量Μ大于第一設(shè)定流量閾值時(shí)對(duì)所 述數(shù)據(jù)流執(zhí)行DPI檢測����,在DPI檢測出所述數(shù)據(jù)流為非P2P流時(shí)�,按照預(yù)先配置的非P2P流 處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制,在DPI檢測出所述數(shù)據(jù)流為P2P流時(shí)����,除了按照預(yù)先 配置的P2P流處理方式對(duì)所述數(shù)據(jù)流進(jìn)行流量控制之外,還識(shí)別所述數(shù)據(jù)流匹配的應(yīng)用名 稱,將匹配的應(yīng)用名稱����、所述統(tǒng)計(jì)單元統(tǒng)計(jì)出的總流量M�����、所述數(shù)據(jù)流攜帶的目的IP地址���、 目的端口號(hào)���、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫。
8. 根據(jù)權(quán)利要求7所述的設(shè)備�,其特征在于,所述DFI檢測單元在檢測出DFI規(guī)則庫中 存在至少包含以下內(nèi)容的DFI規(guī)則:所述數(shù)據(jù)流攜帶的IP地址����、端口號(hào)、協(xié)議號(hào)時(shí)����,進(jìn)一步 將該存在的DFI規(guī)則中的應(yīng)用名稱作為所述數(shù)據(jù)流匹配的應(yīng)用,并通過日志方式輸出��。
9. 根據(jù)權(quán)利要求7所述的設(shè)備,其特征在于�,所述統(tǒng)計(jì)單元在開始統(tǒng)計(jì)單位時(shí)間內(nèi)屬 于所述數(shù)據(jù)流的前N個(gè)報(bào)文的總流量之前,進(jìn)一步包括:為所述數(shù)據(jù)流分配一個(gè)編號(hào)����,不同 數(shù)據(jù)流分配的編號(hào)不同; 所述統(tǒng)計(jì)單元在所述DPI檢測單元對(duì)所述數(shù)據(jù)流執(zhí)行DPI檢測之前�����,進(jìn)一步將該統(tǒng)計(jì) 出的總流量Μ作為所述數(shù)據(jù)流的流量Μ與所述數(shù)據(jù)流被分配的編號(hào)一起對(duì)應(yīng)記錄至預(yù)先建 立的流量大小記錄表�; 所述DPI檢測單元將匹配的應(yīng)用名稱、所述統(tǒng)計(jì)單元統(tǒng)計(jì)出的總流量Μ��、所述數(shù)據(jù)流攜 帶的目的IP地址��、目的端口號(hào)�、協(xié)議號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫包括: 定時(shí)或者實(shí)時(shí)從所述流量大小記錄表中找到所述數(shù)據(jù)流的流量Μ ; 如果該找到的所述數(shù)據(jù)流的流量Μ大于第二設(shè)定流量閾值,則將該找到的所述數(shù)據(jù)流 的流量Μ��、所述數(shù)據(jù)流匹配的應(yīng)用名稱����、所述數(shù)據(jù)流攜帶的目的IP地址、目的端口號(hào)���、協(xié)議 號(hào)作為一條DFI規(guī)則更新至所述DFI規(guī)則庫���。
10. 根據(jù)權(quán)利要求7所述的設(shè)備�,其特征在于�,該設(shè)備進(jìn)一步包括: 上傳單元,用于定期將本地DFI規(guī)則庫上傳至云端����; 接收單元進(jìn)一步接收所述云端下發(fā)的可共享的DFI規(guī)則庫�����,并將該接收的DFI規(guī)則庫 添加到本地的DFI規(guī)則庫�����; 其中��,所述云端下發(fā)的可共享的DFI規(guī)則庫通過以下步驟確定: 云端針對(duì)收到的每一 DFI規(guī)則���,如果該DFI規(guī)則中的流量大于或等于第三設(shè)定流量閾 值����,則將該DFI規(guī)則作為待選DFI規(guī)則; 為每一待選DFI規(guī)則設(shè)定對(duì)應(yīng)的P2P信用值�����; 將P2P信用值大于設(shè)定值的非重復(fù)DFI規(guī)則組織在一起形成所述可共享的DFI規(guī)則 庫��。
11. 根據(jù)權(quán)利要求7所述的設(shè)備�����,其特征在于�����,所述接收單元在客戶需求與其他設(shè)備共 享DFI規(guī)則庫時(shí)�,進(jìn)一步接收來自其他設(shè)備發(fā)送的DFI規(guī)則庫; 該設(shè)備進(jìn)一步包括: 生成單元���,用于利用本地的DFI規(guī)則庫和本地已配置的第三設(shè)定流量閾值����、以及接收 的DFI規(guī)則庫生成可共享的DFI規(guī)則庫�,并下發(fā)給其他設(shè)備; 其中�����,所述可共享的DFI規(guī)則庫通過以下步驟確定: 針對(duì)本地DFI規(guī)則庫、以及收到的DFI規(guī)則庫中的每一 DFI規(guī)則��,如果該DFI規(guī)則中的 流量大于或等于本地已配置的第三設(shè)定流量閾值���,則將該DFI規(guī)則作為待選DFI規(guī)則����; 為每一待選DFI規(guī)則設(shè)定對(duì)應(yīng)的P2P信用值�; 將P2P信用值大于設(shè)定值的非重復(fù)DFI規(guī)則組織在一起形成所述可共享的DFI規(guī)則 庫�����。
【文檔編號(hào)】H04L12/26GK104243237SQ201410474251
【公開日】2014年12月24日 申請日期:2014年9月17日 優(yōu)先權(quán)日:2014年9月17日
【發(fā)明者】張?bào)@申 申請人:杭州華三通信技術(shù)有限公司