基於對等網絡的主動識別方法及設備的製作方法

2023-06-11 05:47:21 1

GET/announce.phpinfo—hash二"和"GET/announceinfo—hash二"後面的H據，所述提取的數據是用來寫入到構造模板數據包的可變信息中，即xx表示的20個字節數據中，其提取數據的方法詳見上述，在此不再贅述。然後，將提取的數據保存到ip—f—table表中，如果不存在，不存在ip—f一table表，則需要，記錄該TCP連接的內網IP位址和所述數據包中的協議關4建字後的數據，建立所述內網IP位址與對應所述協議關鍵字後的數據的哈希表。如果數據的前92個字節內容如下所示"GET/announce.phpinfo—hash=%1^0/OoO/"2^0//1Q0/AOO/710/Q，0/020/1AO/110/1，0/120/1/10/1丄3/oZ6/0Jd/o46/o!)I/ot)U/o/丄/o8Z/oVj/o丄U/o丄丄/o丄Z/o丄J/ojL4/o丄8%19%la%lb"則哈希表的內容可能表5所示表5ip地址hash值192.168.1.100la2e3d4e5f6071829310111213141516171819lb5、數據統計。對於與ip地址為192.168.1.100的終端設備建立的所有連接進行統計。即統計內網中每個IP位址發出的連接數和數據流量；也就是說，來一條連接就把連接數加1,斷一條連接就把連接數減1。但該終端設備總的連接數可知的。即可以對於每一個與192.168.1.100的連接數和數據流量做統計。比如統計內容如表6所示表6ip地址總連接數流量(K/秒)192.168.1.100100400假定4)中連接的內部埠為3001，外部IP位址為10.11.12.13,埠為8080，則連接表如表7所示表7連接類型內部ip地址內部埠號外部ip地址外部埠號TCP192.168.1.100300110.11.12.1380806、探測或者識別由於ip地址為192.168.1.100的連接數已經達到預先設定的探測條件，同18時流量也達到了設定的探測條件，可以啟動糹果測程序。61)bt探測使用探測模板和hash表構造探測包，即用hash表內的hash數據替換模板中的xx數值，形成下面的探測包13426974546f7272656e742070726f746f636f6c6578000000000001la2e3d4e5f6071829310111213141516171819lb2d584c303031322d572767fbblb2Obcl376803al在構造〗笨測包完成後，將防火牆先連4fe到10.11.12.13的8080埠，若連接成功，則向10.11.12.13的8080埠發送構造完成的探測包，然後等待回應包。如果4妻收到回應包，並且回應包的前20個字節為13426974546f7272656e742070726f746f636f6c，則說明內網中的ip地址192.168.1.100、埠為3001與10.11.12.13、埠為8080之間的連4矣為bt連4妄。可以記錄該連接為bt連接，並對該條連4矣打上bt標記。62)emule〗笨觀寸如果bt探測沒有結果，可以使用emule探測，同理，先將防火牆連接到10.11.12.13的8080埠，在連接成功後，發送探測模板內的探測包(即emule協議的標準探測包，比如握手包)，然後等待回應包。如果接收到回應包，且回應包的前6個字節為e38000000001,則說明內部ip地址192.168.1.100、埠為3001與10.11.12.13、埠為8080之間的連接為emule連接。可以記錄該連4妻為emule連4妄，並對該條連4妄打上emule標記。本實施例中的探測，是防火牆主動向外發包。7、對探測結果進行處理可以根據實際需要，對bt連接進行帶寬控制，也可以對emule連接進行控制。也可以根據要求中斷連接，比如直接中止連接等。由此可見，上述方法中，本發明先構造探測模板，可以是基於bt，emule軟體的基礎上來構造，然後對統計內網中每個iP的連接統計和流量統計，然後確定可疑點，最後利用構造的探測模板對可疑點進行探測，根據探測結果可以識別出該連接是bt連接，還是emule連接。也就是說，連接統計和流量統計是探測的觸發點，如果某一個ip達到了設計的關鍵值，才進行觸發。從而可以提高系統工作的效率。基於上述方法的實現過程，本發明實施例還提供一種基於對等網絡的主動識別設備，其結構示意圖如圖2所示，包括獲取單元21、判斷單元22、記錄單元23、存儲單元24、確定單元25和識別單元26。其中，所述獲取單元21，用於已建立傳輸控制協議TCP連接的第一個有效載荷數據包；所述判斷單元22,用於判斷所述有效載荷數據包中是否包括協議關鍵字，並發送判斷結果；所述記錄單元23，用於在接收判斷單元發送包括協議關鍵字的判斷結果時，記錄所述協議關鍵字後的數據；所述存儲單元24，用於將所述記錄協議關鍵字後的數據存儲在對應的哈希表中；所述確定單元25，用於確定需要識別內網中IP位址，將所有與所述IP位址相關的連接分別標記為可疑點；所述識別單元26，用於利用預先構造的探測模板數據包對防火牆外的所述可疑點進行識別。所述記錄單元包括第一判斷單元、第一記錄單元和第二記錄單元。其中，所述第一判斷單元，用於判斷協議關鍵字後的數據是否以"％"號開頭的數據，若是，則發送判斷結果；所述第一記錄單元，用於在接收到關鍵字判斷單元發送以"％"號開頭的判斷結果時，只記錄所有"％，，號後兩個字節的數據，不記錄"％"號；所述第二記錄單元，用於在接收到關鍵字判斷單元發送不是以"％"號開頭的判斷結果時，記錄"％"號後的所有字節的數據。優先的，在判斷所述數據包中包括協議關鍵字後，若沒有對應的哈希表，所述設備還包括第三記錄單元和建立單元，其中，所述第三記錄單元，用於記錄該TCP連接的內網IP位址和所述數據包中的協議關鍵字後的數據；所述建立單元，用於根據所述第三記錄單元中記錄的所述內網IP位址與對應所述協議關鍵字後的數據建立哈希表。所述確定單元包括統計單元、第二判斷單元和標記單元，其中，統計單元，用於統計內網中每個IP位址發出的連接數和數據流量；所述第二判斷單元，用於判斷統計單元統計的所述連接數是否大於預設的最大連接數，若大於，繼續判斷所述數據流量是否大於預設的最大數據流量，並發送大於的判斷結果；所述標記單元，用於在接收到所述判斷單元發送大於的判斷結果時，將所有與所述IP位址相關的連接標記為可疑點。所述識別單元包括探測包構造單元，探測包發送單元、接收單元、第三判斷單元和變態下載識別單元，其中，所述探測包構造單元，用於根據預先構造的探測模板數據包及哈希表構造探測包；所述探測包發送單元，用於向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述探測包；所述接收單元，用於接收所述可疑點發送的響應包；所述第三判斷單元，用於判斷所述響應包是否包括協議關鍵字，並發送判斷結果；所述變態下載識別單元,'用於在接收所述協議判斷單元發送是的判斷結果時，判定所述連4^為bt連4妻，並在所述連4妻打上bt標記。所述識別單元包括握手包發送單元、接收單元、第四判斷單元和電騾識別單元，其中，所述握手包發送單元，用於向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述握手包；所述接收單元，用於接收所述可疑點發送的響應包；所述第四判斷單元，用於判斷所述響應包中是否包括協議關鍵字，並發送判斷結果；所述電騾識別單元，用於在接收到所述判斷單元發送是的判斷結果時，判定所述連接為電騾連接，並在所述連^^打上電騾標記。所述設備還包括處理單元，與識別單元相連，用於根據需要，斷開所述識別出來的連接或對連接的帶寬進行限制。所述設備還包括還包括模板構造單元，與識別單元相連，用於構造探測模板數據包。所述設備中各個單元的功能和作用的實現過程詳見上述方法中對應的實現過程，在此不再贅述。由此可見，本發明的優點非常多，一是不需要對大量的數據包做特徵碼一一過濾，只是在構建模板時只過濾TCP連接的第一個有效載荷數據包，提高了防火牆的效率；二是徹底拋棄了埠的概念，即使bt，emule等軟體使用21了80埠來連接，本發明也一樣可以識別，而且對效率影響微乎其微；三是通過構建協議自身的數據包作為探測軟體，可以做到100%的準確率，由此可見，本發明即不限制用戶的數據流量也限制用戶的連接，只是在達到最大連接數和數據流量時，對相應點進行探測，根據探測結果可以標記出識別出來的bt，emule連接，配合相關的工具對相應的連接進行帶寬限制或斷開連接。本發明可以做到識別快，識別準，又不會引起用戶投訴問題。通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到本發明可藉助軟體加必需的通用硬體平臺的方式來實現，當然也可以通過硬體，但很多情況下前者是更佳的實施方式。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品可以存儲在存儲介質中，如ROM/RAM、磁碟、光碟等，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者,以上所述僅是本發明的優選實施方式，應當指出，對於本
技術領域：
的普通技術人員來說，在不脫離本發明原理的前提下，還可以作出若干改進和潤飾，這些改進和潤飾也應視為本發明的保護範圍。權利要求1、一種基於對等網絡的主動識別方法，其特徵在於，包括構造探測模板數據包，之後還包括步驟獲取已建立傳輸控制協議TCP連接的第一個有效載荷數據包；若判斷所述有效載荷數據包中包括協議關鍵字，則記錄所述協議關鍵字後的數據；將所述記錄協議關鍵字後的數據存儲在對應的哈希表中；確定需要識別內網中IP位址，將所有與所述IP位址相關的連接分別標記為可疑點；利用所述探測模板數據包對防火牆外的所述可疑點進行識別。2、根據權利要求1所述的方法，其特徵在於，所述判斷數據包中包括協議關鍵字的依據包括判斷所述第一個有效載荷數據包中的前24個字節或28個字節中數據是否為協議關鍵字，若是，則執行記錄所述協議關鍵字後的數據的步驟。3、根據權利要求1所述的方法，其特徵在於，所述記錄協議關鍵字後的數據具體包括若所述協議關鍵字後的數據是以"％"號開頭的數據，則只記錄所有"％"號後兩個字節的凝:據，不記錄"％"號；若所述協議關鍵字後的數據不是以"％"號開頭的數據，則記錄"％"號後顯示的字符所對應的阿斯碼值。4、根據權利要求1至3任一項所述的方法，其特徵在於，在判斷所述數據包中包括協議關鍵字後，若沒有對應的哈希表，所述方法還包括記錄該TCP連接的內網IP位址和所述數據包中的協議關鍵字後的數據，建立所述內網IP位址與對應所述協議關鍵字後的數據的哈希表。5、根據權利要求1至3任一項所述的方法，其特徵在於，所述確定需要識別內網中IP位址，將所有與所述IP位址相關的連接分別標記為可疑點具體包括統計內網中每個IP位址發出的連4妄數和數據流量；若判斷統計的所述連接數大於預設的最大連接數，且數據流量大於預設的最大數據流量時，將所有與所述IP位址相關的連接標記為可疑點。6、根據權利要求5所述的方法，其特徵在於，所述與所述IP位址相關的連接為一個五元組，具體包括協議類型、內網ip、內網埠號、外網ip和外網埠號。7、根據權利要求1所述的方法，其特徵在於，對於變態下載bt協議，所述構造探測模板數據包包括協議關鍵字、保留字、可變信息以及id號。8、根據權利要求3或7所述的方法，其特徵在於，所述記錄協議關鍵字後的數據的長度等於或小於探測模板數據包中的可變信息的長度。9、根據權利要求7所述的方法，其特徵在於，所述利用所述探測模板數據包對防火牆外的所述可疑點進行識別具體包括根據探測模板數據包及對應的哈希表構造探測包；向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述探測包；4妄收所述可疑點發送的回應包；判斷所述回應包是否包括協議關鍵字；若是，則記錄所述連接為bt連接，並在所述連^妻打上bt標記。10、根據權利要求9所述的方法，其特徵在於，所述構造探測包的過程為將所述哈希表中對應的哈希值寫入探測模板數據包的可變信息中。11、根據權利要求1所述的方法，其特徵在於，對於電騾協議，所述構造探測模板數據包為標準協議的握手包。12、根據權利要求11所述的方法，其特徵在於，所述利用所述探測模板數據包對防火牆外的所述可疑點進行識別具體包括向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述握手包；接收所述可疑點發送的回應包；判斷所述回應包是否包括協議關鍵字；若是，則記錄所述連接為電騾連接，並在所述連接打上電騾標記。13、根據權利要求1至3、7至12任一項所述的方法，其特徵在於，還包括根據需要，斷開所述識別出來的連接或對連接的帶寬進行限制。14、一種基於對等網絡的主動識別設備，其特徵在於，包括獲取單元，用於已建立傳輸控制協議TCP連接的第一個有效載荷數據包；判斷單元，用於判斷所述有效載荷數據包中是否包括協議關鍵字，並發送判斷結果；記錄單元，用於在接收判斷單元發送包括協議關鍵字的判斷結果時，記錄所述協議關鍵字後的數據；存儲單元，用於將所述記錄協議關鍵字後的數據存儲在對應的哈希表中；確定單元，用於確定需要識別內網中IP位址，將所有與所述IP位址相關的連接分別標記為可疑點；識別單元，用於利用預先構造的探測模板數據包對防火牆外的所述可疑點進4於識別。15、根據權利要求14所述的設備，其特徵在於，所述記錄單元包括第一判斷單元，用於判斷協議關鍵字後的數據是否以"％"號開頭的數據，若是，則發送判斷結果；第一記錄單元，用於在接收到關鍵字判斷單元發送以"％，，號開頭的判斷結果時，只記錄所有"％"號後兩個字節的lt據，不記錄"％"號；第二記錄單元，用於在接收到關鍵字判斷單元發送不是以"％"號開頭的判斷結果時，記錄"％"號後顯示的字符所對應的阿斯碼值。16、根據權利要求15所述的設備，其特徵在於，在判斷所述數據包中包括協議關鍵字後，若沒有對應的哈希表，所述設備還包括第三記錄單元，用於記錄該TCP連接的內網IP位址和所述數據包中的協議關鍵字後的數據；建立單元，用於根據所述第三記錄單元中記錄的所述內網IP位址與對應所述協議關鍵字後的數據建立哈希表。17、根據權利要求14所述的設備，其特徵在於，所述確定單元包括統計單元，用於統計內網中每個IP位址發出的連4矣數和悽t據流量；第二判斷單元，用於判斷統計單元統計的所述連接數是否大於預設的最大連接數，若大於，繼續判斷所述數據流量是否大於預設的最大數據流量，並發送大於的判斷結果；標記單元，用於在接收到所述判斷單元發送大於的判斷結果時，將所有與所述IP位址相關的連4^標記為可疑點。18、根據權利要求14所述的設備，其特徵在於，所述識別單元包括探測包構造單元，用於根據預先構造的探測模板數據包及哈希表構造探測包；探測包發送單元，用於向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述探測包；接收單元，用於接收所述可疑點發送的響應包；第三判斷單元，用於判斷所述響應包是否包括協議關鍵字，並發送判斷結果；變態下載識別單元，用於在接收所述協議判斷單元發送是的判斷結果時，判定所述連接為bt連接，並在所述連接打上bt標記。19、根據權利要求14所述的設備，其特徵在於，所述識別單元包括握手包發送單元，用於向防火牆外的所述可疑點發起連接，並在連接成功後，向所述可疑點發送所述握手包；接收單元，用於接收所述可疑點發送的響應包；第四判斷單元，用於判斷所述響應包中是否包括協議關鍵字，並發送判斷結果；電騾識別單元，用於在接收到所述判斷單元發送是的判斷結果時，判定所述連接為電騾連接，並在所述連接打上電騾標記。20、根據權利要求18或19所述的設備，其特徵在於，還包括處理單元，與識別單元相連，用於根據需要，斷開所述識別出來的連接或對連接的帶寬進行限制。21、根據權利要求14至19任一項所述的設備，其特徵在於，還包括模板構造單元，與識別單元相連，用於構造探測模板數據包。全文摘要本發明涉及一種基於對等網絡的主動識別方法及其設備，所述方法包括構造探測模板數據包，之後還包括獲取已建立傳輸控制協議TCP連接的第一個有效載荷數據包；若判斷所述有效載荷數據包中包括協議關鍵字，則記錄所述協議關鍵字後的數據；將所述記錄協議關鍵字後的數據存儲在對應的哈希表中；確定需要識別內網中IP位址，將所有與所述IP位址相關的連接分別標記為可疑點；利用所述探測模板數據包對防火牆外的所述可疑點進行識別。以有效識別網絡中的各種P2P軟體，並對該軟體進行有效控制，從而提高系統的工作效率。文檔編號H04L29/08GK101494663SQ20091007787公開日2009年7月29日申請日期2009年1月23日優先權日2009年1月23日發明者張利剛申請人:聯想網御科技(北京)有限公司