專利名稱:一種基于ip地址隨機測度的p2p節(jié)點檢測方法
技術(shù)領(lǐng)域:
本發(fā)明屬于互聯(lián)網(wǎng)技術(shù)領(lǐng)域����,具體涉及一種P2P節(jié)點檢測方法。
背景技術(shù):
隨著因特網(wǎng)(Internet)的迅速發(fā)展�����,對等網(wǎng)絡(luò)(Peer-to-Peer,P2P)已成為 Internet上重要的應(yīng)用之一����。傳統(tǒng)文件下載或流媒體服務(wù)都是客戶端/服務(wù)器(C/S)模式, 即用戶連接服務(wù)器����,然后服務(wù)器以單播方式把數(shù)據(jù)推送給用戶。如果采用上述模式����,所有的 客戶端全部連接到同一臺服務(wù)器上,服務(wù)器的壓力會非常大���,影響了用戶的視聽效果����。內(nèi)容 分發(fā)網(wǎng)絡(luò)(Content Delivery Network�,CDN)技術(shù)雖然可以在一定程度上加速數(shù)據(jù)傳輸,但 其核心仍然是基于集中服務(wù)器的架構(gòu)�,在高峰時期對突發(fā)流量的適應(yīng)性、容錯性等方面仍 然存在一定缺陷��。P2P技術(shù)的引入帶來了新的機遇����。在P2P方式下���,每個對等實體(peer) 既是服務(wù)的提供者,又是服務(wù)的享用者�。通過將服務(wù)器的負載分散到眾多peer中,從而有 效地減輕服務(wù)器的負載和網(wǎng)絡(luò)帶寬占用�����?��;赑2P方式的數(shù)據(jù)傳輸?shù)难芯恳仓鸩揭鹆巳?們的重視�,相關(guān)技術(shù)或原型系統(tǒng)不斷出現(xiàn)��,如BitTorrent���,EMule,PPStream�����、PPLive等���。在 風(fēng)險投資的推動下��,已有多個商用系統(tǒng)投入運營�,2006中央電視臺春節(jié)聯(lián)歡晚會也開始使 用P2P流媒體技術(shù)對全球直播,使用P2P技術(shù)已經(jīng)成為網(wǎng)絡(luò)應(yīng)用發(fā)展的趨勢��。P2P應(yīng)用在不斷發(fā)展的同時�����,也給網(wǎng)絡(luò)管理帶來了許多新的問題��,主要表現(xiàn)為(1)P2P應(yīng)用消耗了大量帶寬P2P應(yīng)用帶來的最大問題是消耗了大量網(wǎng)絡(luò)帶寬�。有學(xué)者研究中國教育和科研計 算機網(wǎng)的主干流量發(fā)現(xiàn)P2P應(yīng)用已經(jīng)是網(wǎng)絡(luò)中的最大消費者;P2P流量已經(jīng)大大超過Web 流量�����;P2P流量還在繼續(xù)增長�。(2)版權(quán)糾紛P2P模式比C/S模式更加自由。在C/S模式下�,資源集中在服務(wù)器上,監(jiān)管好服務(wù) 器就能實現(xiàn)對知識產(chǎn)權(quán)的保護����。P2P模式下資源分散在用戶節(jié)點上�,任何人都可以向其他人 提供所需的信息��,使得音樂��、游戲��、軟件等數(shù)字產(chǎn)品版權(quán)難以控制����,讓開發(fā)商面臨巨大的損 失。(3)內(nèi)容監(jiān)控P2P下載中存在一些不良內(nèi)容�。如國內(nèi)大學(xué)里很流行的天網(wǎng)系統(tǒng),就被發(fā)現(xiàn)存在大 量色情的電影和圖片��。目前通過屏蔽敏感的關(guān)鍵字和關(guān)鍵詞�����,搜索引擎已經(jīng)不能搜索到這 些不健康的內(nèi)容�,然而使用P2P軟件不但能輕易地搜索出來,還不用擔(dān)心找不到資源無法 下載的問題����。(4)安全問題P2P是一種傳播信息的方式���。它允許單個用戶通過P2P網(wǎng)絡(luò)未經(jīng)檢驗地分發(fā)任何 內(nèi)容�。蠕蟲、病毒或其它的惡意代碼���,借助P2P強大的傳播能力�����,可以在一夜之間感染成千 上萬臺機器��,比一般的網(wǎng)絡(luò)傳播有效得多�����。另外���,P2P軟件可以穿透現(xiàn)有防火墻和安全代 理,從內(nèi)部打開企業(yè)網(wǎng)絡(luò)安全防護的漏洞��,使得各類病毒輕易進入企業(yè)����,同時也可能造成個
3人或企業(yè)私密泄漏。綜上所述�����,目前迫切需要有效的P2P管理技術(shù)以降低這些負面影響的危害程度。 其中����,如何準確識別網(wǎng)絡(luò)中P2P節(jié)點成為了 P2P管理中重要的問題。通過對國際上各種P2P流量檢測技術(shù)的調(diào)查發(fā)現(xiàn)�,目前各種P2P流量檢測技術(shù)可 以歸結(jié)為如下三類檢測技術(shù)基于端口的檢測技術(shù)(Port based Identification),深層數(shù) 據(jù)包檢測技術(shù)(DPI����,Deep PacketInspection)和基于流量行為特征的檢測技術(shù)(Traffic Behavior basedldentification)?���;诙丝诘臋z測技術(shù)是根據(jù)網(wǎng)絡(luò)應(yīng)用使用的端口號來判斷應(yīng)用類別的技術(shù)。其弊 端是��,如果P2P應(yīng)用通過動態(tài)變化的端口來傳輸數(shù)據(jù)�,那么基于端口的方法檢測就無能為 力了,因此這種方法雖然效率比較高����,但準確性太差,并沒有被廣泛的應(yīng)用。深層數(shù)據(jù)包檢測技術(shù)主要是通過對數(shù)據(jù)包的應(yīng)用層數(shù)據(jù)進行特征匹配來識別P2P 流量�����。目前深層數(shù)據(jù)包檢測技術(shù)已經(jīng)發(fā)展得非常成熟���,但是對于采用了內(nèi)容加密的P2P應(yīng) 用,基于深層數(shù)據(jù)包檢測技術(shù)就變得無能為力了�。基于流量行為特征的檢測技術(shù)就是利用流量特征(如IP地址�����,端口等)信息進行 P2P檢測的技術(shù)�,該技術(shù)不需要任何關(guān)于應(yīng)用層協(xié)議的信息,主要針對網(wǎng)絡(luò)流量在一段時間 內(nèi)的某些統(tǒng)計特征進行檢測和分析���,以此為基礎(chǔ)檢測P2P�����。托馬斯(Thomas Karagiannis) 等人在仔細研究了 P2P流量的傳輸層特征后于2004年提出了一種基于傳輸層特征的P2P 流量檢測方法�����,該方法以P2P流量在傳輸層所表現(xiàn)出來的兩種一般性特征為依據(jù)����,結(jié)合傳 統(tǒng)的端口檢測技術(shù),能夠有效地檢測到新的P2P應(yīng)用和加密的P2P應(yīng)用�����,但是該方法過于復(fù) 雜且不能適用于國內(nèi)的P2P應(yīng)用環(huán)境����。在國內(nèi),雖然目前對于P2P技術(shù)的研究和應(yīng)用都進行得如火如荼����,但是提出的檢 測方法主要也是基于深層數(shù)據(jù)包檢測技術(shù)。國內(nèi)部分網(wǎng)絡(luò)設(shè)備生產(chǎn)商已經(jīng)推出了 P2P流量 監(jiān)控的相關(guān)產(chǎn)品���,如華為的SecPath 1800F防火墻和Eudemon500/1000防火墻以及國都興 業(yè)(CAPTECH)的網(wǎng)絡(luò)管理軟件-網(wǎng)絡(luò)慧眼����。這些產(chǎn)品采用的都是深層數(shù)據(jù)包檢測技術(shù)�����。綜上所述,目前對P2P應(yīng)用的識別與檢測技術(shù)的實際應(yīng)用主要是基于端口或基于 深層數(shù)據(jù)包檢測��,一些基于流量行為特征的識別方法準確性和性能都不能滿足要求����。因此 在大流量環(huán)境下(雙向2Gbit/s以上流量),開展基于流量行為特征的P2P識別技術(shù)的研 究�,設(shè)計能實際應(yīng)用的基于流量行為特征的實時檢測算法���,具有非常重要的理論意義和實 用價值��。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服已有的基于端口及基于深層數(shù)據(jù)包檢測方法準確性和性 能的不足��,以及當(dāng)前的基于行為特征的檢測方法實時性差且不能適于大流量環(huán)境的缺點���, 提供一種基于IP地址隨機測度的P2P節(jié)點檢測方法?;贗P地址隨機測度的P2P節(jié)點檢測方法,包括如下步驟(1)捕獲預(yù)定時間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包�,網(wǎng)絡(luò)數(shù)據(jù)包攜帶有源IP地址及其對應(yīng)的目 的IP地址信息;(2)依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包�,搜索同一源IP地址對應(yīng)的所有目的IP地址;
4H(ρ, ρ-,,L ρκ)(3)分別計算各源IP地址的隨機測度
其中
Pi i = i,2,3L K����,K 為子網(wǎng)總數(shù)����,Wi 為該源 IP 地址對應(yīng) i=i iI η
的屬于第i個子網(wǎng)的目的IP地址數(shù)��,η為該源IP地址對應(yīng)的所有目的IP地址數(shù)��,子網(wǎng)定 義為m位前綴相同的IP地址的集合����,m取值范圍為16 24 ;(4)確定隨機測度屬于隨機測度取值區(qū)間的源IP地址則為P2P節(jié)點���。本發(fā)明的技術(shù)效果體現(xiàn)在本發(fā)明利用了 P2P應(yīng)用連接中遠端地址分布均勻的特 性���,并提出了 IP地址隨機測度特征來描述這一特性,以此判斷P2P節(jié)點��。P2P連接中遠端地址分布比較均勻的原因分析(1)資源的分散性P2P優(yōu)秀下載性能的一個重要因素是采用了分片機制�。如Bittorrent中將原始文 件分成若干片(其他的P2P系統(tǒng)也有類似的機制)。分片機制使得資源很快從一臺機器分 散到了多臺機器���,串行下載變成了并行的下載�����。從連接的角度看�,從少量連接變成了多條連 接。在混合式的P2P系統(tǒng)中���,跟蹤器收集所有參與節(jié)點的狀態(tài)�,并給新加入節(jié)點一個隨機的 節(jié)點列表�。隨機選擇節(jié)點時只會考慮到該節(jié)點是否在同一個群(下載相同的文件)中,不 會考慮到這些節(jié)點是否相鄰����,距離以及帶寬等因素���。因此��,正是分片機制導(dǎo)致集中的資源迅 速地分散到了各個節(jié)點�,下載節(jié)點將從多個節(jié)點獲得資源���,而不會集中在某點����。這種資源分 散性在連接上表現(xiàn)為遠端IP地址分布比較分散。在C/S模式中�,某些應(yīng)用也會產(chǎn)生多條連 接,如WWW服務(wù)下載頁面時也會產(chǎn)生多條連接��,但是由于資源比較集中在1�����,2臺主機上��,所 以導(dǎo)致目的IP地址比較集中�����。因此��,可以說IP地址隨機測度實際上反映了 P2P系統(tǒng)與C/ S系統(tǒng)在資源分布上的區(qū)別���,它反映的是P2P網(wǎng)絡(luò)的本質(zhì)特征�����。(2)動態(tài)性P2P網(wǎng)絡(luò)是一個由很多臨時節(jié)點組成的網(wǎng)絡(luò)��,這些主機可能會有不同的處理能力 或連接速度��,特別是隨機離開這個網(wǎng)絡(luò)的行為是由用戶自身決定的�,這使得P2P的網(wǎng)絡(luò)拓 撲很不穩(wěn)定。P2P節(jié)點為了保證它的下載速度不會因為部分用戶的隨機離開而下降����,會不斷 地向其它P2P節(jié)點發(fā)起新的連接,同時會繼續(xù)不斷嘗試連接離開P2P網(wǎng)絡(luò)的節(jié)點���,這也導(dǎo)致 連接不斷增多��,IP地址隨機測度增加�����。為了驗證本發(fā)明的效果,圖2給出了文件共享型P2P系統(tǒng)=Bittorrent, Emule每 隔10秒計算的IP地址隨機測度����。圖3給出了流媒體型P2P系統(tǒng)PPLive,PPstream每隔 10秒計算的IP地址隨機測度���。為了進行比較��,對若干非P2P系統(tǒng)也進行了 IP地址隨機測 度測試���。圖4給出了非P2P系統(tǒng)域名應(yīng)用(DNS)����,電子郵件應(yīng)用(EMAIL)每隔10秒計算 的IP地址隨機測度�����。圖5給出了非P2P系統(tǒng)萬維網(wǎng)應(yīng)用(WWW)每隔10秒計算的IP地址 隨機測度�����。表1給出了以上測試的IP地址隨機測度的統(tǒng)計結(jié)果��。
表1各種應(yīng)用的IP地址隨機測度統(tǒng)計值從上述的實驗結(jié)果可以看出(1)P2P應(yīng)用與非P2P應(yīng)用的IP地址隨機測度有很明顯的區(qū)別����。所有的P2P應(yīng)用 中IP地址隨機測度最小值為0.8,而絕大多數(shù)的非P2P應(yīng)用IP地址隨機測度不大于0.7����。 容易混淆的DNS應(yīng)用的IP地址隨機測度的平均值為0. 59。只有Email的IP地址隨機測度 值出現(xiàn)了一次0. 87�,但是其平均值只有0. 56。(2) IP地址隨機測度值變化比較穩(wěn)定(最大值和最小值的差異較小)����,這表明P2P 系統(tǒng)在不同的狀態(tài)下��,IP地址隨機測度比較穩(wěn)定���,這有利于設(shè)置閾值。(3) IP地址隨機測度越接近1���,表示信息隨機程度越大���,IP地址隨機測度接近0,表 示確定性信息越大����。實驗驗證了提出的IP地址隨機測度特征能夠很好地描述地址分布是 否均勻這一特點。結(jié)論IP地址隨機測度可以有效地區(qū)分P2P應(yīng)用與非P2P應(yīng)用�����,且系統(tǒng)處在不同 狀態(tài)下時�����,IP地址隨機測度波動幅度小這有利于降低誤報率����。
圖1為某主機的連接情況示意圖,圖1(a)為Bittorrent應(yīng)用時的連接情況���,圖 1(b)為WWW應(yīng)用訪問時的連接情況�����;圖2為P2P系統(tǒng)=Bittorrent, Emule的IP地址隨機測度測試結(jié)果�;圖3為P2P系統(tǒng)PPLive���,PPstream的IP地址隨機測度測試結(jié)果�;圖4為非P2P系統(tǒng)DNS���,Email的IP地址隨機測度測試結(jié)果�����;圖5為非P2P系統(tǒng):WWW的IP地址隨機測度測試結(jié)果��;圖6為本發(fā)明系統(tǒng)整體框架圖����;圖7為捕包示意圖;圖8為流哈希結(jié)構(gòu)示意圖9為流記錄表的構(gòu)建過程�;圖10為建立流記錄表副本示意圖;圖11為節(jié)點記錄表構(gòu)建過程示意圖�;圖12為子網(wǎng)存儲結(jié)構(gòu)示意圖;圖13為計算節(jié)點的IP地址隨機測度流程圖���。
具體實施例方式下面結(jié)合附圖和具體實施例對本發(fā)明作進一步說明�。P2P最根本的思想����,同時也是它與客戶/服務(wù)器模型(C/S)最顯著的區(qū)別在于網(wǎng)絡(luò) 中的節(jié)點既可以獲取其他節(jié)點的資源或服務(wù),同時又是資源或服務(wù)的提供者�����,即兼具客戶 端(Client)和服務(wù)器(Server)的雙重身份�����。觀察P2P連接中遠端地址的分布特點����。圖1 (a)給出某主機進行BT應(yīng)用時的連接 情況。其中��,右邊表示為與主機互聯(lián)的對端IP地址的子網(wǎng)號�,左邊括號內(nèi)為該子網(wǎng)中的連 接數(shù)。圖1(b)給出該主機進行WWW訪問時的連接情況�。在圖1(a)的例子中,主機進行BT 下載時共產(chǎn)生了 23條連接���,這23個連接的遠端IP地址分布在23個不同的C類子網(wǎng)中����,地 址分布比較均勻���,平均每個C類子網(wǎng)內(nèi)一條連接��。WWW應(yīng)用一共產(chǎn)生了 410條連接���,這410 條連接的遠端IP地址范圍集中在22個子網(wǎng)中,平均每個C類子網(wǎng)內(nèi)有18. 6條連接�。其中, 在121.0. 25. 0這個C類子網(wǎng)中有80條連接���。在60. 12. 195. *這個子網(wǎng)中有71條連接���。觀察多種P2P系統(tǒng)的遠端IP地址分布也發(fā)現(xiàn)有類似的特點��。如何來描述這種地 址分布的特征呢�����?信息論中用熵作為不確定性的度量��,本發(fā)明中借助信息論中熵的思想作 為地址分布集中程度的度量�。定義1: IP地址熵假設(shè)T為同一源IP地址對應(yīng)的η個目的IP地址集合�����,這些IP地址分別屬于K個 子網(wǎng)���。子網(wǎng)定義為m位前綴相同的IP地址的集合�,m= 16 24��。其中第i個子網(wǎng)在T中出
現(xiàn)的概率為Pi, i = i��,2��,3L K�,f =餘T頓雅沖白勺目_也腫,
η 集合T中總的目的IP地址數(shù)���。第i個子網(wǎng)的信息量為K個子網(wǎng)信息量的數(shù)學(xué)期望定義為IP地址熵,如下式所示 如果K = 1���,也就是T中的所有樣本在一個子網(wǎng)里,那么H(Pl�����,p2, L ρκ) = 0����,達到
最小值。定理1:最大熵定理T中子網(wǎng)以等概率出現(xiàn)���,即P1 = P2L = ρκ,也就是每個IP地址就是一個子網(wǎng)��,那么 Hmax (Pi P2' L ρκ) = logn,達到最大值�。定義2 IP地址隨機測度(E)是IP地址熵和最大IP地址熵的比值�����,表示IP地址 的隨機程度�����。
由定義可知,0 < E ( 1����,E表示隨機程度,E越接近1���,表示信息隨機程度越大����,E越 接近0����,表示確定性信息越大。本發(fā)明具體實施方法如下系統(tǒng)的整體結(jié)構(gòu)如圖6所示�。從整體上看,系統(tǒng)共分為三大模塊流量采集�,數(shù)據(jù) 包重組和P2P節(jié)點識別模塊。流量采集模塊采用被動測量方式采集網(wǎng)絡(luò)數(shù)據(jù)包�。在數(shù)據(jù)包 重組中,采用哈希算法將數(shù)據(jù)包重組為網(wǎng)絡(luò)流�����,P2P節(jié)點識別模塊對每個節(jié)點計算IP地址 隨機測度,然后根據(jù)閾值對節(jié)點進行P2P判定���。步驟1.網(wǎng)絡(luò)流量鏡像通過分光器或者交換機的鏡像功能將網(wǎng)絡(luò)流量鏡像到系統(tǒng)上��,系統(tǒng)采用被動測量 方式捕獲網(wǎng)絡(luò)數(shù)據(jù)包��,不會對網(wǎng)絡(luò)本身造成任何影響。如圖7所示��,系統(tǒng)一般部署在網(wǎng)絡(luò)的 出口�����,捕獲出口線路上出\入(TX\RX)兩個方向的流量���。步驟2 基于哈希算法的流記錄表構(gòu)建流定義為在某段時間(推薦5 10分鐘)內(nèi)具有相同源IP地址���,目的IP地址, 源端口�����,目的端口及協(xié)議的一系列數(shù)據(jù)包的集合��。采用哈希的方法將數(shù)據(jù)包轉(zhuǎn)換成流,記錄每條流的源IP地址���,目的IP地址�����,源端 口��,目的端口�,協(xié)議�,數(shù)據(jù)包個數(shù)以及字節(jié)數(shù)信息。哈希算法的輸入為數(shù)據(jù)包的源IP地址����,目的IP地址,源端口����,目的端口及協(xié)議。哈 希算法的輸出為16位整形變量�,可以查找大小為65536的哈希表,確定流信息�。哈希值為 流記錄數(shù)組HashTable的下標(biāo),數(shù)組HashTable的元素是一個指向流記錄StreamInfo的指 針���。流記錄StreamInfo記錄了該流源IP地址����,目的IP地址,源端口����,目的端口,協(xié)議�����,數(shù)據(jù) 包數(shù)以及字節(jié)數(shù)���。哈希表結(jié)構(gòu)如圖8所示。流記錄表的構(gòu)建過程����,首先建立一個空的流記錄表,記錄表的大小為65536��,再通 過以下步驟的循環(huán)實現(xiàn)所述流記錄表的更新����,構(gòu)建出所述的流記錄表1)從網(wǎng)卡中讀取一個數(shù)據(jù)包��,提取數(shù)據(jù)包的源IP地址����,目的IP地址�,源端口,目的 端口及協(xié)議進行哈希運算���;2)根據(jù)計算的哈希值在流記錄表中查找此數(shù)據(jù)包對應(yīng)的流記錄是否已經(jīng)存在��,如 果存在轉(zhuǎn)到(3)����,否則轉(zhuǎn)到(4)����;3)更新此條流記錄信息。包括數(shù)據(jù)包個數(shù)和字節(jié)數(shù)���,轉(zhuǎn)(1)�����;4)新建一條流記錄并插入到流記錄表中���,轉(zhuǎn)(1)��?��;诠K惴ǖ牧饔涗洷順?gòu)建過程如圖9所示。步驟3建立流記錄表的副本本發(fā)明以五分鐘為周期進行數(shù)據(jù)分析�。在實時獲取5分鐘的數(shù)據(jù)包并利用哈希算 法生成流記錄表后,開啟新的線程建立流記錄表副本��,進行進一步的分析����,與此同時,主線 程依然在實時捕獲數(shù)據(jù)建立新一輪的流記錄表���。只要能夠滿足流記錄表副本的創(chuàng)建與分 析在五分鐘內(nèi)完成,即使在連續(xù)流量捕獲的情況下���,系統(tǒng)依然可以實時地運行下去�����,如圖10 所示�。步驟4遍歷流記錄表
8
本發(fā)明是在節(jié)點層面對P2P應(yīng)用進行檢測。采用哈希算法對流記錄表副本進一步處理�����,構(gòu)建節(jié)點記錄表存儲節(jié)點信息���。節(jié)點 記錄包括了該節(jié)點的IP地址以及以該節(jié)點為源節(jié)點所對應(yīng)的所有目的IP地址�。節(jié)點記錄 表的構(gòu)建過程如下首先建立一個空的節(jié)點記錄表�����,再通過以下步驟的循環(huán)實現(xiàn)所述節(jié)點記錄表的更 新����,最終構(gòu)建出所述的節(jié)點記錄表1)從流記錄副本中獲取一條流記錄;2)提取該流記錄中的源IP地址�,對該地址進行哈希運算;3)根據(jù)計算的哈希值判斷該源IP地址在節(jié)點記錄表中是否存在�����,如果存在轉(zhuǎn)步 驟4)�����,否則轉(zhuǎn)步驟5);4)更新節(jié)點記錄表中該節(jié)點信息���,包括該節(jié)點為源節(jié)點所對應(yīng)的所有目的IP地 址數(shù)���,轉(zhuǎn)步驟6);5)新建一條節(jié)點信息記錄并插入到節(jié)點記錄表中��;6)判斷流記錄副本是否遍歷完畢����,如果是,轉(zhuǎn)步驟7)����,否則轉(zhuǎn)步驟1);7)所述節(jié)點記錄表構(gòu)建完成�����。節(jié)點記錄表構(gòu)建過程如圖11所示�����。步驟5計算節(jié)點的IP地址隨機測度對于每個節(jié)點計算其IP地址隨機測度���。計算IP地址隨機測度需要查找該節(jié)點所 對應(yīng)的所有目的IP地址所在的目的IP地址子網(wǎng)�,統(tǒng)計每個目的IP地址子網(wǎng)中的流數(shù)����。由 于查找目的子網(wǎng)操作非常頻繁,某些P2P節(jié)點5分鐘的目的子網(wǎng)個數(shù)甚至達上萬個���,這樣對 于某個節(jié)點每條流都需要進行多次匹配才能找到目標(biāo)子網(wǎng)�����。本發(fā)明中采用一種樹狀結(jié)構(gòu)存 儲目的IP地址的子網(wǎng)號��,每一個節(jié)點都有一棵目的IP地址子網(wǎng)樹���。如圖12所示。IP地址隨機測度計算過程是首先遍歷流記錄表�,建立各節(jié)點的目的IP地址子網(wǎng) 樹。最后����,一次性處理節(jié)點數(shù)據(jù)計算IP隨機測度��。具體步驟如下1)從節(jié)點記錄表中取一節(jié)點�����,計算其目的IP地址的子網(wǎng)號�,方法是將目的IP地址 與掩碼255. 255. 255. 0相與���,即可得目的IP地址子網(wǎng)號���。2)將目的IP地址子網(wǎng)號在該節(jié)點的目的IP地址子網(wǎng)樹上進行搜索。若該目的 IP地址子網(wǎng)號與該節(jié)點的目的IP地址子網(wǎng)樹的根節(jié)點子網(wǎng)號相等���,轉(zhuǎn)3)���。否則,轉(zhuǎn)4)���。3)更新該節(jié)點的目的IP地址子網(wǎng)樹中根節(jié)點結(jié)構(gòu)中流記錄數(shù)字段���,將流記錄數(shù) 加1。轉(zhuǎn)5)���。4)新建一個目的IP地址子網(wǎng)節(jié)點結(jié)構(gòu)����,插入到目的IP地址子網(wǎng)樹中���,該結(jié)構(gòu)中包 括子網(wǎng)號和流記錄數(shù)字段�。插入目的IP地址子網(wǎng)樹的方法將目的IP地址子網(wǎng)號與節(jié)點 子網(wǎng)號進行比較����,若該子網(wǎng)號等于節(jié)點子網(wǎng)號,則更新該節(jié)點結(jié)構(gòu)中的流記錄數(shù)字段���,將流 記錄數(shù)加1���。轉(zhuǎn)5)。若該子網(wǎng)號大于節(jié)點子網(wǎng)號����,則插入到該節(jié)點的左子樹中,若該子網(wǎng)號 小于節(jié)點子網(wǎng)號�,則插入到該節(jié)點的右子樹中,逐級遞歸����。5)流記錄表是否遍歷完����,若完成���,轉(zhuǎn)6)���,否則轉(zhuǎn)1)。6)統(tǒng)計每個節(jié)點的目的IP地址子網(wǎng)樹中節(jié)點的流記錄數(shù)�,按照IP地址隨機測度 公式,計算每節(jié)點的IP地址隨機測度�。
IP地址隨機測度計算過程如圖13所示。步驟6P2P節(jié)點識別IP地址隨機測度取值區(qū)間設(shè)為
�����。若節(jié)點的IP地址隨機測度在此取值區(qū) 間內(nèi)��,即判定為P2P節(jié)點��,否則為非P2P節(jié)點�。本發(fā)明首先采用哈希算法建立數(shù)據(jù)流,再依據(jù)數(shù)據(jù)流建立節(jié)點哈希表,進而依據(jù) 節(jié)點哈希表搜索同一源IP地址對應(yīng)的所有目的IP地址�����,這只是本發(fā)明列舉的一種方式����,不 局限于該方式�����,所在領(lǐng)域的技術(shù)人員還可采用其它方式�,例如直接在網(wǎng)絡(luò)數(shù)據(jù)包中搜索,不 管哪一種方式���,均屬于本發(fā)明的保護范圍����。
10
權(quán)利要求
基于IP地址隨機測度的P2P節(jié)點檢測方法�,包括如下步驟(1)捕獲預(yù)定時間段內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)包,網(wǎng)絡(luò)數(shù)據(jù)包攜帶有源IP地址及其對應(yīng)的目的IP地址信息�����;(2)依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包����,搜索同一源IP地址對應(yīng)的所有目的IP地址����;(3)分別計算各源IP地址的隨機測度其中i=1��,2��,3L K�,K為子網(wǎng)總數(shù),wi為該源IP地址對應(yīng)的屬于第i個子網(wǎng)的目的IP地址數(shù)����,n為該源IP地址對應(yīng)的所有目的IP地址數(shù),子網(wǎng)定義為m位前綴相同的IP地址的集合���,m取值范圍為16~24�;(4)確定隨機測度屬于隨機測度取值區(qū)間的源IP地址則為P2P節(jié)點�。FDA0000023515650000011.tif,FDA0000023515650000012.tif,FDA0000023515650000013.tif
2.根據(jù)權(quán)利要求所述的P2P節(jié)點檢測方法,其特征在于����,所述隨機測度取值區(qū)間為
。
全文摘要
本發(fā)明提供了一種基于IP地址隨機測度的P2P節(jié)點檢測方法,目的在于克服已有的基于端口及基于深層數(shù)據(jù)包檢測方法準確性和性能的不足�����。本發(fā)明利用了P2P應(yīng)用連接中遠端地址分布均勻的特點�,并基于熵的思想,構(gòu)造了IP地址隨機測度特征描述這一現(xiàn)象�,以此判斷P2P節(jié)點。具體實現(xiàn)時�,首先捕獲網(wǎng)絡(luò)數(shù)據(jù)包�����,然后依據(jù)網(wǎng)絡(luò)數(shù)據(jù)包��,搜索同一源IP地址對應(yīng)的所有目的IP地址�,分別計算各源IP地址的隨機測度,最后將各源IP地址的隨機測度與閾值作比較���,檢測出P2P節(jié)點�。大量的實驗結(jié)果表明���,該發(fā)明能有效地區(qū)分P2P和非P2P應(yīng)用�,P2P節(jié)點識別準確率高。
文檔編號H04L12/26GK101883030SQ20101023258
公開日2010年11月10日 申請日期2010年7月21日 優(yōu)先權(quán)日2010年7月21日
發(fā)明者劉峰, 周麗娟, 周智昊, 彭曉天, 李芝棠, 柳斌, 涂浩, 王世福, 黃立輝 申請人:華中科技大學(xué)