亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種p2p軟件監(jiān)測方法及系統(tǒng)的制作方法

文檔序號:7665301閱讀:193來源:國知局
專利名稱:一種p2p軟件監(jiān)測方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及可用于入侵檢測防御(IDS/IPS)產(chǎn)品中的對于某些P2P下載軟件 及網(wǎng)絡(luò)直播軟件的一種P2P軟件監(jiān)測方法及系統(tǒng),它依據(jù)網(wǎng)絡(luò)數(shù)據(jù)流中報文所帶 有的特定行為特征對其進行精確識別及阻斷,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù)
入侵檢測/防御系統(tǒng)(Intrusion Detection/Protection System, IDS/IPS) 作為網(wǎng)絡(luò)安全防護的重要手段,通常部署在關(guān)鍵網(wǎng)絡(luò)內(nèi)部/網(wǎng)絡(luò)邊界入口處,實 時捕獲網(wǎng)絡(luò)內(nèi)或進出網(wǎng)絡(luò)的報文數(shù)據(jù)流并進行智能綜合分析,發(fā)現(xiàn)可能的入侵 行為并進行實時阻斷。百前絕大多數(shù)入侵檢測產(chǎn)品或系統(tǒng)當中采用端口定位(例 如Emule使用4662端口、 BT使用6881-6889端口等)或靜態(tài)協(xié)議特征(如產(chǎn)品 L7-filter, Cisco's PDML, Juniper's netscreen-IDP等系統(tǒng))識別的方式進 行協(xié)議的識別從而進行進一步的檢測或阻斷。但是隨著網(wǎng)絡(luò)通信協(xié)議的發(fā)展, 協(xié)議的設(shè)計日趨復(fù)雜化,所使用的技術(shù)越來越多樣化,單純的依賴端口定位或 靜態(tài)協(xié)議特征識別的方式往往無法準確的識別網(wǎng)絡(luò)通信當中所使用的協(xié)議類型 以及使用該應(yīng)用具體行為階段,例如某些P2P下載軟件和網(wǎng)絡(luò)直播軟件采用動 態(tài)端口協(xié)商或者復(fù)用公開協(xié)議端口 (如迅雷、BT等),使得單純的基于端口的識 別和阻斷變得不準確。又如很多的P2P下載和網(wǎng)絡(luò)直播軟件同時支持TCP和UDP 傳輸方式。尤其在TCP傳輸過程當中如果沒有截獲最初建立鏈接過程的數(shù)據(jù)包, 則在后續(xù)的傳輸過程當中不包含明顯的協(xié)議特征。這給精確檢測及阻斷帶來了 前所未有的困難。此外很多的入侵檢測或防御系統(tǒng)采用單一的阻斷模式即在端 口匹配或靜態(tài)特征匹配的情況下實施數(shù)據(jù)包丟棄等方式的阻斷(例如在匹配了 某些靜態(tài)特征時采用四元組源IP、目的IP、源端口、目的端口進行連接阻斷)。而在實際網(wǎng)絡(luò)環(huán)境當中,很多的軟件可以自動的調(diào)整端口 (例如在P2P下載當 中進行文件續(xù)傳的時候)這使得原本應(yīng)阻斷的連接依然可以使用。在這些情況 下單純依賴端口定位或靜態(tài)報文特征往往不能準確識別并阻斷相應(yīng)的網(wǎng)絡(luò)行為
給精確的入侵檢測或防御帶來非常大的困難。
目前日益廣泛使用的P2P應(yīng)用(包括文件下載及網(wǎng)絡(luò)直播等)己經(jīng)成為了 未來網(wǎng)絡(luò)發(fā)展的趨勢,并且P2P應(yīng)用在實際網(wǎng)絡(luò)流量當中占據(jù)了越來越多的部 分。很多的用戶及企事業(yè)單位對于P2P協(xié)議與軟件使用的準確識別和阻斷提出 了很高的要求,這使得基于原有的端口定位或靜態(tài)報文特征匹配識別變得不準 確。目前通常所使用的大多數(shù)入侵檢測或?qū)徲嬒到y(tǒng)當中對于P2P協(xié)議的識別都 是基于端口定位或靜態(tài)報文特征匹配的,而具有完善靈活的根據(jù)P2P協(xié)議運行 不同階段進行不同策略的阻斷功能的產(chǎn)品是非常缺乏的。注意到該類軟件在運 行過程當中具有類似的模式,即先登錄服務(wù)器,獲得Peer列表,與Peer進行連 接,進行文件傳輸或網(wǎng)絡(luò)直播等操作。在此過程當中可能使用TCP或UDP進行 相應(yīng)傳輸。而在這類的軟件使用過程當中在不同的階段分別具有相應(yīng)的靜態(tài)特 征或流量特征,例如在登錄服務(wù)器階段包含明顯的協(xié)議靜態(tài)特征以聲明具體的 軟件使用,在傳輸階段具有明顯的行為特征或流量特征。因此,依賴于不同階 段的不同特征對于這類軟件進行精確識別和阻斷是可能的。從而有必要發(fā)展一 種基于不同階段不同特征的P2P軟件和網(wǎng)絡(luò)直播軟件的分策略的精確識別和阻 斷技術(shù)。該P2P準確識別即阻斷技術(shù)必須滿足以下要求
盡可能多的準確識別通信過程中P2P軟件的應(yīng)用及所處階段以提高入侵檢 測或阻斷系統(tǒng)的協(xié)議識別準確性;
對于不同P2P應(yīng)用所處特定階段采用不同的檢測及阻斷策略盡可能準確的 進行特定行為的精確阻斷。
具有很好的可擴展性,對于某些新的P2P應(yīng)用以及已有協(xié)議軟件的新型應(yīng) 用具有靈活的可擴展性以擴大檢測或阻斷的范圍;
具有非常高的P2P應(yīng)用識別及阻斷效率,算法實現(xiàn)盡可能簡單; 發(fā)明內(nèi)容為了克服現(xiàn)有對于P2P應(yīng)用識別及阻斷技術(shù)的不足,本發(fā)明提供一種P2P 軟件監(jiān)測方法及系統(tǒng)。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是
一種P2P軟件監(jiān)測方法,包括協(xié)議特征模型的建立、應(yīng)用階段識別定位、相
應(yīng)阻斷策略實施三個階段步驟,
其中,所述的協(xié)議特征模型的建立階段步驟主要包括具體P2P應(yīng)用數(shù)據(jù)包靜 態(tài)特征提取、行為特征提取和流量特征模型的建立;
應(yīng)用階段識別定位主要是通過在實際網(wǎng)絡(luò)通信過程中獲取的數(shù)據(jù)報文通過 協(xié)議特征匹配來判斷目前該P2P應(yīng)用所處的運行狀態(tài)(如登錄服務(wù)器、獲得節(jié) 點列表、文件傳輸?shù)鹊?;
在相應(yīng)阻斷策略實施階段針對識別的P2P具體應(yīng)用運行階段采取相應(yīng)的阻斷 策略(如針對四元組阻斷或IP阻斷等等)。
所述的協(xié)議特征模型的建立階段步驟有協(xié)議特征模型的建立方法如下
對于已知的P2P協(xié)議應(yīng)用首先提取運行過程中數(shù)據(jù)報文當中包含的特定協(xié)議 靜態(tài)特征以此建立相應(yīng)的P2P應(yīng)用靜態(tài)特征模型(如在具體應(yīng)用當中客戶端軟 件登錄服務(wù)器時一般都帶有特定的協(xié)議頭標識,此時需要注意同時提取TCP報 文及UDP報文特征,因為大部分的P2P應(yīng)用同時支持這兩種傳輸方式);其次提 取協(xié)議運行特定階段的行為特征,將這些行為特征作為識別該P2P應(yīng)用特定步 驟的判別規(guī)則,并以此為依據(jù)建立該P2P應(yīng)用的行為特征模型(如在客戶端發(fā)送 peer請求,服務(wù)器返回peer列表階段);最后針對具體P2P應(yīng)用在實際使用過 程當中出現(xiàn)的流量特征建立流量模型(如TCP傳輸過程當中不具備靜態(tài)特征和 行為特征,但此時的應(yīng)用流量有異于正常網(wǎng)絡(luò)使用),在此階段建立的模型主要 作為不具備特定靜態(tài)特征和行為特征時進行P2P應(yīng)用識別的標準。 所述的應(yīng)用階段識別定位階段具有如下步驟
將實際捕獲的通信報文作為輸入,結(jié)合在協(xié)議特征模型建立階段建立的協(xié)議
7靜態(tài)特征、行為特征以及流量特征,采用多模式匹配算法定位該數(shù)據(jù)包在該P2P 應(yīng)用中所處的階段狀態(tài),以確定目前該P2P應(yīng)用所處的階段(如登錄服務(wù)器、 獲取列表或文件傳輸階段)以確定在阻斷實施步驟當中采取的阻斷策略。
所述的相應(yīng)阻斷策略實施階段
此階段以應(yīng)用識別定位階段的輸出作為關(guān)聯(lián)標準,對于特定P2P行為的特 定運行階段建立不同的阻斷策略并實施相應(yīng)的阻斷。例如在P2P應(yīng)用登錄服務(wù) 器階段發(fā)現(xiàn)了 TCP靜態(tài)報文特征或UDP報文特征可以采用四元組匹配方式,對 于TCP連接可以向客戶端及服務(wù)器端發(fā)送RST報文重置連接并丟棄相應(yīng)的TCP 包,對于UDP報文可直接采用四元組匹配方式對相應(yīng)報文進行丟棄。又如在應(yīng) 用識別定位階段通過行為特征匹配或流量特征匹配確定某P2P應(yīng)用正在進行文 件傳輸,對于UDP報文一般包含靜態(tài)特征,對于相應(yīng)的應(yīng)用報文直接丟棄。對 于TCP連接由于不再具有靜態(tài)特征可以進行IP阻斷或流量限制。
一種P2P軟件監(jiān)測系統(tǒng),包括相應(yīng)P2P應(yīng)用靜態(tài)特征庫、行為特征模型 庫、流量特征模型庫、具體應(yīng)用運行狀態(tài)定位匹配模塊、分階段阻斷策略庫、 具體阻斷策略實施模塊。
存儲了根據(jù)實際數(shù)據(jù)報文提取的不同P2P應(yīng)用運行過程當中的傳輸報文當 中具有的特征的相應(yīng)P2P靜態(tài)特征庫;
存儲了根據(jù)不同P2P應(yīng)用運行過程提取的特定行為動作特征序列的行為特 征庫;
存儲了不同的P2P應(yīng)用運行過程當中網(wǎng)絡(luò)實際流量異于正常流量的特征的 流量特征庫;
負責(zé)根據(jù)建立的靜態(tài)特征庫、行為特征模型以及流量特征模型和實際捕獲 的數(shù)據(jù)包定位當前報文在該P2P應(yīng)用當中所處的應(yīng)用階段的具體應(yīng)用運行狀態(tài) 定位匹配模塊;
存儲了根據(jù)不同的P2P應(yīng)用當中特定的運行階段需要采用的不同阻斷策略的分階段阻斷策略庫;
根據(jù)目前收到的報文所處的運行狀態(tài)及相應(yīng)的阻斷策略進行實施阻斷的具 體阻斷策略實施模塊。
其中P2P靜態(tài)特征庫、行為特征庫、流量特征庫均與具體應(yīng)用運行狀態(tài)定位 匹配模塊連接,為具體應(yīng)用運行狀態(tài)定位匹配模塊提供運行狀態(tài)定位的特征模 型;具體應(yīng)用運行狀態(tài)定位匹配模塊與具體阻斷策略實施模塊相連為具體阻斷 策略實施模塊提供進行實際阻斷的對象;分階段阻斷策略庫也與具體阻斷策略 實施模塊相連,根據(jù)具體的運行狀態(tài)定位為實際阻斷提供阻斷策略。
本發(fā)明的有益效果是,本發(fā)明解決了傳統(tǒng)IDS/IPS產(chǎn)品中對于P2P應(yīng)用部分 僅僅依賴于端口定位或靜態(tài)報文特征進行模式匹配的準確性問題以及進行單一 策略阻斷產(chǎn)生的錯誤問題。對于某些復(fù)用公開協(xié)議端口、使用動態(tài)端口或不具 備明顯靜態(tài)報文特征的P2P應(yīng)用可以大大提高協(xié)議識別的準確性,采用了多種特 征識別方式使得在P2P應(yīng)用某些特定階段(如TCP傳輸)依然可以有效的進行識. 別。同時在準確識別并定位協(xié)議運行狀態(tài)的基礎(chǔ)之上采用了分策略阻斷的方式 對不用的運行階段進行不同的阻斷方式可以有效的避免單一阻斷策略帶來的漏 報和誤報的問題(如續(xù)傳或TCP傳輸過程當中的阻斷)。此外在進行P2P應(yīng)用特征 模型建立的過程當中采用統(tǒng)一的形式化描述標準,使得對于新的P2P協(xié)議、軟件 或新型應(yīng)用進行擴展相當?shù)暮唵魏头奖?,在進行特征模型添加及擴展的時候無 需對系統(tǒng)進行大的改動,可廣泛應(yīng)用于IDS/IPS網(wǎng)絡(luò)安全產(chǎn)品中。


下面結(jié)合附圖和實施例對本發(fā)明進一步說明。 圖1為本發(fā)明的P2P應(yīng)用識別及阻斷系統(tǒng)示意圖; 圖2為Emule靜態(tài)特征示例圖; 圖3為網(wǎng)易popo行為特征提取示例圖; 圖4為具體P2P進行三種特征匹配識別模塊流程圖;圖5為分策略阻斷模塊工作流程圖。
具體實施例方式
本發(fā)明所述P2P軟件監(jiān)測方法主要包括協(xié)議特征模型的建立、應(yīng)用階段識別
定位、相應(yīng)阻斷策略實施三個工作階段。各階段步驟如下(見圖l):
A. 協(xié)議特征模型的建立階段;
首先挖掘數(shù)據(jù)報文具有的具體P2P運行過程傳輸?shù)臄?shù)據(jù)報文當中的靜態(tài)特
征,此階段包括所有的該P2P運行的協(xié)議頭標識、特定字段值、使用端口等等
(如特定字段長度等等)。
B. 應(yīng)用階段識別定位;
在建立起相關(guān)協(xié)議特征模型(包括靜態(tài)特征、行為特征和流量特征)之后, 將這些特征模型存儲于相應(yīng)的模型庫中。在實際通信階段,通過捕獲的實際網(wǎng) 絡(luò)報文當中包含的各種特征信息采用多模式匹配算法進行模式匹配來唯一的確
定運行的具體P2P應(yīng)用及該報文所標識的實際會話當中的當前狀態(tài)。例如在BT 協(xié)議使用過程當中,發(fā)現(xiàn)截獲的數(shù)據(jù)報文中包含大量以Bittorrent特征開頭的 報文,同時包含相同源IP地址發(fā)往不同目的IP地址的UDP報文,且這些報文 符合BT行為特征模型中某一步驟的特征(如數(shù)據(jù)包包含字段BitTirent及大量 字段"peer: xxx. xxx. xxx. xxx)則可以定位該數(shù)據(jù)包為BT應(yīng)用并且目前正處 于客戶端連接其它有效客戶端階段。并且下一步的行為很可能為文件傳輸。 C.相應(yīng)阻斷策略實施;
根據(jù)上一階段定位的具體P2P應(yīng)用的狀態(tài)信息首先制定相應(yīng)的阻斷策略, 以確保該策略可以在該具體P2P應(yīng)用狀態(tài)階段中可以實施有效的阻斷。例如, 如果可以定位目前的P2P應(yīng)用為emule使用TCP連接在登錄服務(wù)器階段則可以 制定阻斷策略為將該數(shù)據(jù)包中包含的四元組(源IP、目的IP、源端口、目的端 口 )為標準的TCP連接進行RST,從而可以有效的阻斷emule客戶端和服務(wù)器的 連接。又如如果可以依賴流量特征定位目前的P2P應(yīng)為為emule并且已經(jīng)處于TCP文件傳輸階段,則可以制定阻斷策略為將具有該特征的所有TCP連接當中包 含的二元組(源IP、目的IP)為標準進行IP阻斷。因為在TCP傳輸過程當中 端口是可變的,因此采用四元組的阻斷是不準確的。
本系統(tǒng)中采用的算法
1多模式匹配算法;
在進行P2P應(yīng)用階段識別定位階段本方法采用多模式匹配算法根據(jù)已經(jīng)建 立的P2P應(yīng)用特征模型當中的靜態(tài)特征、行為特征以及流量特征作為匹配模式, 以實際捕獲的數(shù)據(jù)包作為匹配的樣本進行多模式匹配,準確的定位實際捕獲的 數(shù)據(jù)包采用的P2P協(xié)議及當前應(yīng)用所處狀態(tài)。 2.具體阻斷實施策略關(guān)聯(lián)算法; 以P2P應(yīng)用階段識別定位階段的輸出(即當前應(yīng)用狀態(tài))作為輸入,算法 輸出對應(yīng)該階段進行精確阻斷所對應(yīng)的阻斷策略。這里要求對于每一個輸入狀 態(tài),算法的輸出策略也是唯一確定的。并且該輸出對應(yīng)于阻斷策略庫中的各種 阻斷策略。
實施例1.在上述A.協(xié)議特征模型的建立階段;有Edonkey2000的協(xié)議靜態(tài) 特征提取步驟,見圖2;
1) E3 96 FF F0載荷長度6
2) E3 A2 FF F0載荷長度6
3) E3 97 載荷長度34
4) E3 9A 載荷長度18
5) E3 92 載荷長度10
類似于上述實施例,可以對于每一種P2P應(yīng)用具體應(yīng)用當中傳輸?shù)臄?shù)據(jù)包 進行靜態(tài)特征的提取,并以此建立對應(yīng)P2P應(yīng)用的靜態(tài)特征模型
其次挖掘?qū)嶋HP2P應(yīng)用運行過程中具有的關(guān)聯(lián)行為特征序列,此階段包括所有的該P2P運行過程當中能夠標識協(xié)議特定階段的動作行為序列(如客戶端發(fā) 送Peer請求,服務(wù)器回應(yīng)Peer列表等等)。
實施例2:在上述B.應(yīng)用階段識別定位步驟有網(wǎng)易popo登錄階段行為特
征狀態(tài)模型建立步驟-
1) 客戶端與服務(wù)器端進行TCP握手連接(一般是220. 181.28.238:443)
2) 使用SSL協(xié)議協(xié)商此后通信中使用的會話密鑰(客戶端發(fā)出一個 Clienth*llo來發(fā)起握手,這個消息里面包含了自己可實現(xiàn)的算法列 表和其它一些需要的消息,SSL的服務(wù)器端會回應(yīng)一個ServerhWlo, 這里面確定了這次通信所需要的算法,然后發(fā)過去自己的證書(里面 包含了身份和自己的公鑰)。Client在收到這個消息后會生成一個秘 密消息,用SSL服務(wù)器的公鑰加密后傳過去,SSL服務(wù)器端用自己的 私鑰解密后,會話密鑰協(xié)商成功,雙方可以用同一份會話密鑰來通信 了。
3) 服務(wù)器端告知客戶端可用服務(wù)器地址列表(通常為220. 181. 28. 238)
4) 客戶端連接可用服務(wù)器獲得相關(guān)服務(wù)。(見圖3) 最后還要建立相關(guān)的特定P2P應(yīng)用的流量特征模型。此階段包括該P2P應(yīng)用
實際運行過程當中各種實際流量特征。如在采用UDP傳輸時會有大量的具有相 同數(shù)據(jù)報頭的數(shù)據(jù)包從單一的源IP流向大量的目的IP。在采用TCP傳輸?shù)臅r候 可以設(shè)定為單位時間內(nèi)從單一的源IP發(fā)出流向大量目的IP的長度相同的數(shù)據(jù) 報文。
本P2P軟件監(jiān)測系統(tǒng)包括存儲了根據(jù)實際數(shù)據(jù)報文提取的不同P2P應(yīng)用運 行過程當中的傳輸報文當中具有的特征的相應(yīng)P2P靜態(tài)特征庫;存儲了根據(jù)不 同P2P應(yīng)用運行過程提取的特定行為動作特征序列的行為特征庫;存儲了不同 的P2P應(yīng)用運行過程當中網(wǎng)絡(luò)實際流量異于正常流量的特征的流量特征庫;負責(zé)根據(jù)建立的靜態(tài)特征庫、行為特征模型以及流量特征模型和實際捕獲的數(shù)據(jù)
包定位當前報文在該P2P應(yīng)用當中所處的應(yīng)用階段的具體應(yīng)用運行狀態(tài)定位匹 配模塊;存儲了根據(jù)不同的P2P應(yīng)用當中特定的運行階段需要采用的不同阻斷 策略的分階段阻斷策略庫;根據(jù)目前收到的報文所處的運行狀態(tài)及相應(yīng)的阻斷 策略進行實施阻斷的具體阻斷策略實施模塊。
其中,P2P靜態(tài)特征庫存儲了不同P2P應(yīng)用運行過程當中的傳輸報文當中具 有的靜態(tài)特征;行為特征庫存儲了存儲了根據(jù)不同P2P應(yīng)用運行過程提取的特 定行為動作特征序列;流量特征庫存儲了不同的P2P應(yīng)用運行過程當中網(wǎng)絡(luò)實 際流量異于正常流量的特征;具體應(yīng)用運行狀態(tài)定位匹配模塊實現(xiàn)了對當前報 文在該P2P應(yīng)用當中所處的應(yīng)用階段的具體應(yīng)用運行狀態(tài)的定位功能;分階段 阻斷策略庫存儲了根據(jù)不同的P2P應(yīng)用當中特定的運行階段需要采用的不同阻 斷策略;具體阻斷策略實施模塊實現(xiàn)了根據(jù)目前收到的報文所處的運行狀態(tài)及 相應(yīng)的阻斷策略進行實施阻斷的功能。
本P2P軟件監(jiān)測系統(tǒng),其特征在于包括靜態(tài)特征庫、行為特征庫、流量特 征庫、具體應(yīng)用運行狀態(tài)定位匹配模塊、分階段阻斷策略庫以及具體阻斷策略 實施模塊;所述的靜態(tài)特征庫、行為特征庫、流量特征庫與具體應(yīng)用運行狀態(tài) 定位匹配模塊連接;所述的具體應(yīng)用運行狀態(tài)定位匹配模塊和分階段阻斷策略 庫與具體阻斷策略實施模塊連接。
權(quán)利要求
1. 一種P2P軟件監(jiān)測方法,其特征在于包括協(xié)議特征模型的建立階段步驟;應(yīng)用階段識別定位階段步驟;相應(yīng)阻斷策略實施階段步驟。
2. 如權(quán)利要求1所述的一種P2P軟件監(jiān)測方法,其特征在于所述協(xié)議特 征模型建立階段包含靜態(tài)特征提取、行為特征提取和流量特征提取三個子步驟。
3. 如權(quán)利要求2所述的一種P2P軟件監(jiān)測方法,其特征在于靜態(tài)特征提 取的子步驟為;依據(jù)實際P2P應(yīng)用傳輸?shù)臄?shù)據(jù)包當中盡可能多的提取具有代表性的靜態(tài)特 征,并建立協(xié)議靜態(tài)特征模型; 或行為特征提取子步驟為;依據(jù)實際P2P應(yīng)用傳輸?shù)臄?shù)據(jù)包當中攜帶的控制信息等提取特定P2P協(xié)議特 定運行狀態(tài)的行為特征,并依照運行過程個步驟的行為特征建立協(xié)議行為特征 模型?;蛄髁刻卣魈崛∽硬襟E為; 依據(jù)實際P2P應(yīng)用實際傳輸過程當中的流量狀況對比正常網(wǎng)絡(luò)環(huán)境的流量模 型進行該P2P應(yīng)用的流量特征提取,并建立相應(yīng)的流量特征模型。
4. 如權(quán)利要求1所述的一種P2P軟件監(jiān)測方法,其特征在于應(yīng)用階段 識別定位階段,依賴于己建立的協(xié)議特征模型采用多模式匹配算法定位實際采 集的數(shù)據(jù)報文所屬協(xié)議及在協(xié)議運行中所處狀態(tài)。
5. 如權(quán)利要求1所述的一種P2P軟件監(jiān)測方法,其特征在于所述相應(yīng) 阻斷策略實施階段包括阻斷策略建立及阻斷實施兩個子步驟。
6. 如權(quán)利要求5所述的一種P2P軟件監(jiān)測方法,其特征在于阻斷策略 建立子步驟為對于具體P2P應(yīng)用所處特定階段,結(jié)合具體情況制定相應(yīng)的有效阻斷策略并建立相應(yīng)的阻斷策略庫,同時使用關(guān)聯(lián)算法將具體P2P應(yīng)用不同階 段定位對應(yīng)于不同的阻斷策略。
7.如權(quán)利要求5所述的一種P2P軟件監(jiān)測方法,其特征在于阻斷實施 子步驟為;對于實際網(wǎng)絡(luò)環(huán)境當中能夠準確識別的P2P應(yīng)用通過關(guān)聯(lián)算法給出的阻斷 策略進行相應(yīng)的阻斷實施。
8. —種P2P軟件監(jiān)測系統(tǒng),其特征在于包括存儲了根據(jù)實際數(shù)據(jù)報文提取的不同P2P應(yīng)用運行過程當中的傳輸報文當 中具有的特征的相應(yīng)P2P靜態(tài)特征庫;存儲了根據(jù)不同P2P應(yīng)用運行過程提取的特定行為動作特征序列的行為特 征庫;存儲了不同的P2P應(yīng)用運行過程當中網(wǎng)絡(luò)實際流量異于正常流量的特征的 流量特征庫; ,負責(zé)根據(jù)建立的靜態(tài)特征庫、行為特征模型以及流量特征模型和實際捕獲 的數(shù)據(jù)包定位當前報文在該P2P應(yīng)用當中所處的應(yīng)用階段的具體應(yīng)用運行狀態(tài) 定位匹配模塊;存儲了根據(jù)不同的P2P應(yīng)用當中特定的運行階段需要采用的不同阻斷策略的分階段阻斷策略庫;根據(jù)目前收到的報文所處的運行狀態(tài)及相應(yīng)的阻斷策略進行實施阻斷的具 體阻斷策略實施模塊;其中P2P靜態(tài)特征庫、行為特征庫、流量特征庫均與具體應(yīng)用運行狀態(tài)定位 匹配模塊連接,為具體應(yīng)用運行狀態(tài)定位匹配模塊提供運行狀態(tài)定位的特征模 型;具體應(yīng)用運行狀態(tài)定位匹配模塊與具體阻斷策略實施模塊相連為具體阻斷 策略實施模塊提供進行實際阻斷的對象;分階段阻斷策略庫也與具體阻斷策略 實施模塊相連,根據(jù)具體的運行狀態(tài)定位為實際阻斷提供阻斷策略。
9. 如權(quán)利要求8所述的一種P2P軟件監(jiān)測系統(tǒng),其特征在于包括 具體應(yīng)用運行狀態(tài)定位匹配模塊依賴于己建立的協(xié)議特征模型采用多模式匹配算法定位實際采集的數(shù)據(jù)報文所屬協(xié)議及在協(xié)議運行中所處狀態(tài);或具體阻斷策略實施模塊實現(xiàn)了阻斷策略的關(guān)聯(lián)及實際阻斷,對于具體P2P 應(yīng)用所處特定階段,結(jié)合具體情況制定相應(yīng)的有效阻斷策略并建立相應(yīng)的阻斷 策略庫,同時使用關(guān)聯(lián)算法將具體P2P應(yīng)用不同階段定位對應(yīng)于不同的阻斷策略;對于實際網(wǎng)絡(luò)環(huán)境當中準確識別的P2P應(yīng)用通過關(guān)聯(lián)算法給出的阻斷策略進行相應(yīng)的阻斷實施。
全文摘要
本發(fā)明涉及可用于網(wǎng)絡(luò)產(chǎn)品中的一種P2P軟件監(jiān)測方法和系統(tǒng)。能夠在網(wǎng)絡(luò)協(xié)議通信過程中根據(jù)實際抓獲的報文當中攜帶的信息進行各種協(xié)議特征提取并以此實現(xiàn)對P2P應(yīng)用的監(jiān)測,并能夠根據(jù)實際需要針對不同的運行狀態(tài)實施不同策略的阻斷。本方法及系統(tǒng)包括協(xié)議特征模型的建立、應(yīng)用階段識別定位、相應(yīng)阻斷策略實施三個階段。其中,所述的協(xié)議特征模型的建立制定具體P2P應(yīng)用特定狀態(tài)的匹配特征;應(yīng)用階段識別定位模塊以多模式匹配的方式實現(xiàn)對具體數(shù)據(jù)報文所屬應(yīng)用及協(xié)議狀態(tài)的定位;相應(yīng)阻斷策略模塊實現(xiàn)對于相關(guān)策略的建立、關(guān)聯(lián)及相應(yīng)的監(jiān)測功能。
文檔編號H04L12/24GK101442519SQ20071017790
公開日2009年5月27日 申請日期2007年11月22日 優(yōu)先權(quán)日2007年11月22日
發(fā)明者孫海波, 李永泉, 楊海青, 斌 胡, 駱擁政 申請人:北京啟明星辰信息技術(shù)股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1