基於p2p高速下載軟體產生流量的發現及控制方法
2023-05-01 09:03:21
專利名稱:基於p2p高速下載軟體產生流量的發現及控制方法
技術領域:
本發明涉及一種對軟體使用狀況進行監控的方法,具體涉及基於P2P高速下載軟體產生流量的發現及控制方法。
背景技術:
基於P2P的高速下載軟體採用分布式對象的定位、共享機制,使網絡用戶之間實現直接資源共享,因此,它為用戶資源共享提供了前所未有的自由和便利。然而,高速下載軟體也帶來了負面的影響,主要表現為,1、網絡帶寬資源被非法佔用高速下載軟體的使用常常導致網絡帶寬資源被大量的非法佔用,從而影響了正常的網絡通信;2、會成為機密資料洩密、病毒傳播的最佳管道由於基於P2P的高速下載軟體可以實現直接資源共享,因此,它也成為機密資料洩密、病毒傳播的最佳管道。因此,如何有效地發現及控制基於P2P的高速下載軟體的傳輸流量(使用狀況),已經成為網絡用戶普遍關注的問題。
傳統的發現及控制基於P2P的高速下載軟體產生的流量的解決辦法包括採用限制和監控瀏覽BT網站、封閉高速下載軟體下載埠、限制用戶帶寬、限制最大連接數等方法。但這些方法並未起到理想的效果,這是因為用戶不通過BT網站也可以得到「種子」;另一方面基於P2P的高速下載軟體採用埠協商的方式,通訊埠是動態的,使得用戶無法確定該封鎖的埠;同時限制用戶帶寬、限制最大連接數的方法雖然可以對控制(阻斷)高速下載軟體產生的流量具有一定的作用,但是,這種方法不能從根本上解決問題,而且可能會影響用戶正常的網絡使用。
發明內容
本發明的主要目的是提供一種基於P2P高速下載軟體產生流量的發現及控制方法,以克服現有技術存在的網絡帶寬資源被非法佔用並且會成為機密資料洩密、病毒傳播的最佳管道的問題。
為克服現有技術存在的問題,本發明的技術方案是通過對數據包特徵碼(關鍵字)進行識別來確認高速下載軟體類型,然後通過阻斷(或丟棄)它的TCP連接握手協議數據包,達到阻斷高速下載軟體運行(產生的流量)的目的。
本方法具體包括以下幾個步驟步驟一建立基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)庫和控制規則庫,其中控制規則庫是指由用戶配置的關於各個基於P2P的高速下載軟體產生的流量的處理規則,該控制規則庫通過一條或多條規則組成,先添加的規則先生效;步驟二在傳輸層捕獲每一個數據包;步驟三對每一個數據包進行特徵碼(關鍵字)匹配,通過匹配到的特徵碼(關鍵字)來確認產生該數據包的高速下載軟體類型;步驟四如果確定了某個數據包符合某個基於P2P的高速下載軟體特徵碼(關鍵字),則根據該特徵碼即可確定該高速下載軟體的類型,系統自動報警;如果數據包與特徵碼(關鍵字)庫中的任何特徵碼(關鍵字)都不匹配,則說明該數據包非基於P2P的高速下載軟體產生的數據包,則系統放行。
上述方案還包括步驟(五),根據高速下載軟體類型進行相應的控制規則匹配,執行系統的預置操作。
上述步驟一中所述的基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)至少包括BT,電驢,fasttrack,gnutella,dc,openft。
上述步驟四所述的特徵碼(關鍵字)匹配為首先捕獲數據包,然後將數據包的內容與關鍵字庫中的所有特徵碼(關鍵字)進行逐一對比,如果匹配上其中的一個特徵碼(關鍵字),則匹配過程停止,提取該特徵碼(關鍵字)對應的高速下載軟體類型,並繼續執行步驟五,根據高速下載軟體類型進行相應的控制規則匹配。
以上步驟五所述的高速下載軟體類型控制規則匹配為首先逐行的讀取基於P2P的高速下載軟體控制規則文件,將規則文件逐行轉化為規則的內部鍊表形式,再遍歷整個規則鍊表,對基於P2P的高速下載軟體類型進行匹配,一旦匹配到某條規則,立即停止對規則鍊表的遍歷,並執行該條鍊表規則的動作;系統預置動作至少包括阻斷、放行或放入黑名單等。
上面兩個步驟中所說的放行是指本發明所涉及的基於P2P的高速下載軟體產生的流量阻斷模塊對該數據包放行,而不代表整個系統(防火牆、IDS等)對該數據包放行。
與現有技術相比,本發明的優點是本發明從根本上解決了基於P2P的高速下載軟體產生的流量的發現和控制問題,從而解決了一直難以克服的兩大問題1、防止網絡帶寬資源非法佔用本發明可對基於P2P的高速下載軟體產生的流量的監控,可有效避免大量的在線長時間下載帶來的網絡帶寬濫用問題,不再對正常的網絡通信造成影響;2、杜絕了通過基於P2P的高速下載軟體進行的機密數據盜竊行為和網絡病毒傳播行為,同時,不影響合法用戶的正常網絡訪問;3、本發明適用範圍廣,主要用於對高速下載軟體的發現及控制方法,重點是發現,其可用於防火牆、IDS等設備中。
附圖為本發明基於P2P的高速下載軟體產生的流量控制流程圖。
具體實施例方式下面以在防火牆設備中實施本發明為例來進行詳細說明。實施時需要在防火牆中設置基於P2P的高速下載軟體產生的流量檢測控制模塊,該模塊完成基於P2P的高速下載軟體產生的流量的檢測、控制功能。
步驟一建立基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)庫和控制規則庫。在建立特徵碼(關鍵字)庫之前,首先要確認需要進行控制的基於P2P的高速下載軟體種類,然後對於每個選中的高速下載軟體種類進行分析,合理的確定其中的特徵碼(關鍵字)。關鍵字的確定原則是關鍵字要具有該協議的典型代表性,同時要儘量減小誤報的可能性。我們以基於P2P的高速下載軟體BT為例,來說明如何選擇特徵碼(關鍵字)。BT軟體通過BitTorrent對等協議進行數據傳輸,該協議是基於TCP協議,BitTorrent協議通過三次握手來建立連接。第一次握手的過程首先是先發送「BitTorrent protocol」,這時發送的「BitTorrent protocol」就是本發明方法中的BitTorrent對等協議特徵碼(關鍵字)關鍵字。其它的基於P2P的高速下載軟體產生的流量與BitTorrent對等協議具有大同小異的架構,依次都可以在流量中提取出關鍵字,將這些關鍵字集合到一起構成基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)庫。關鍵字庫的格式為
特徵碼(關鍵字)庫是可擴展的,如果要在防火牆中增加一種基於P2P的高速下載軟體產生的流量的檢測控制,可以通過在特徵碼(關鍵字)庫加入一個或幾個特徵碼(關鍵字)來實現。
基於P2P的高速下載軟體產生的流量的控制規則庫是與基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)庫相對應的,該庫中記錄著對應於特徵碼(關鍵字)庫中每個高速下載軟體的處置方法。規則的具體格式如下所示
高速下載軟體的流量控制規則由源/目的地址/網段,下載軟體類型,時間段等因素來控制對於該高速下載軟體的流量的處理動作。
在準備好特徵碼(關鍵字)庫和控制規則庫後,就可以進入防火牆的基於P2P的高速下載軟體產生的流量控制流程。
步驟(二),在傳輸層捕獲每一個數據包防火牆在工作時,其乙太網卡設置為混雜模式。與該網卡相連的區域網上的所有數據包均會被捕獲。每當一個數據包被捕獲時,防火牆的基於P2P的高速下載軟體產生的流量檢測控制模塊首先進行數據包的解碼工作,並判斷其是否為IP包。如果是IP包則進行相應的傳輸層解碼,然後進入高速下載軟體類型檢測步驟。
步驟(三),對每一個數據包進行特徵碼(關鍵字)匹配,通過匹配到的特徵碼(關鍵字)來確認產生該數據包的高速下載軟體類型模塊首先將關鍵字庫逐行讀入,並轉化為規則的內部鍊表形式,然後,將數據包中的數據和關鍵字庫中的關鍵字進行一一比對,以確認該數據包是否為高速下載軟體產生數據包。
步驟(四),如果發現數據包中的數據和特徵碼(關鍵字)庫中的某個關鍵字相匹配,則停止比對過程,根據該特徵碼即可確定該高速下載軟體的類型,系統自動報警;如果數據包與特徵碼(關鍵字)庫中的任何特徵碼(關鍵字)都不匹配,則說明該數據包非基於P2P的高速下載軟體產生的數據包,則系統放行。
步驟(五),根據高速下載軟體類型進行相應的控制規則匹配,執行系統的預置操作根據得到的該關鍵字鍊表節點中對應的下載軟體類型,並將該類型數據提交給規則匹配模塊。
檢測模塊逐行的讀取基於P2P的高速下載軟體產生的流量的控制規則庫規則文件,將規則文件逐行轉化為規則的內部鍊表形式,再遍歷整個規則鍊表,對有上一步提交的下載軟體類型進行匹配。這裡提到的規則的內部鍊表形式是指一個二維的鍊表其中橫向鍊表稱作「鏈頭」,縱向鍊表稱為「鏈選項」,「鏈頭」中存儲著下載軟體類型信息,即針對某個下載軟體類型的入口信息,「鏈選項」中存儲著針對於該下載軟體類型規則屬性,如源/目的地址/網段、時間段、動作等等信息。由此可以提高匹配速度,增強性能,同時減少對於防火牆整體設備的影響。
檢測模塊一旦匹配到某條規則,立即停止對規則鍊表的遍歷,並執行該條鍊表的「鏈選項」中規定的屬性和動作,並根據鍊表的規定決定是否對本次操作進行日誌記錄。
最後所應說明的是以上實施方式僅用以說明而非限制本發明的技術方案,儘管參照上述實施方式對本發明進行了詳細的說明,本領域的普通技術人員應當理解依然可以對本發明進行修改或者等同替換,而不脫離本發明的精神和範圍的任何修改與局部替換,其均應涵蓋在本發明的權利要求範圍內。
權利要求
1.一種基於P2P高速下載軟體產生流量的發現及控制方法,通過對數據包特徵碼(關鍵字)進行識別來確認高速下載軟體類型,然後通過阻斷(或丟棄)它的TCP連接握手協議數據包,達到阻斷高速下載軟體運行(產生的流量)的目的。
2.如權利要求1所述的基於P2P高速下載軟體產生流量的發現及控制方法,其特徵在於具體包括以下幾個步驟,步驟一建立基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)庫和控制規則庫,其中控制規則庫是指由用戶配置的關於各個基於P2P的高速下載軟體產生的流量的處理規則,該控制規則庫通過一條或多條規則組成,先添加的規則先生效;步驟二在傳輸層捕獲每一個數據包;步驟三對每一個數據包進行特徵碼(關鍵字)匹配,通過匹配到的特徵碼(關鍵字)來確認產生該數據包的高速下載軟體類型;步驟四如果確定了某個數據包符合某個基於P2P的高速下載軟體特徵碼(關鍵字),則根據該特徵碼即可確定該高速下載軟體的類型,系統自動報警;如果數據包與特徵碼(關鍵字)庫中的任何特徵碼(關鍵字)都不匹配,則說明該數據包非基於P2P的高速下載軟體產生的數據包,則系統放行。
3.如權利要求2所述的基於P2P高速下載軟體產生流量的發現及控制方法,其特徵在於還包括步驟(五),根據高速下載軟體類型進行相應的控制規則匹配,執行系統的預置操作。
4.如權利要求2或3所述的基於P2P高速下載軟體產生流量的發現及控制方法,其特徵在於所述的基於P2P的高速下載軟體產生的流量的特徵碼(關鍵字)至少包括BT,電驢,fasttrack,gnutella,dc,openft。
5.如權利要求4所述的基於P2P高速下載軟體產生流量的發現及控制方法,其特徵在於步驟(四)中所述的特徵碼(關鍵字)匹配為,首先捕獲數據包,然後將數據包的內容與關鍵字庫中的所有特徵碼(關鍵字)進行逐一對比,如果匹配上其中的一個特徵碼(關鍵字),則匹配過程停止,提取該特徵碼(關鍵字)對應的高速下載軟體類型,並繼續執行步驟五,根據高速下載軟體類型進行相應的控制規則匹配。
6.如權利要求5所述的基於P2P高速下載軟體產生流量的發現及控制方法,其特徵在於步驟(五)所述的高速下載軟體類型控制規則匹配為,首先逐行的讀取基於P2P的高速下載軟體控制規則文件,將規則文件逐行轉化為規則的內部鍊表形式,再遍歷整個規則鍊表,對基於P2P的高速下載軟體類型進行匹配,一旦匹配到某條規則,立即停止對規則鍊表的遍歷,並執行該條鍊表規則的動作;系統預置動作至少包括阻斷、放行或放入黑名單等。
全文摘要
本發明涉及一種對軟體使用狀況進行監控的方法,具體涉及基於P2P高速下載軟體產生流量的發現及控制方法。本發明的主要目的是提供一種基於P2P的高速下載軟體產生的流量的發現及控制方法,以克服現有技術存在的網絡帶寬資源被非法佔用並且會成為機密資料洩密、病毒傳播的最佳管道的問題。為克服現有技術存在的問題,本發明的技術方案是通過對數據包特徵碼(關鍵字)進行識別來確認高速下載軟體類型,然後通過阻斷(或丟棄)它的TCP連接握手協議數據包,達到阻斷高速下載軟體運行(產生的流量)的目的。
文檔編號H04L29/06GK1750538SQ20051009609
公開日2006年3月22日 申請日期2005年9月29日 優先權日2005年9月29日
發明者向冬, 廖明濤, 張永斌, 樊長安, 劉志強, 李金庫, 吳華強, 趙明璋, 溫明志, 明麗, 王紅豔 申請人:西安交大捷普網絡科技有限公司