專利名稱:基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是一種用于對(duì)當(dāng)前流行的對(duì)等網(wǎng)絡(luò)軟件斯蓋普(Skype)進(jìn)行流量識(shí)別的策略�,屬于網(wǎng)絡(luò)新業(yè)務(wù)流量識(shí)別的技術(shù)領(lǐng)域,涉及網(wǎng)絡(luò)業(yè)務(wù)流量的管理與控制�����。
背景技術(shù):
計(jì)算機(jī)對(duì)等網(wǎng)絡(luò)P2P(peer-to-peer),作為目前改變現(xiàn)有Internet應(yīng)用模式的主要技術(shù)之一��,成為新一代互連網(wǎng)技術(shù)研究的熱點(diǎn)問(wèn)題��。隨著P2P網(wǎng)絡(luò)技術(shù)的研究以及各種P2P軟件的出現(xiàn)����,以及P2P業(yè)務(wù)量的不斷增長(zhǎng),給傳統(tǒng)的Internet應(yīng)用帶來(lái)了巨大的沖擊���,尤其是P2P網(wǎng)絡(luò)模式本身帶寬搶占的特點(diǎn)����,給網(wǎng)絡(luò)資源管理帶來(lái)了巨大挑戰(zhàn)�����。據(jù)統(tǒng)計(jì)�,目前國(guó)內(nèi)外P2P流量占總網(wǎng)絡(luò)流量的60%以上,嚴(yán)重影響了某些正常業(yè)務(wù)的運(yùn)行��,同時(shí)給運(yùn)營(yíng)商及網(wǎng)絡(luò)管理人員以及某些企業(yè)帶來(lái)了帶寬資源的浪費(fèi)�����。因此,隨著P2P網(wǎng)絡(luò)技術(shù)的發(fā)展�����,P2P網(wǎng)絡(luò)流量識(shí)別與管理也成了目前網(wǎng)絡(luò)研究的一大熱點(diǎn)����。
基于第三代P2P技術(shù),Skype正以優(yōu)質(zhì)的語(yǔ)音質(zhì)量和低廉的通話費(fèi)用吸引著越來(lái)越多的用戶���。它的出現(xiàn)給傳統(tǒng)的VOIP業(yè)務(wù)帶來(lái)了巨大的沖擊��,盡管成立不過(guò)兩年����,但Skype在全球已經(jīng)有了超過(guò)2億次的下載量��,并成為傳統(tǒng)固網(wǎng)運(yùn)營(yíng)商的“眼中釘”�,全球各地封殺Skype的消息不絕于耳����,據(jù)IDG消息稱��,目前中國(guó)一電信運(yùn)營(yíng)商正在付費(fèi)試用Verso的NetSpeetive M級(jí)過(guò)濾器���。為了能夠?qū)kype流量進(jìn)行有效管理與控制,首先要能夠?qū)ζ溥M(jìn)行準(zhǔn)確識(shí)別��。
目前國(guó)內(nèi)外對(duì)P2P網(wǎng)絡(luò)流量的識(shí)別與管理有了一定的研究���,提出了比如IPPair以及第七層靜荷特征等識(shí)別方法����,這些方法可用于目前大多數(shù)比較流行的P2P軟件的流量識(shí)別�,如BT、Emule���、eDonkey等����。但是對(duì)于Skype��,由于其協(xié)議不公開(kāi)�����,并且使用了比較安全的加密算法,因此����,目前尚沒(méi)有Skype流量的準(zhǔn)確識(shí)別策略。
現(xiàn)有技術(shù)中���,對(duì)于Skype流量識(shí)別����,主要是通過(guò)靜荷中某個(gè)固定字節(jié)進(jìn)行識(shí)別?�,F(xiàn)有技術(shù)的缺點(diǎn)為1)識(shí)別不完整����。由于現(xiàn)有技術(shù)只是根據(jù)某個(gè)固定字節(jié)進(jìn)行靜荷識(shí)別,對(duì)于Skype�����,并不是所有傳輸數(shù)據(jù)都存在該特征�,因此���,不能保證識(shí)別所有Skype數(shù)據(jù)�����。
2)識(shí)別不準(zhǔn)確?����,F(xiàn)有技術(shù)只是根據(jù)一個(gè)字節(jié)進(jìn)行識(shí)別�����,對(duì)于非Skype數(shù)據(jù)����,也有可能與識(shí)別特征字節(jié)一致,從而被識(shí)別為Skype流量��,從而不能保證識(shí)別的準(zhǔn)確性���。
3)識(shí)別策略不靈活����。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是提出基于綜合統(tǒng)計(jì)特征的斯蓋普(Skype)流量識(shí)別策略���,結(jié)合Skype流統(tǒng)計(jì)特征識(shí)別策略與靜荷統(tǒng)計(jì)特征識(shí)別策略����,實(shí)現(xiàn)Skype流量的準(zhǔn)確識(shí)別。
技術(shù)方案本發(fā)明提出了基于流統(tǒng)計(jì)特征的Skype流量識(shí)別策略����、基于靜荷統(tǒng)計(jì)特征的Skype流量識(shí)別策略,并綜合上述兩種策略����,提出了基于綜合統(tǒng)計(jì)特征的Skype流量識(shí)別策略及策略部署。其中�,Skype流量識(shí)別策略提出了三種識(shí)別策略,基于流統(tǒng)計(jì)特征的識(shí)別策略針對(duì)Skype的流量特征分析�,制定出專門(mén)針對(duì)Skype的流量識(shí)別策略,并提出了二維條件性綜合流統(tǒng)計(jì)識(shí)別策略�����;基于靜荷統(tǒng)計(jì)特征的識(shí)別策略通過(guò)對(duì)Skype靜荷特征的分析����,生成多個(gè)Skype靜荷組成的集合,制定出基于動(dòng)態(tài)靜荷特征的識(shí)別策略�����;綜合統(tǒng)計(jì)特征的識(shí)別策略是在上面兩種策略的基礎(chǔ)上����,綜合兩者的優(yōu)點(diǎn),提出的結(jié)合Skype流統(tǒng)計(jì)特征與靜荷統(tǒng)計(jì)特征的識(shí)別策略�����?��;诰C合統(tǒng)計(jì)特征的Skype流量識(shí)別策略的部署給出了實(shí)現(xiàn)及部署該識(shí)別策略的主要功能模塊����,從而最終實(shí)現(xiàn)網(wǎng)絡(luò)流量的管理與控制��。
斯蓋普應(yīng)用識(shí)別策略包括基于流統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略�����、基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略�、基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略及策略部署;其中�,基于綜合統(tǒng)計(jì)特征的應(yīng)用識(shí)別策略綜合了前面兩種識(shí)別策略,綜合運(yùn)用Skype的流統(tǒng)計(jì)特征和靜荷統(tǒng)計(jì)特征進(jìn)行識(shí)別,識(shí)別策略為
1)根據(jù)UDP靜荷中遠(yuǎn)端IP字節(jié)所對(duì)應(yīng)的IP與該數(shù)據(jù)包的遠(yuǎn)端IP一致��,確定該UDP數(shù)據(jù)包為Skype數(shù)據(jù)����,從而獲得本地Skype端口;2)將所有與本地Skype端口對(duì)應(yīng)的UDP數(shù)據(jù)包的遠(yuǎn)端IP和端口寫(xiě)入SkypeIP+Port策略庫(kù)��;3)由于Skype除了與超級(jí)節(jié)點(diǎn)或普通客戶端通信外���,還與某些特殊節(jié)點(diǎn)通信��,如ES�、LS和ui.skype.com�,因此,也要將這三類地址和端口寫(xiě)入Skype IP+Port策略庫(kù)��;4)判斷每一個(gè)數(shù)據(jù)包���,無(wú)論是TCP數(shù)據(jù)包還是UDP數(shù)據(jù)包�����,只要源地址+源端口或者目的地址+目的端口中有一個(gè)在Skype IP+Port策略庫(kù)中���,則可以判定該數(shù)據(jù)包為Skype應(yīng)用�。
以下詳細(xì)介紹Skype流量識(shí)別策略及策略部署���。
1、基于流統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略基于流統(tǒng)計(jì)特征的識(shí)別策略是根據(jù)Skype流量特征�����,利用二維條件性綜合流統(tǒng)計(jì)識(shí)別策略進(jìn)行流量識(shí)別�����。二維條件性綜合流統(tǒng)計(jì)識(shí)別策略主要是從流信息五元組中根據(jù)統(tǒng)計(jì)需求選出其中的二元組合按給定條件過(guò)濾并進(jìn)行綜合統(tǒng)計(jì)����,如X-Y(C)二元組合要求統(tǒng)計(jì)出List Y Group By X Where Packets Satisfy C,最后再綜合二元組合統(tǒng)計(jì)的結(jié)果進(jìn)行分析識(shí)別�����,從而達(dá)到有效實(shí)現(xiàn)應(yīng)用識(shí)別的目的�����。
針對(duì)Skype應(yīng)用識(shí)別,提出了以下幾種二元組合策略1)LocalPort-RemoteIP(ALL)利用本地Skype客戶端端口在較短時(shí)間內(nèi)與多臺(tái)遠(yuǎn)程主機(jī)進(jìn)行數(shù)據(jù)傳輸?shù)奶匦?,通過(guò)對(duì)本地端口所連接主機(jī)數(shù)目統(tǒng)計(jì),可以識(shí)別出非常規(guī)網(wǎng)絡(luò)體系業(yè)務(wù)的本地端口�����,這里非常規(guī)業(yè)務(wù)主要是針對(duì)目前越來(lái)越多的P2P業(yè)務(wù)提出��。
2)RemoteIP-Protocol(ALL)根據(jù)Skype用戶在進(jìn)行通話或文件傳輸時(shí)���,同時(shí)使用TCP和UDP兩種協(xié)議����,利用可靠的TCP協(xié)議保持基本連接實(shí)現(xiàn)信令交互���,利用高傳輸效率的UDP協(xié)議實(shí)現(xiàn)數(shù)據(jù)的傳輸��。此外�,還有幾種熟知的網(wǎng)絡(luò)應(yīng)用���,如DNS服務(wù)等�,也是同時(shí)使用TCP和UDP兩種協(xié)議�����,但是這些網(wǎng)絡(luò)應(yīng)用都可以通過(guò)常規(guī)端口或其他特性很容易識(shí)別。因此通過(guò)篩選同時(shí)使用TCP和UDP的源-目的IP對(duì)的業(yè)務(wù)����,并且去掉那些已知的正常業(yè)務(wù),如去掉遠(yuǎn)端端口為53的DNS業(yè)務(wù)��,可以對(duì)這些非常規(guī)業(yè)務(wù)進(jìn)行準(zhǔn)確識(shí)別��。
3)RemotePort-LoealPort(UDP)通過(guò)對(duì)和遠(yuǎn)程某個(gè)端口利用UDP連接的本地端口以及本地端口數(shù)的統(tǒng)計(jì)�,在上一步的基礎(chǔ)上進(jìn)一步從遠(yuǎn)端主機(jī)端口的角度進(jìn)行應(yīng)用識(shí)別�,對(duì)于某個(gè)遠(yuǎn)端主機(jī)端口,可以根據(jù)所連接的本地端口中是否包含上一步中統(tǒng)計(jì)所得的非常規(guī)端口���,判斷出該遠(yuǎn)端端口上的應(yīng)用與本地非常規(guī)端口對(duì)應(yīng)的業(yè)務(wù)是否相同���。例如,若識(shí)別出本地2558端口為Skype本地端口�,某個(gè)遠(yuǎn)端主機(jī)的3380端口通過(guò)UDP與本地主機(jī)進(jìn)行數(shù)據(jù)傳輸,則該遠(yuǎn)端端口上所有數(shù)據(jù)傳輸均為Skype業(yè)務(wù)�。
4)RemotePort-Protocol(同一IP對(duì))通過(guò)對(duì)Skype流量統(tǒng)計(jì)特性的研究發(fā)現(xiàn),雖然Skype客戶端與某些超級(jí)節(jié)點(diǎn)間以及某些普通客戶端之間進(jìn)行數(shù)據(jù)傳輸時(shí)同時(shí)使用TCP和UDP�����,但是通常遠(yuǎn)端主機(jī)的TCP和UDP使用的同一端口,即Skype隨機(jī)開(kāi)放的端口�。因此,結(jié)合LocalPort-RemoteIP(ALL)策略���,對(duì)于與本地非正常業(yè)務(wù)端口連接的主機(jī)�,如果遠(yuǎn)端端口同時(shí)既使用TCP協(xié)議����,又使用UDP協(xié)議,則可以初步判定為Skype業(yè)務(wù)����。
2、基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略是根據(jù)Skype靜荷特征制定的流量識(shí)別策略���。Skype的UDP數(shù)據(jù)包中不含有固定字節(jié)的特征字符串���,不能根據(jù)某一個(gè)固定字節(jié)的特征來(lái)判斷是否Skype應(yīng)用,可以根據(jù)對(duì)Skype數(shù)據(jù)包中的靜荷的統(tǒng)計(jì)分析��,不斷收集Skype數(shù)據(jù)包中的靜荷特征����,生成Skype靜荷特征集合���,制定基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略,對(duì)每一個(gè)數(shù)據(jù)包����,只要其中包含靜荷特征集合的特征字符串,便可判定為Skype應(yīng)用�����。
Skype靜荷中某些字節(jié)與數(shù)據(jù)報(bào)頭某些參數(shù)具有對(duì)應(yīng)關(guān)系����,如某些數(shù)據(jù)包靜荷中包含本地對(duì)外IP地址����,某些數(shù)據(jù)包靜荷中包含遠(yuǎn)端IP地址。因此�,通過(guò)驗(yàn)證對(duì)應(yīng)關(guān)系可用來(lái)判斷是否是Skype應(yīng)用。
3�、識(shí)別策略的部署基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別一方面要對(duì)采集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì),生成識(shí)別策略��;另一方面要利用生成的識(shí)別策略對(duì)采集到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)流量識(shí)別,從而對(duì)各種不同的應(yīng)用進(jìn)行不同的統(tǒng)計(jì)分析與處理��。兩者是并行處理的���,即網(wǎng)絡(luò)流量識(shí)別以動(dòng)態(tài)識(shí)別策略為識(shí)別依據(jù)�,從而保證識(shí)別的準(zhǔn)確性和可擴(kuò)展性�����。策略部署模型見(jiàn)附圖2所示��,其中主要包括數(shù)據(jù)采集���、數(shù)據(jù)統(tǒng)計(jì)�、策略生成���、業(yè)務(wù)識(shí)別�����、業(yè)務(wù)分流����、業(yè)務(wù)統(tǒng)計(jì)、業(yè)務(wù)處理幾個(gè)功能模塊����,另外包括識(shí)別策略、業(yè)務(wù)和業(yè)務(wù)處理策略三個(gè)數(shù)據(jù)庫(kù)�����。
有益效果該識(shí)別策略與識(shí)別模型的優(yōu)點(diǎn)在于1�����、識(shí)別準(zhǔn)確完整識(shí)別策略結(jié)合了Skype流統(tǒng)計(jì)特性與靜荷統(tǒng)計(jì)特性兩者的優(yōu)點(diǎn)�����,根據(jù)動(dòng)態(tài)多靜荷策略數(shù)據(jù)庫(kù)準(zhǔn)確獲得某些確定的流特性��,再根據(jù)對(duì)應(yīng)的流特性按相應(yīng)的流特性識(shí)別策略進(jìn)行識(shí)別����,從而可以保證對(duì)Skype數(shù)據(jù)進(jìn)行準(zhǔn)確完整的識(shí)別�,這是現(xiàn)有識(shí)別技術(shù)所不能保證的。
2、識(shí)別策略靈活識(shí)別策略部署通過(guò)數(shù)據(jù)采集����、策略統(tǒng)計(jì)與生成等方法,根據(jù)采集的數(shù)據(jù)動(dòng)態(tài)生成靈活的識(shí)別策略數(shù)據(jù)庫(kù)��,最后根據(jù)識(shí)別策略數(shù)據(jù)庫(kù)進(jìn)行流量識(shí)別���,從而可以根據(jù)識(shí)別應(yīng)用的不同特征進(jìn)行流量識(shí)別����,即使應(yīng)用的某些識(shí)別特征有所改變����,也不會(huì)影響流量識(shí)別的準(zhǔn)確性。
3����、識(shí)別策略部署模型通用性識(shí)別策略的部署不僅可以用于Skype流量識(shí)別,也可以用于其他未知協(xié)議的網(wǎng)絡(luò)新業(yè)務(wù)的流量識(shí)別���,尤其是新出現(xiàn)的P2P業(yè)務(wù)�����。并且該模型可用于通用的網(wǎng)絡(luò)流量管理與控制系統(tǒng)��,在對(duì)業(yè)務(wù)進(jìn)行識(shí)別分類之后對(duì)相應(yīng)業(yè)務(wù)按優(yōu)先級(jí)進(jìn)行流量管理����。
圖1是基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略。圖中給出了識(shí)別策略的整個(gè)識(shí)別流程�。
圖2是基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略的部署模型。圖中包括識(shí)別過(guò)程中的數(shù)據(jù)采集��、策略生成��、以及流量識(shí)別后業(yè)務(wù)處理等功能模塊����。
具體實(shí)施例方式
本發(fā)明提出了基于流統(tǒng)計(jì)特征的Skype流量識(shí)別策略、基于靜荷統(tǒng)計(jì)特征的Skype流量識(shí)別策略�����,并綜合上述兩種策略��,提出了基于綜合統(tǒng)計(jì)特征的Skype流量識(shí)別策略及策略部署��。其中�,Skype流量識(shí)別策略提出了三種識(shí)別策略,基于流統(tǒng)計(jì)特征的識(shí)別策略針對(duì)Skype的流量特征分析��,制定出專門(mén)針對(duì)Skype的流量識(shí)別策略�����,并提出了二維條件性綜合流統(tǒng)計(jì)識(shí)別策略��;基于靜荷統(tǒng)計(jì)特征的識(shí)別策略通過(guò)對(duì)Skype靜荷特征的分析����,生成多個(gè)Skype靜荷組成的集合,制定出基于動(dòng)態(tài)靜荷特征的識(shí)別策略�;綜合統(tǒng)計(jì)特征的識(shí)別策略是在上面兩種策略的基礎(chǔ)上,綜合兩者的優(yōu)點(diǎn)�����,提出的結(jié)合Skype流統(tǒng)計(jì)特征與靜荷統(tǒng)計(jì)特征的識(shí)別策略�����?��;诰C合統(tǒng)計(jì)特征的Skype流量識(shí)別策略的部署給出了實(shí)現(xiàn)及部署該識(shí)別策略的主要功能模塊�,從而最終實(shí)現(xiàn)網(wǎng)絡(luò)流量的管理與控制。
以下詳細(xì)介紹Skype流量識(shí)別策略及策略部署����。
1、基于流統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略基于流統(tǒng)計(jì)特征的識(shí)別策略是根據(jù)Skype流量特征��,利用二維條件性綜合流統(tǒng)計(jì)識(shí)別策略進(jìn)行流量識(shí)別��。二維條件性綜合流統(tǒng)計(jì)識(shí)別策略主要是從流信息五元組中根據(jù)統(tǒng)計(jì)需求選出其中的二元組合按給定條件過(guò)濾并進(jìn)行綜合統(tǒng)計(jì)�����,如X-Y(C)二元組合要求統(tǒng)計(jì)出List Y Group By X Where Packets Satisfy C��,最后再綜合二元組合統(tǒng)計(jì)的結(jié)果進(jìn)行分析識(shí)別�,從而達(dá)到有效實(shí)現(xiàn)應(yīng)用識(shí)別的目的。
針對(duì)Skype應(yīng)用識(shí)別��,提出了以下幾種二元組合策略1)LocalPort-RemoteIP(ALL)利用本地Skype客戶端端口在較短時(shí)間內(nèi)與多臺(tái)遠(yuǎn)程主機(jī)進(jìn)行數(shù)據(jù)傳輸?shù)奶匦?��,通過(guò)對(duì)本地端口所連接主機(jī)數(shù)目統(tǒng)計(jì)�,可以識(shí)別出非常規(guī)網(wǎng)絡(luò)體系業(yè)務(wù)的本地端口��,這里非常規(guī)業(yè)務(wù)主要是針對(duì)目前越來(lái)越多的P2P業(yè)務(wù)提出�。
2)RemoteIP-Protocol(ALL)根據(jù)Skype用戶在進(jìn)行通話或文件傳輸時(shí)�����,同時(shí)使用TCP和UDP兩種協(xié)議,利用可靠的TCP協(xié)議保持基本連接實(shí)現(xiàn)信令交互���,利用高傳輸效率的UDP協(xié)議實(shí)現(xiàn)數(shù)據(jù)的傳輸����。此外����,還有幾種熟知的網(wǎng)絡(luò)應(yīng)用,如DNS服務(wù)等�,也是同時(shí)使用TCP和UDP兩種協(xié)議,但是這些網(wǎng)絡(luò)應(yīng)用都可以通過(guò)常規(guī)端口或其他特性很容易識(shí)別����。因此通過(guò)篩選同時(shí)使用TCP和UDP的源-目的IP對(duì)的業(yè)務(wù),并且去掉那些已知的正常業(yè)務(wù)��,如去掉遠(yuǎn)端端口為53的DNS業(yè)務(wù)��,可以對(duì)這些非常規(guī)業(yè)務(wù)進(jìn)行準(zhǔn)確識(shí)別�����。
3)RemotePort-LocalPort(UDP)通過(guò)對(duì)和遠(yuǎn)程某個(gè)端口利用UDP連接的本地端口以及本地端口數(shù)的統(tǒng)計(jì),在上一步的基礎(chǔ)上進(jìn)一步從遠(yuǎn)端主機(jī)端口的角度進(jìn)行應(yīng)用識(shí)別����,對(duì)于某個(gè)遠(yuǎn)端主機(jī)端口,可以根據(jù)所連接的本地端口中是否包含上一步中統(tǒng)計(jì)所得的非常規(guī)端口��,判斷出該遠(yuǎn)端端口上的應(yīng)用與本地非常規(guī)端口對(duì)應(yīng)的業(yè)務(wù)是否相同�����。例如�,若識(shí)別出本地2558端口為Skype本地端口,某個(gè)遠(yuǎn)端主機(jī)的3380端口通過(guò)UDP與本地主機(jī)進(jìn)行數(shù)據(jù)傳輸��,則該遠(yuǎn)端端口上所有數(shù)據(jù)傳輸均為Skype業(yè)務(wù)����。
4)RemotePort-Protocol(同一IP對(duì))通過(guò)對(duì)Skype流量統(tǒng)計(jì)特性的研究發(fā)現(xiàn),雖然Skype客戶端與某些超級(jí)節(jié)點(diǎn)間以及某些普通客戶端之間進(jìn)行數(shù)據(jù)傳輸時(shí)同時(shí)使用TCP和UDP����,但是通常遠(yuǎn)端主機(jī)的TCP和UDP使用的同一端口,即Skype隨機(jī)開(kāi)放的端口。因此�,結(jié)合LocalPort-RemoteIP(ALL)策略,對(duì)于與本地非正常業(yè)務(wù)端口連接的主機(jī)���,如果遠(yuǎn)端端口同時(shí)既使用TCP協(xié)議��,又使用UDP協(xié)議,則可以初步判定為Skype業(yè)務(wù)�����。
2��、基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略是根據(jù)Skype靜荷特征制定的流量識(shí)別策略��。Skype的UDP數(shù)據(jù)包中不含有固定字節(jié)的特征字符串��,不能根據(jù)某一個(gè)固定字節(jié)的特征來(lái)判斷是否Skype應(yīng)用��,可以根據(jù)對(duì)Skype數(shù)據(jù)包中的靜荷的統(tǒng)計(jì)分析����,不斷收集Skype數(shù)據(jù)包中的靜荷特征,生成Skype靜荷特征集合��,制定基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略�,對(duì)每一個(gè)數(shù)據(jù)包�����,只要其中包含靜荷特征集合的特征字符串���,便可判定為Skype應(yīng)用。
Skype靜荷中某些字節(jié)與數(shù)據(jù)報(bào)頭某些參數(shù)具有對(duì)應(yīng)關(guān)系����,如某些數(shù)據(jù)包靜荷中包含本地對(duì)外IP地址,某些數(shù)據(jù)包靜荷中包含遠(yuǎn)端IP地址���。因此����,通過(guò)驗(yàn)證對(duì)應(yīng)關(guān)系可用來(lái)判斷是否是Skype應(yīng)用�。
3、基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略是上述兩種策略的結(jié)合���,具體識(shí)別策略如附圖1所示��。策略執(zhí)行過(guò)程如下1)根據(jù)UDP靜荷中遠(yuǎn)端IP字節(jié)所對(duì)應(yīng)的IP與該數(shù)據(jù)包的遠(yuǎn)端IP一致�,確定該UDP數(shù)據(jù)包為Skype數(shù)據(jù),從而獲得本地Skype端口�����;2)將所有與本地Skype端口對(duì)應(yīng)的UDP數(shù)據(jù)包的遠(yuǎn)端IP和端口寫(xiě)入SkypeIP+Port策略庫(kù)����;3)由于Skype除了與超級(jí)節(jié)點(diǎn)或普通客戶端通信外,還與某些特殊節(jié)點(diǎn)通信����,如ES�、LS和ui.skype.com,因此��,也要將這三類地址和端口寫(xiě)入Skype IP+Port策略庫(kù)�����;
4)判斷每一個(gè)數(shù)據(jù)包����,無(wú)論是TCP數(shù)據(jù)包還是UDP數(shù)據(jù)包,只要源地址+源端口或者目的地址+目的端口中有一個(gè)在Skype IP+Port策略庫(kù)中��,則可以判定該數(shù)據(jù)包為Skype應(yīng)用。
4���、識(shí)別策略的部署基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別一方面要對(duì)采集到的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)��,生成識(shí)別策略�;另一方面要利用生成的識(shí)別策略對(duì)采集到的數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)流量識(shí)別�,從而對(duì)各種不同的應(yīng)用進(jìn)行不同的統(tǒng)計(jì)分析與處理。兩者是并行處理的�,即網(wǎng)絡(luò)流量識(shí)別以動(dòng)態(tài)識(shí)別策略為識(shí)別依據(jù),從而保證識(shí)別的準(zhǔn)確性和可擴(kuò)展性��。策略部署模型見(jiàn)附圖2所示��,其中主要包括數(shù)據(jù)采集�、數(shù)據(jù)統(tǒng)計(jì)、策略生成���、業(yè)務(wù)識(shí)別���、業(yè)務(wù)分流、業(yè)務(wù)統(tǒng)計(jì)����、業(yè)務(wù)處理幾個(gè)功能模塊��,另外包括識(shí)別策略�、業(yè)務(wù)和業(yè)務(wù)處理策略三個(gè)數(shù)據(jù)庫(kù)����。
以下通過(guò)一個(gè)簡(jiǎn)單的實(shí)例來(lái)說(shuō)明該識(shí)別策略的工作過(guò)程可以將該識(shí)別策略與識(shí)別系統(tǒng)模型應(yīng)用于企業(yè)網(wǎng)或某電信網(wǎng)的網(wǎng)絡(luò)流量管理設(shè)備,設(shè)備串接部署在網(wǎng)絡(luò)出口���,該網(wǎng)絡(luò)所有網(wǎng)絡(luò)傳輸數(shù)據(jù)都要經(jīng)過(guò)該流管設(shè)備進(jìn)行流量控制再進(jìn)行傳輸���。參考附圖2,系統(tǒng)工作過(guò)程描述如下1)進(jìn)入設(shè)備的數(shù)據(jù)一方面由數(shù)據(jù)采集模塊進(jìn)入數(shù)據(jù)統(tǒng)計(jì)模塊���,對(duì)各用戶的各種網(wǎng)絡(luò)應(yīng)用進(jìn)行相關(guān)數(shù)據(jù)流特性與靜荷特性的統(tǒng)計(jì)���;2)根據(jù)1)獲得的各種應(yīng)用的各種統(tǒng)計(jì)特性由策略生成模塊生成各種網(wǎng)絡(luò)流量的識(shí)別策略���,并生成識(shí)別策略數(shù)據(jù)庫(kù)�;3)與1)相對(duì)應(yīng)����,另一方面��,進(jìn)入設(shè)備的數(shù)據(jù)利用業(yè)務(wù)識(shí)別模塊根據(jù)根據(jù)識(shí)別策略數(shù)據(jù)庫(kù)進(jìn)行業(yè)務(wù)識(shí)別����,并通過(guò)業(yè)務(wù)分流模塊將數(shù)據(jù)根據(jù)識(shí)別出的業(yè)務(wù)類型進(jìn)行相應(yīng)的處理�����;4)通過(guò)3)進(jìn)行業(yè)務(wù)分流之后�����,一方面根據(jù)業(yè)務(wù)數(shù)據(jù)庫(kù)利用業(yè)務(wù)統(tǒng)計(jì)模塊進(jìn)行傳輸業(yè)務(wù)的統(tǒng)計(jì)分析�,另一方面利用業(yè)務(wù)處理模塊根據(jù)業(yè)務(wù)處理策略對(duì)相應(yīng)業(yè)務(wù)的數(shù)據(jù)進(jìn)行適當(dāng)?shù)膸挕?yōu)先級(jí)分配�、數(shù)據(jù)丟棄等各種處理。
設(shè)備接入網(wǎng)絡(luò)并開(kāi)始工作后�����,能夠動(dòng)態(tài)統(tǒng)計(jì)并生成業(yè)務(wù)識(shí)別策略���,并按照生成的業(yè)務(wù)識(shí)別策略進(jìn)行業(yè)務(wù)流量識(shí)別�,最終按不同業(yè)務(wù)處理策略實(shí)現(xiàn)有效的網(wǎng)絡(luò)流量管理與控制���。
權(quán)利要求
1.一種基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略��,其特征在于斯蓋普應(yīng)用識(shí)別策略包括基于流統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略���、基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略�����、基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略及策略部署��;其中�,基于綜合統(tǒng)計(jì)特征的應(yīng)用識(shí)別策略綜合了前面兩種識(shí)別策略�,綜合運(yùn)用Skype的流統(tǒng)計(jì)特征和靜荷統(tǒng)計(jì)特征進(jìn)行識(shí)別,識(shí)別策略為1)根據(jù)UDP靜荷中遠(yuǎn)端IP字節(jié)所對(duì)應(yīng)的IP與該數(shù)據(jù)包的遠(yuǎn)端IP一致�,確定該UDP數(shù)據(jù)包為Skype數(shù)據(jù),從而獲得本地Skype端口����;2)將所有與本地Skype端口對(duì)應(yīng)的UDP數(shù)據(jù)包的遠(yuǎn)端IP和端口寫(xiě)入SkypeIP+Port策略庫(kù)����;3)由于Skype除了與超級(jí)節(jié)點(diǎn)或普通客戶端通信外,還與某些特殊節(jié)點(diǎn)通信��,如ES、LS和ui.skype.com���,因此�,也要將這三類地址和端口寫(xiě)入Skype IP+Port策略庫(kù)���;4)判斷每一個(gè)數(shù)據(jù)包�����,無(wú)論是TCP數(shù)據(jù)包還是UDP數(shù)據(jù)包���,只要源地址+源端口或者目的地址+目的端口中有一個(gè)在Skype IP+Port策略庫(kù)中,則可以判定該數(shù)據(jù)包為Skype應(yīng)用����。
2.根據(jù)權(quán)利要求1所述的基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略,其特征在于對(duì)基于流統(tǒng)計(jì)特征的識(shí)別策略��,有以下幾種二元組合策略1)本地端口的遠(yuǎn)端IP數(shù)利用本地Skype客戶端端口在較短時(shí)間內(nèi)與多臺(tái)遠(yuǎn)程主機(jī)進(jìn)行數(shù)據(jù)傳輸?shù)奶匦?�,?duì)本地端口所連接主機(jī)數(shù)目進(jìn)行統(tǒng)計(jì)�,篩選連接主機(jī)頻率較高的本地端口�;2)遠(yuǎn)端IP的協(xié)議類型數(shù)統(tǒng)計(jì)同時(shí)使用TCP和UDP的源-目的IP對(duì)�,去掉那些已知的正常業(yè)務(wù)��,對(duì)非常規(guī)業(yè)務(wù)進(jìn)行準(zhǔn)確識(shí)別�����。3)遠(yuǎn)端UDP端口的本地端口數(shù)通過(guò)對(duì)和遠(yuǎn)程某個(gè)端口利用UDP連接的本地端口以及本地端口數(shù)的統(tǒng)計(jì)�����,在上一步的基礎(chǔ)上進(jìn)一步從遠(yuǎn)端主機(jī)端口的角度進(jìn)行應(yīng)用識(shí)別�����,對(duì)于某個(gè)遠(yuǎn)端主機(jī)端口�,根據(jù)所連接的本地端口中是否包含上一步中統(tǒng)計(jì)所得的非常規(guī)端口,判斷出該遠(yuǎn)端端口上的應(yīng)用與本地非常規(guī)端口對(duì)應(yīng)的業(yè)務(wù)是否相同�。4)同一IP對(duì)間遠(yuǎn)端端口的協(xié)議數(shù)結(jié)合1)的策略,對(duì)于與本地非正常業(yè)務(wù)端口連接的主機(jī)��,如果遠(yuǎn)端端口同時(shí)既使用TCP協(xié)議�����,又使用UDP協(xié)議���,則可以初步判定為Skype業(yè)務(wù)���。
3.根據(jù)權(quán)利要求1所述的基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略,其特征在于基于靜荷統(tǒng)計(jì)特征的識(shí)別策略根據(jù)對(duì)Skype數(shù)據(jù)包中的靜荷的統(tǒng)計(jì)分析����,不斷收集Skype數(shù)據(jù)包中的靜荷特征,生成Skype靜荷特征集合�,制定基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略,對(duì)每一個(gè)數(shù)據(jù)包�,只要其中包含靜荷特征集合的特征字符串,便可判定為Skype應(yīng)用��。根據(jù)Skype靜荷中某些字節(jié)與數(shù)據(jù)報(bào)頭某些參數(shù)具有對(duì)應(yīng)關(guān)系特征���,通過(guò)驗(yàn)證靜荷中是否存在該對(duì)應(yīng)關(guān)系來(lái)判斷是否是Skype應(yīng)用�。
4.根據(jù)權(quán)利要求1所述的基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略���,其特征在于基于綜合統(tǒng)計(jì)特征的識(shí)別策略的具體部署方法為1)進(jìn)入設(shè)備的數(shù)據(jù)一方面由數(shù)據(jù)采集模塊進(jìn)入數(shù)據(jù)統(tǒng)計(jì)模塊�,對(duì)各用戶的各種網(wǎng)絡(luò)應(yīng)用進(jìn)行相關(guān)數(shù)據(jù)流特性與靜荷特性的統(tǒng)計(jì)���;2)根據(jù)1)獲得的各種應(yīng)用的各種統(tǒng)計(jì)特性由策略生成模塊生成各種網(wǎng)絡(luò)流量的識(shí)別策略�����,并生成識(shí)別策略數(shù)據(jù)庫(kù)�����;3)與1)相對(duì)應(yīng)�,另一方面,進(jìn)入設(shè)備的數(shù)據(jù)利用業(yè)務(wù)識(shí)別模塊根據(jù)根據(jù)識(shí)別策略數(shù)據(jù)庫(kù)進(jìn)行業(yè)務(wù)識(shí)別�,并通過(guò)業(yè)務(wù)分流模塊將數(shù)據(jù)根據(jù)識(shí)別出的業(yè)務(wù)類型進(jìn)行相應(yīng)的處理;4)通過(guò)3)進(jìn)行業(yè)務(wù)分流之后����,一方面根據(jù)業(yè)務(wù)數(shù)據(jù)庫(kù)利用業(yè)務(wù)統(tǒng)計(jì)模塊進(jìn)行傳輸業(yè)務(wù)的統(tǒng)計(jì)分析,另一方面利用業(yè)務(wù)處理模塊根據(jù)業(yè)務(wù)處理策略對(duì)相應(yīng)業(yè)務(wù)的數(shù)據(jù)進(jìn)行適當(dāng)?shù)膸?����、?yōu)先級(jí)分配�����、數(shù)據(jù)丟棄等各種處理����。
全文摘要
基于綜合統(tǒng)計(jì)特征的斯蓋普流量識(shí)別策略是結(jié)合Skype流統(tǒng)計(jì)特征識(shí)別策略與靜荷統(tǒng)計(jì)特征識(shí)別策略����,準(zhǔn)確識(shí)別Skype流量的流量�����。斯蓋普應(yīng)用識(shí)別策略包括基于流統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略��、基于靜荷統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略���、基于綜合統(tǒng)計(jì)特征的Skype應(yīng)用識(shí)別策略及策略部署;其中�,基于綜合統(tǒng)計(jì)特征的應(yīng)用識(shí)別策略綜合了前面兩種識(shí)別策略,結(jié)合Skype流統(tǒng)計(jì)特征識(shí)別策略與靜荷統(tǒng)計(jì)特征識(shí)別策略���,實(shí)現(xiàn)Skype流量的準(zhǔn)確識(shí)別��。
文檔編號(hào)H04L29/06GK1838613SQ200610039058
公開(kāi)日2006年9月27日 申請(qǐng)日期2006年3月24日 優(yōu)先權(quán)日2006年3月24日
發(fā)明者張順頤, 王振華, 饒翔, 孫雁飛, 王攀 申請(qǐng)人:南京郵電大學(xué)