基於行為籤名識別p2p應用的系統和方法

2023-06-27 01:36:36 2

專利名稱：基於行為籤名識別p2p應用的系統和方法
技術領域：
本發明涉及流量識別的系統和方法，具體地，涉及從混合流量跟蹤信息來識別 P2P(Peer-to-Peer ；對等網絡)應用的系統和方法。
背景技術：
近年來，在網際網路和企業IP網絡上運行的P2P應用顯著增加。P2P應用包括P2P 內容分布應用，例如Bit-torrent、Bit-comet以及E-donkey等，以及P2P流應用，例如 PPlive, PPstream, Sopcast等。這些應用組成了網絡中大量共享的總流量。網際網路和企業網絡的網絡運營商需要能夠識別不同的P2P應用以及相關的流量， 以實現網絡操作和管理、流量規劃、容量規劃、配置和成本降低。例如，通過限速或阻塞P2P 流量，企業能夠確保關鍵應用性能良好。寬帶ISP (服務提供商)欲限制P2P流量來減小被 上遊ISP收取的費用。已經存在有一些識別P2P流量的方法。在早些時候基於網絡埠的識別有些效 果，因為在那時所採用的大多P2P應用默認且固定的傳輸層埠號。然而如今，由於在大量 非標準埠上傳輸大量的P2P流量，因此使基於默認埠識別的方法難以有效工作。已經設計出基於籤名的識別方式來可靠地識別P2P應用。這需要通過檢測包負荷 來發現具體應用籤名。然而，由於硬體資源有限、應用對負荷的加密、隱私問題和法律問題 以及實踐中遇到的類似問題等，很難獲得包負荷。公知地，和傳統應用例如DNS、E-mail和Web相比，P2P應用由於具有對等網絡特 徵而具有特殊的行為。除了與傳統應用不同的特殊行為外，P2P內容分布和P2P流媒體在 具體行為上彼此也不同。P2P應用有兩種周期性行為。一種是與節點選擇或節點改變相關的行為，P2P內容 分布和P2P流媒體應用都具有這種周期性行為。對於P2P內容分布而言，節點周期性地運 行阻塞和開放疏通機制，以保持有效的相鄰節點。對於P2P流媒體應用，節點還應用節點選 擇算法，但不應用阻塞和開放疏通機制。P2P流應用中的節點基於相鄰節點對之前發出的緩 存信息的響應來選擇節點。另一種周期性行為是，周期地運行P2P流媒體應用的節點向大 量相鄰節點發出其流媒體緩存信息(緩存映射表)，這導致短時間內該節點與遠程主機之 間突增大量的並發連接。近來，提出了一種被稱為BLINC的新方法，僅利用當前流收集器(思科的Netflow 等)生成的流級(flow-level)信息來識別網際網路應用。BLINC不再對每個單獨流進行識 別，而是將網際網路主機與應用相關聯。其新穎之處在於通過在傳輸層獲得主機的基本模式 來識別主機。然而，BLINC僅可識別應用類型(WEB，DNS, FTP, ATTACK或P2P)，而不能識別 具體軟體(P2P內容分布類型的例如Bit-torrenlBit-Comet等，以及P2P流媒體類型的例 如 PPLive、PPstream 等)。

發明內容
根據上述現有技術的缺陷，本發明提供一種新穎的從混合流量跟蹤信息中識別對 等網絡應用的系統和方法。根據本發明，基於對等網絡應用的行為籤名來進行識別。不僅 可識別應用，而且還可識別具體P2P軟體，例如Bit-torrent、Bit-comet (P2P內容分布應 用)，以及PPlive, PPstream(P2P流媒體應用)。針對現有系統的問題，根據本發明的系統和方法不需獲取任何包負荷。而是僅需 獲取包頭，該包頭包括時間戳、源IP位址和埠號、目的IP位址和埠號以及傳輸層協議。 此外，本發明和方法不需使用任何公知的埠號來解決識別問題。本發明提供一種基於行為籤名識別網絡上P2P應用的系統，包括獲取單元，從網 絡收集的包跟蹤信息中獲取每個包的包頭；過濾器，從所獲取的包中濾除所有無關包，並允 許配置有目標IP或IP埠對的包通過；第一序列生成單元，根據配置有目標IP或IP埠 對的包生成第一離散時間序列；第二序列生成單元，根據配置有目標IP或IP埠對的包生 成第二離散時間序列；序列處理器，生成第一離散時間序列和第二離散時間序列的頻域特 徵；以及分析器，獲取頻域特徵以基於頻域特徵識別P2P應用。而且，本發明提供一種基於行為籤名識別網絡上P2P應用的方法，包括從網絡收 集的包跟蹤信息中獲取每個包的包頭；對獲取的包進行過濾，並輸出配置有目標IP或IP端 口對的包；根據配置有目標IP或IP埠對的包生成第一離散時間序列；根據與目標IP或 IP埠對相關的包生成第二離散時間序列；生成第一離散時間序列和第二離散時間序列 的頻域特徵；以及分析頻域特徵以識別P2P應用。


圖1是示出根據本發明識別P2P應用及具體P2P軟體的系統的方塊示意圖；圖2是示出圖1中所示的並發連接數序列生成單元的方塊示意圖；圖3是示出圖1中所示的傳輸會話序列生成單元的方塊示意圖；圖4是示出圖1中所示的序列處理器的方塊示意圖；圖5是示出根據本發明將大流分為小流的簡單示例；圖6示出根據本發明從原始混合包跟蹤信息中識別P2P應用以及具體P2P軟體的 示例性方法；圖7示出將輸出包跟蹤信息變換為離散時間序列的具體過程；圖8示出圖7中步驟2025的詳細過程；圖9示出圖7中步驟2029的詳細過程；以及圖10示出圖6中步驟204的詳細過程。
具體實施例方式下面將參照附圖對本發明的實施例進行描述，但是這些附圖僅用於說明本發明的 目的而不用於限制本發明。圖1示出根據本發明的示例性系統100，其被配置為從原始混合包跟蹤信息中識 別P2P應用和具體P2P軟體。如圖1所示，系統100包括獲取單元10、過濾器20、過濾條件設置單元30、並發連接數序列生成單元40、傳輸會話序列生成單元50、序列處理器(SP)60以及分析器70。獲取單元10被配置為從包跟蹤信息中的每個包中獲取包頭。所獲取的包頭可包 括包時間戳(TS)、傳輸層協議(TCP或UDP)、源IP位址、源埠號、以及目的IP位址和目的
埠號等。過濾器20接收穫取單元10獲取的包頭，並基於過濾條件設置單元30設置的過濾 條件對與所接收包頭相關的包進行過濾。過濾條件用於設置和配置一個特定IP或IP埠 對作為目標，其被稱為目標IP或IP埠對，在下文將詳細描述。如上述所強調的，根據本 發明的系統100需要包頭來識別P2P應用。因此，該系統處理的僅是從混合包跟蹤信息的 每個包中獲取的包頭。具體地，過濾器20將不屬於P2P應用的包濾除。例如，具有例如0.0.0.0或 255. 255. 255. 255的特定IP位址(源地址或目的地址)的包絕對與P2P應用無關。而且， 具有屬於非P2P的其他固定應用的公知埠號(源埠號或目的埠號)的包也將被濾 除，公知埠號例如TCP/21 (FTP)、TCP或UDP/23 (Telnet)等。應理解的是，如果這些無關 的包仍然在包跟蹤信息中並成為隨後序列的源的一部分，那麼識別的最終結果可能偏離。而且，過濾器20允許滿足過濾條件的包通過。這些包中的每個都配置有目標IP或IP 埠對，無論是源IP、源IP埠對、目的IP還是目的IP埠對。然後，在系統100中處理所有 與目標IP或IP埠對相關的包。也就是說，過濾器20的輸出是這樣的包跟蹤信息，該包跟蹤 信息包括配置有符合過濾條件設置單元30的過濾條件的目標IP或IP埠對的所有包。過濾器10濾除所有無關包且僅通過配置有目標IP或IP埠對的包之後，並發連 接數序列生成單元40、傳輸會話序列生成單元50、序列處理器(SP) 60和分析器70執行對 目的IP或IP埠對進行詳細識別。事實上，應理解，系統100迭代地工作。每當過濾條件設置單元30改變條件時，將 產生新的目標IP或IP埠對。在原始包跟蹤信息的所有IP或IP埠對都經歷了整個過 程並得出結果之後，才完成識別。如上所述，P2P應用有兩種周期性行為。一種是與節點選擇或節點改變相關的行 為，P2P內容分布和P2P流媒體應用都具有這種周期性行為。另一種周期性行為是，P2P流 媒體節點周期性地向相鄰節點發出緩存信息。因此，當一個節點向其相鄰節點發送緩存信 息時，該節點的並發連接數量將會突增。並發連接數序列生成單元40和傳輸會話序列生成單元50被配置為分別捕獲上述 兩種周期性行為。參照圖2，並發連接數序列生成單元40包括收集單元401、計數單元402以及生成 單元403。如上所述，將被並發連接數序列生成單元40接收的所有包都配置有目標IP或 IP埠對。收集單元401將時間戳(TS)屬於相同時段的所有包收集到一組中。例如，如果時 間間隔設置為1秒，則收集單元301將具有時間戳1. 12、1. 34、1. 57、1. 86的包以及具有時 間戳2. 34,2. 45,2. 89的包分別收集入兩組中。計數單元402對與所收集的每個包都相關聯的一個目標IP或IP埠對的並發連 接進行計數。實際上，所有收集的包具有共同的特徵，其源IP或IP埠對或目的IP或IP 埠對相同，也就是目標IP或IP埠對相同。另一方面，每個包都具有源IP或IP埠對和目的IP或IP埠對。除了每個包都具有的(在源位置或目的位置處的)目標IP或IP 埠對之外，兩個包僅當其包含的另一 IP或IP埠對不同時，才認為屬於不同的並發連 接，否則認為這兩個包屬於相同的並發連接。此處的另一 IP或IP埠對被認為是非目標 IP或IP埠對。計數單元402為每個時段維護一張表，該表記錄不同的非目標IP或IP端 口對。當計數單元402計數時，僅包中的非目標IP或IP埠對有意義。當表中沒有記錄 包的非目標IP或IP埠對時，則在表中將增加新的記錄。也就是說，表僅記錄非目標IP 或IP埠對，無論其是否為源IP或IP埠對或目的IP或IP埠對。在對屬於相同時間 段的所有包進行檢查之後，相關的表中的記錄數量與一個目標IP或IP埠對的並發連接 的數量相同。然後，生成單元403生成每個時間段中與該目標IP或IP埠對並發連接數相關 的序列，並輸出該序列。該序列記為χ [η] (Χ [η] =Χ1，Χ2，...，Χη)，其中η表示第η個時間 段。Xn的值是表中第η個時間段的表中的記錄的數量。公知地，當節點阻塞一個其相鄰節點時，該節點將停止向該相鄰節點的上傳操作， 這導致結束該節點和該相鄰節點之間現有數據傳輸會話的節點行為；當節點疏通一個其相 鄰節點時，啟動該節點向該相鄰節點的上傳操作，這導致啟動與該節點的相鄰節點之間的 新的數據傳輸會話的節點行為。傳輸會話序列生成單元50被提供以生成與啟動新的數據 傳輸會話和結束現有的數據傳輸會話的數量相關的序列。與並發連接數序列生成單元40相同，如圖3所示，傳輸會話序列生成單元50接收 過濾器20的輸出，並包括事件發生器(EG)501、收集單元502、計數單元503以及生成單元 504。EG 501生成事件跟蹤信息，事件跟蹤信息由被觸發事件和數據傳輸會話啟動事件 (SE)或數據傳輸會話結束事件(EE)組成。為此，EG 501包括轉換單元5011、過濾單元5012 以及生成單元5013。轉換單元5011接收過濾器20輸出的包跟蹤信息，並將接收的跟蹤信息(即包級 跟蹤信息)轉換為單獨的數據流。每個數據流由特定數量包組成，這些包具有相同的五元 組信息，即，具有相同的源IP位址和埠號、相同的目的IP位址和埠號、以及相同的傳輸 層協議。而且，在一個數據流中的任何兩個連續數據包之間的時間間隔應該小於預定的閾 值。如果數據流包括很少量的包或大量的小包，該數據流的內容則將沒有意義。因此，過濾 器單元5012被配置以濾除無意義的數據流。過濾器單元5012的輸出將是活動流，其中每 個活動流都包括大量的大包。有利地，一個活動數據流中包的數量應該大於預定值，且每個 包的大小應當大於閾值。隨後，根據參數將每個活動數據流分成小流，且由生成單元5013生成事件跟蹤信 息並將其輸出，其中，該參數是一個流中任意兩個連續包之間的時間間隔的閾值。具體地，將兩個連續包之間的時間間隔與預定的閾值進行比較。如果兩個連續包 之間的時間間隔大於閾值，則認為這兩個包屬於兩個不同的流且相應地觸發並記錄兩個事 件。第一事件為數據傳輸會話結束事件，其時間戳與前一個包(前一個包屬於前一個流) 的時間戳相同。第二事件為數據傳輸會話啟動事件，其時間戳與後一個包(後一個包屬於 後一個流)的時間戳相同。
圖5示出了如何將大流分成小流的簡單示例，其中規定時間間隔的閾值為3秒。 因為P3和P4之間的時間間隔為11-6-1 = 4秒，大於閾值3秒，所以P3和P4被收集到不 同的小流會話1和會話2。會話1在第6秒結束，這與P3的時間戳相同，而會話2在第11 秒開始，這與P4的時間戳相同。返回圖3，事件發生器501輸出如上所述的事件跟蹤信息。收集單元502基於事件 的時間戳(TS)收集事件發生器502輸出的所有事件。計數單元503對所收集的與目標IP 或IP埠對相關的事件進行計數。生成單元504生成與目標IP或IP埠對的事件數量 相關的序列。此處，生成的序列表示為Υ[η](Υ[η] =Υ1，Υ2，...，Υη)，其中η表示第η個時 間段。Yn的值是第η個時間段中觸發的事件的數量。因此，傳輸會話生成單元50生成並輸 出與啟動新的數據傳輸會話和結束現有的數據傳輸會話的數量相關的序列。具體地，在計數過程中，可對啟動事件(SE)和結束事件(EE)這兩個事件單獨計 數，從而生成兩個子序列Ys [η]和Ye [η]。對於大多數Ρ2Ρ應用，Ys [η]和Ye [η]擁有與Y [η] 相同的特徵(例如頻域)。然而，對於一些新設計的Ρ2Ρ應用，其Ys[η]和Ye[n]可具有不 同的頻域特徵。雖然這些不同的特徵也屬於Y[n]，但是如果必要時，分離地處理SE和EE可 獲得更詳細的信息和頻域特徵。再次參照圖1，生成單元40和50的輸出X[η]和Y[η]被輸入序列處理器(SP) 60 中。SP 60包括自動相關函數(ACF)單元601以及功率譜密度函數(PSD)單元602。因為 序列X [η]和Y [η]都為隨機序列，因此有必要在PSD單元602對序列X [η]和Y [η]應用PSD 之前，對序列Χ[η]和Υ[η]應用ACF。PSD單元601的結果為頻域信號，該頻域信號表現來 自單元40和50的原始時域序列的頻域特徵。ACF單元601和PSD單元602的結果分別輸 出至分析器70。分析器70被配置以完成籤名建立和應用識別。具體地，分析器70可用來確定輸 入系統100的原始包跟蹤信息是否被人為控制、以及產生這些包的具體Ρ2Ρ應用是否預先 已知。如果是，則將從SP 60獲得的頻域特徵認為是該已知Ρ2Ρ應用的行為籤名。否則，系 統100將處理從特定網關或中間節點收集的原始輸入包跟蹤信息，且分析器70將基於頻域 特徵或行為籤名從混合包跟蹤信息中識別Ρ2Ρ應用。由於運行Ρ2Ρ應用(內容分布和流媒體)的主機通常建立大量與其相鄰節點的並 發連接，因此對具有少量並發連接(例如少於2)的IP或IP埠對進行分析是沒有意義的。 分析器70濾除這些具有少量並發連接的IP或IP埠對。然後，分析器70操作以將過濾 後的頻域特徵或行為籤名映射至具體Ρ2Ρ應用的已有行為籤名。上述映射操作可應用一些現有的模式識別方法。還可應用一些簡單的方案來進行 映射操作。例如，一種公知的Ρ2Ρ流媒體軟體，PPStream，具有下面周期性行為每個運行 PPStream的客戶端主機每隔15秒將向大量相鄰節點發送其緩存映射，這意味著該客戶端 主機的並發連接數序列轉換到頻域後將具有f = l/15Hz的特徵頻率。此外，該客戶端主機 的傳輸會話序列也具有f = l/15Hz的特徵頻率。這兩個特徵頻率可以認為是PPstream軟 件的行為籤名。與一個目標IP或IP埠對相關聯且具有這兩個特徵頻率的所有流量都將 被識別為PPStream流量。另一個示例是P2P文件共享軟體Bit-torrent (BT)。根據BT的 設計協議，BT客戶端的並發連接數序列沒有特徵頻率，而該客戶端的傳輸會話序列具有兩 個不同的特徵頻率，fl = 1/lOHz和f2 = l/30Hz。因此，可以相同的方式識別Bit-torrent流量。圖6示出根據本發明的從原始混合包跟蹤信息中識別P2P應用和識別具體P2P應 用軟體的示例性方法1000。參照圖6，方法1000從步驟200開始，在步驟200中從原始包跟蹤信息中的每個包 中獲取包頭。原始包跟蹤信息可從網關或中間節點收集。在步驟201，濾除所有無關包，該步驟的輸出是包括配置有目標IP或IP埠對的 所有包的包跟蹤信息。在步驟202，將包跟蹤信息轉換為離散時間序列。之後將參照圖7詳細描述步驟 202。在步驟203將離散時間序列轉換為頻域序列，頻域序列是原始包跟蹤信息的行為 籤名。具體地，對離散時間序列應用ACF以得到第一序列，然後對該序列應用PSD以得到第 二序列。第一和第二序列稱為未知流量行為籤名。在步驟204，分析未知流量行為籤名並生成識別結果。具體地，通過將未知流量行 為籤名與預先建立的具體P2P應用籤名進行比較來進行分析。之後將參照圖10進一步描 述步驟204。下面參照圖7詳細描述步驟202。圖7分別示出了生成並發連接數序列的子步驟2021-2023，以及生成傳輸會話序 列的子步驟2024-2029。具體地，在步驟2021中，基於包的時間戳，從接收自步驟201的包跟蹤信息中收集 所有包。然後，在步驟2022對每個時間段的並發連接進行計數。如上所述，所有收集到一 起的包具有共同的特徵，即，其源IP或IP埠對或目的IP或IP埠對相同，也就是都具有 目標IP或IP埠對。此處，每個包所包括的除目標IP或IP埠對之外(在源位置或目 的位置)的另一IP或IP埠對稱為非目標IP或IP埠對。實際上，基於一個表來執行 步驟2022，該表為每個時間段記錄不同的非目標IP或IP埠對。當包的非目標IP或IP 埠對在表中沒有記錄時，則在表中將增加新的記錄。也就是說，表僅記錄非目標IP或IP 埠對，無論其為源IP或IP埠對、還是目的IP或IP埠對。對屬於相同時間段的所有 包進行檢查之後，相關表中的記錄數量與一個目標IP或IP埠對的並發連接的數量相同。在步驟2023，基於所計數的數量生成與並發連接數相關的序列X[n] (X[n] = XI， X2，. . .，Xn)，其中η表示第η個時間段。Xn的值是第η個時間段的表中的記錄的數量。在步驟2024，將步驟201生成的包跟蹤信息中的包轉換為單獨的流，每個流由一 定數量的包組成，這些包具有相同的五元組信息(相同的源IP位址和埠號、相同的目的 IP位址和埠號、以及相同的傳輸層協議)。而且，流中任何兩個連續的包之間的時間間隔 應該小於預定的閾值。在步驟2025，濾除無意義的流以及非常短的流。同時，形成包括大量 大包的活動流。之後將參照圖8詳細描述步驟2025。隨後，將剩餘的流分成小流，並在步驟2026中生成包括時間戳的輸出事件跟蹤信 息(當該事件被觸發時)以及特性(啟動事件或結束事件)。然後，在步驟2027基於時間戳收集輸出的事件跟蹤信息。在步驟2028，以與步驟 2022相似的方式對每個時間段所收集的事件跟蹤信息進行計數。在步驟2029，基於所計數的數量，生成與啟動新的數據傳輸會話和結束現有的傳輸會話的數量相關的序列。此處的 序列表示為Υ[η] (Y[η] = Yl，Υ2，. . .，Υη)，其中η表示第η個時間段。Yn的值是第η個時 間段中觸發的事件的數量。之後將參照圖9詳細描述步驟2029。圖8示出步驟2025的詳細過程。在步驟801設置參數，參數包括定義為大包的包 的大小以及所需大包數量的閾值。在步驟802，將輸出的事件跟蹤信息中每個包的大小與 預定的大小進行比較，並對大包進行計數。大小大於預定大小的包認為是大包。然後，在步 驟803，確定大包的數量是否大於或等於預定的大包數量。如果是，則在步驟804保留該流。 如果不是，則在步驟805丟棄該流。圖9示出步驟2029的詳細步驟。在步驟901，設置任何兩個連續包之間的時間間隔閾值。在步驟902，將兩個連續 包之間的時間間隔與設定的閾值進行比較。如果兩個連續包之間的時間間隔大於閾值，則 在步驟903將認為這兩個包屬於兩個不同的流且觸發並記錄兩個事件。第一事件是現有數 據傳輸會話結束事件，其時間戳與前一個包的時間戳相同。第二事件是數據傳輸會話啟動 事件，其時間戳和後一個包的時間戳相同。如果兩個連續包之間的時間間隔不大於閾值，則 在步驟904提取緊接著的下兩個連續包，並轉至步驟902。參照圖10，詳細描述分析頻域特徵的步驟204。在步驟1001，確定是原始輸入包跟蹤信息為人為控制還是產生包跟蹤信息的具體 Ρ2Ρ應用預先已知。如果產生包跟蹤信息的具體Ρ2Ρ應用預先已知，則在步驟1002將在步 驟203獲得的頻域特徵(即未知行為籤名)作為該已知的Ρ2Ρ應用的行為籤名。當原始輸 入包跟蹤信息是通過一些網關或中間節點混合和收集時，在步驟1003和1004基於頻域特 徵或行為籤名進行識別。由於運行Ρ2Ρ應用的主機通常建立大量與相鄰節點的並發連接，因此分析具有少 量並發連接(例如少於2)的IP或IP埠對是沒有意義的。在步驟1003，濾除具有少量並發連接的目標IP或IP埠對。在步驟1004，將過 濾後的頻域特徵或行為籤名映射至具體Ρ2Ρ應用的現有行為標籤。綜上所述，描述了從原始混合包跟蹤信息中識別對等網絡應用的新穎的系統和方 法。在不脫離所附權利要求書限定的本發明更寬的精神和範圍的情況下，可進行不同的改 動和變化。因此，具體實施方式
和附圖用於解釋而不用於限定。
權利要求
一種基於行為籤名識別網絡上P2P應用的系統，包括獲取單元，從網絡收集的包跟蹤信息中獲取每個包的包頭；過濾器，從所獲取的包中濾除所有無關包，並允許配置有目標IP或IP埠對的包通過；第一序列生成單元，根據所述配置有目標IP或IP埠對的包生成第一離散時間序列；第二序列生成單元，根據所述配置有目標IP或IP埠對的包生成第二離散時間序列；序列處理器，生成所述第一離散時間序列和第二離散時間序列的頻域特徵；以及分析器，獲取所述頻域特徵以基於所述頻域特徵識別P2P應用。
2.如權利要求1所述的系統，進一步包括 過濾條件設置單元，設置所述目標IP或IP埠對。
3.如權利要求1所述的系統，其中，所述第一序列生成單元進一步包括 收集單元，通過時間戳來收集所述配置有目標IP或IP埠對的包； 計數單元，對收集的包中的非目標IP或IP埠對進行計數；以及 生成單元，基於計數結果生成所述第一離散時間序列。
4.如權利要求3所述的系統，其中，所述第一離散時間序列是與每個時間段中所述目 標IP或IP埠對相關的並發連接數序列。
5.如權利要求1所述的系統，其中，所述第二序列生成單元進一步包括 事件發生器，生成與所述目標IP或IP埠對相關的事件；收集單元，基於時間戳收集生成的事件； 計數單元，對所收集的事件進行計數；以及 生成單元，基於計數結果生成所述第二離散事件序列。
6.如權利要求5所述的系統，其中，所述事件發生器進一步包括轉換單元，將配置有所述目標IP或IP埠對的包轉換為單獨的數據流；過濾單元，獲得活動數據流；以及生成單元，根據所述活動數據流生成所述事件。
7.如權利要求6所述的系統，其中，每個數據流包括具有相同的五元組信息的包，所述 相同的五元組信息包括相同的源IP位址和埠號、相同的目的IP位址和埠號、以及相同 的傳輸層協議。
8.如權利要求5所述的系統，其中，所述事件包括新數據傳輸會話啟動事件以及現有 數據傳輸會話結束事件。
9.如權利要求1所述的系統，其中，所述序列處理器進一步包括自動相關函數單元，對所述第一離散時間序列和第二離散時間序列應用自動相關函數 操作，以去除所述第一離散時間序列和第二離散時間序列中隨機分量；以及功率譜密度函數單元，對已經去除了隨機分量的序列應用功率譜密度函數操作，以得 到頻域特徵。
10.如權利要求1所述的系統，其中，所述分析器進一步將頻域特徵映射至預先建立的 行為籤名。
11.如權利要求10所述的系統，其中，所述映射是利用模式識別技術或簡單比較來實 現的。
12.如權利要求1所述的系統，其中，所述P2P應用包括P2P內容分布應用和P2P流媒體應用。
13.一種基於行為籤名識別網絡上P2P應用的方法，包括 從網絡收集的包跟蹤信息中獲取每個包的包頭；對獲取的包進行過濾，並輸出配置有所述目標IP或IP埠對的包； 根據配置有所述目標IP或IP埠對的包生成第一離散時間序列； 根據與所述目標IP或IP埠對相關的包生成第二離散時間序列； 生成第一離散時間序列和第二離散時間序列的頻域特徵；以及 分析所述頻域特徵以識別所述P2P應用。
14.如權利要求13所述的方法，進一步包括通過建立至少一個過濾條件來設置所述目標IP或IP埠對。
15.如權利要求14所述的方法，其中，所述生成第一離散時間序列包括 通過時間戳收集配置有所述目標IP或IP埠對的包；對所收集的包中所述目標IP或IP埠對的並發連接進行計數；以及 基於計數結果，生成所述第一離散時間序列。
16.如權利要求13所述的方法，其中，所述生成第二離散時間序列進一步包括 生成與所述目標IP或IP埠對相關的事件；基於時間戳收集所生成的事件； 對所收集的事件進行計數；以及 基於計數結果，生成所述第二離散時間序列。
17.如權利要求16所述的方法，其中，生成所述事件的步驟進一步包括 將配置有所述目標IP或IP埠對的包轉換為單獨的數據流；對轉換後的數據流進行過濾以輸出由一定數量的大包組成的活動流；以及 根據所述活動流生成所述事件。
18.如權利要求17所述的方法，其中，所述單獨的數據流包括具有相同的五元組信息 的包，所述相同的五元組信息包括相同的源IP位址和埠號、相同的目的IP位址和埠 號、以及相同的傳輸層協議。
19.如權利要求18所述的方法，所述事件包括新數據傳輸會話啟動事件以及現有數據 傳輸會話結束事件。
20.如權利要求13所述的方法，其中，生成所述頻域特徵的步驟進一步包括對所述第一離散時間序列和第二離散時間序列應用自動相關函數操作，以去除所述第 一離散時間序列和第二離散時間序列中的隨機分量；以及對已經去除隨機分量的序列應用功率譜密度函數操作，以得到所述頻域特徵。
21.如權利要求13所述的方法，其中，分析所述頻域特徵的步驟進一步包括 將所述頻域特徵映射至預先建立的行為籤名。
22.如權利要求21所述的系統，其中，所述映射是利用模式識別技術或簡單比較來實 現的。
全文摘要
公開了基於行為籤名從原始混合包跟蹤信息中識別P2P應用以及具體P2P軟體的系統和方法。根據本發明基於行為籤名的系統和方法主要用於檢查應用是否具有特定的周期性行為。本發明的方法包括濾除所有無關包；將過濾後的包跟蹤信息轉換為離散時間序列；處理所述序列以獲得原始包跟蹤信息的頻域特徵；以及分析頻域特徵並確定識別結果。
文檔編號H04L12/56GK101911614SQ200980101549
公開日2010年12月8日 申請日期2009年1月19日 優先權日2008年1月23日
發明者傅正佳, 邱達民 申請人:香港中文大學