CN101184002A - 一种点对点流量深度监测方法和设备 - Google Patents
一种点对点流量深度监测方法和设备 Download PDFInfo
- Publication number
- CN101184002A CN101184002A CNA2007101796140A CN200710179614A CN101184002A CN 101184002 A CN101184002 A CN 101184002A CN A2007101796140 A CNA2007101796140 A CN A2007101796140A CN 200710179614 A CN200710179614 A CN 200710179614A CN 101184002 A CN101184002 A CN 101184002A
- Authority
- CN
- China
- Prior art keywords
- packet
- judge
- port
- address
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种点对点流量深度监测方法,包括:实时捕获数据包,并放入缓存中;从所述缓存中提取数据包,通过预先设置的两种以上比特流(BT)数据包识别方式中的一种,判断所述数据包是否为BT数据包,如果是,则发布判断结果,并结束流程;否则,通过所述预先设置的两种以上BT数据包识别方式中其它未使用的BT数据包识别方式,判断所述数据包是否为BT数据包,如果通过所有BT数据包识别方式均判定所述数据包不是BT数据包,则结束流程。本发明实施例同时公开了一种点对点流量深度监测设备。应用本发明实施例所述的方法和设备,能够准确地识别出BT数据包。
Description
技术领域
本发明涉及流量监测技术,特别涉及一种点对点(P2P,Point to Point)流量深度监测方法和设备。
背景技术
比特流(BT,BitTorrent)协议是一种基于P2P技术的文件分发协议,通过统一资源定位符(URL,Uniform Resource Locator)识别内容并且和网络无缝结合。BT协议基于超文本传输协议(HTTP,Hypertext Transfer Protocol)平台实现,其特点在于文件下载者在下载文件的同时,还可以不断地相互上传数据,以使得文件源在有限的负载增加情况下,能够支持大量下载者同时下载。
一个BT式文件分发通常需要以下实体:一个普通网络服务器,如个人计算机(PC,Personal Computer);一个静态元信息文件;一个BT跟踪服务器(Tracker);一个“原始”下载者,即提供种子的用户;网络终端浏览者;网络终端下载者。
假设理想情况下,一个文件有多个下载者,那么现有技术中,架设一个BT服务器的步骤如下:
开始运行Tracker(已运行的跳过这一步);开始运行网络服务器端程序(已运行的跳过这一步);在网络服务器上将元信息文件(.torrent文件)关联到Mimetype类型application/x-bittorrent(已关联的跳过这一步);用要发布的完整文件和Tracker的URL创建一个.torrent文件;将.torrent文件放置在网络服务器上;在网页上发布.torrent文件链接;原始下载者提供完整的文件(原本)。上述过程中的网络服务器是指发布种子信息的服务器,即发布种子信息的网站所在的网络服务器,而Tracker是指实际保存种子信息及对应的文件的服务器,用户是看不见的。也就是说,对于用户来说,只知道通过网页浏览,从某一网站下载种子信息以及与该种子对应的文件,但实际上,与该种子对应的文件是存储在Tracker上的。
用户通过客户端进行BT下载的步骤如下:
安装BT客户端程序(已安装的跳过这一步);上网;点击一个链接到.torrent文件的链接;选择本地存储路径,选定需要下载的文件;等待下载完成;用户退出下载。在退出下载之前,用户不停地上传数据。
在客户端下载期间,整个网络的连接状况如下:
网站正常提供静态文件连接;用户启动客户端上的BT程序。Tracker即时接收所有下载者信息,并且给每个下载者一份随机的对等方(peer)列表,即下载者可以连接的其它客户端的信息。下载者每隔一段时间连接一次Tracher,以告知Tracher自己的进度,比如,已经下载了多少信息,还有多少信息没有下载等,并和已经直接连接上的peer进行数据的上传下载。这些连接均遵循BitTorrent peer协议,通过传输控制协议(TCP,Transfer ControlProtocol)进行通信。其中,原始下载者,即提供种子的用户只上传不下载,他拥有整个文件,所以需要向网络传输文件的所有部分。但在一些人气很旺的下载中,原始下载者可以在较短的时间内退出上传,由其它已经下载到整个文件的下载者继续提供上传。
现有技术中,支持BT协议的P2P应用程序很多,比如,比特伙伴(BitBuddy)、***快车(FlashBT)、比特彗星(BitComet)以及比特精灵(BitSpirit)等。
基于上述介绍,现有技术中,BT应用程序的工作过程可归纳为以下步骤:
1)种子提供者将torrent文件上载到种子发布站点,并在tracker服务器上发布信息。默认情况下,BT协议的监听端口为6881-6889,也可由使用者指定;tracker服务器的监听端口主要有8080、8000、6969和2710,它们采取的连接方式都是TCP。
2)下载者所在客户端获取.torrent文件,并向.torrent文件中提供的tracker服务器依次发起连接请求,直至与其中之一建立TCP连接并获取Peer列表,即获取下载者所在客户端可以连接的其它客户端信息。
3)下载者所在客户端随机地向Peer列表中的Peer发起连接请求分组,因为Peer列表中Peer个数比较多,所以在短时间内会发出大量TCP连接请求分组。这些连接请求分组的源地址相同,源端口号相邻,目的地址/端口号不同,并有相当一部分的目的端口号在6881-6889之间。
4)如果连接建立成功,BT Peer之间进行握手,握手过程中使用特征字符串“BitTorrent protocol”,然后使用感兴趣(interested)、不感兴趣(notinterested)、抑制(choke)和畅通(unchoke)等4种分组互通对资源的意愿情况,之后通过请求分块(Request Piece)和Piece分组传输资源。
5)资源传输完毕,关闭TCP连接。
现有技术中,在很多情况下,需要对P2P流量进行识别,即对网络通信过程中的哪些数据包为BT数据包进行识别,并根据识别结果进行后续处理,比如,分析、取证等。现有技术中常用的识别方式为端口识别方式以及单关键字识别方式。由于通常情况下,BT协议传输使用的端口为6881~6889,所以通过识别当前数据包的端口是否为6881~6889之间的某个端口,即可确定该数据包是否为BT数据包。或者,通过解析数据包中是否携带有某个关键字,比如“BitTorrent protocol”,来确定当前数据包是否为BT数据包。
采用上述两种方式虽然能够在一定程度上识别出BT数据包,但采用上述两种方式识别BT数据包的准确率都比较低。因为,如果用户使用的端口不是6881~6889中的一个,而是用户自己定义的一个端口;或者,当BT协议版本升级时,BT数据包格式中可能不再携带“BitTorrent protocol”这一关键字,那么采用上述方式就不能正确识别出当前数据包是否为BT数据包。
发明内容
本发明实施例提供一种点对点流量深度监测方法,能够准确地识别出BT数据包。
本发明实施例同时提供一种点对点流量深度监测设备,能够准确地识别出BT数据包。
本发明实施例的技术方案是这样实现的:
一种点对点流量深度监测方法,该方法包括:
实时捕获数据包,并放入缓存中;
从所述缓存中提取数据包,通过预先设置的两种以上比特流BT数据包识别方式中的一种,判断所述数据包是否为BT数据包,如果是,则发布判断结果,并结束流程;
否则,通过所述预先设置的两种以上BT数据包识别方式中其它未使用的BT数据包识别方式,判断所述数据包是否为BT数据包,如果通过所有BT数据包识别方式均判定所述数据包不是BT数据包,则结束流程。
一种点对点流量深度监测设备,该设备包括:数据包捕获单元、应用协议及内容分析单元以及结果发布单元;
所述数据包捕获单元,用于实时捕获数据包,并放入缓存中;
所述应用协议及内容分析单元,用于从所述缓存中提取数据包,通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包,如果是,则将所述判断结果发送给所述结果发布单元;如果不是,则通过所述预先设置的两种以上BT数据包识别方式中其它未使用的BT数据包识别方式,判断所述数据包是否为BT数据包,如果通过所有BT数据包识别方式均判定所述数据包不是BT数据包,则可以确定所述数据包不是BT数据包;
所述结果发布单元,用于将接收自所述应用协议及内容分析单元的判断结果进行发布。
可见,采用本发明实施例的技术方案,实时捕获数据包,并放入缓存中;从缓存中提取数据包,通过预先设置的两种以上BT数据包识别方式中的一种,判断该数据包是否为BT数据包,如果是,则发布判断结果;否则,通过所述预先设置的两种以上BT数据包识别方式中其它未使用的方式判断该数据包是否为BT数据包,如果通过所有方式均判定该数据包不是BT数据包,则结束流程。与现有技术相比,本发明实施例所述方案中通过多种方式来判断当前数据包是否为BT数据包,从而提高了BT数据包的识别准确度。
附图说明
图1为本发明方法实施例的流程图。
图2为本发明设备实施例的组成结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施方式中提出一种P2P流量深度监测方案,即:实时捕获数据包,并放入缓存中;从缓存中提取数据包,通过预先设置的两种以上BT数据包识别方式中的一种,判断该数据包是否为BT数据包,如果是,则发布判断结果信息,包括该数据包的源和目的IP地址及端口、捕获时间以及数据包长度等;否则,通过预先设置的两种以上BT数据包识别方式中其它未使用的方式判断该数据包是否为BT数据包,如果通过所有方式均判定该数据包不是BT数据包,则认为该数据包不是BT数据包。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明作进一步地详细说明。
图1为本发明方法实施例的流程图。在实际应用中,本发明实施例所述方法可通过设置在某一局域网的汇聚网处的识别设备来实现。如图1所示,包括以下步骤:
步骤101:进行初始化。
本步骤具体包括:读取配置信息,装载发现策略以及读取历史关联链表中的记录。其中,读取配置信息是指获取预先设置的配置信息,比如,需要监控的端口、识别结果存放在哪里以及是否需要将识别结果导出等信息。装载发现策略即指获取预先设置的BT数据包识别方式,这里所提到的BT数据包识别方式通常为两种以上。历史关联链表为预先设置的、用于记载之前已经确定为BT数据包的数据包相关信息,如源IP地址和端口,目的IP地址和端口等。
步骤102:开启三个线程,即数据包捕获线程、应用协议及内容分析线程以及结果发布线程。
其中,数据包捕获线程,用于从网卡中实时捕获数据包,并放入缓存中;应用协议及内容分析线程,用于从缓存中实时提取数据包,进行协议分析以及内容分析;结果发布线程,用于将分析结果通过Web技术进行发布,比如,发布到多台监测人员所使用的客户端上,以便监测人员根据分析结果进行后续处理。
步骤103:数据包捕获线程从网卡中实时捕获数据包,并放入缓存,形成队列。
步骤104:应用协议及内容分析线程从缓存中快速提取出数据包进行分析,即进行IP协议报文的解封装,如去掉帧头等,提取出其中携带的源和目的IP地址及端口,找到TCP或是用户数据报协议(UDP,User Datagram Protocol)报文内容的起始位置,提取出数据报文。
其中,解封装的方式与现有技术中相同,不再赘述。
步骤105:将步骤104中提取出的源和目的IP地址以及端口与预先设置的历史关联链表中记录的信息进行比较,即判断提取出的源和目的IP地址以及端口是否已经被记录在了历史关联链表中,如果是,则判定当前的数据包为BT数据包,并结束流程;否则,判定当前数据包不是BT数据包,并执行步骤106。
依据之前的介绍可知,历史关联链表中记录的信息为已经判定为BT数据包的数据包相关信息,所以本步骤中,通过将当前数据包中提取的信息与记录的数据包相关信息进行比较,即可判定当前的数据包是否为BT数据包。
步骤106:分析步骤104中提取出的数据报文,判断其中是否同时携带有关键字“GET”、“″HTTP/1.1”、“.torrent”;如果有,则判定当前的数据包为BT数据报,并结束流程;如果没有,则执行步骤107。
本步骤中,如果判断出数据报文中同时携带有关键字“GET”、“″HTTP/1.1”以及“.torrent”,则说明该数据包为元信息文件下载包,其中含有BT的文件名称,那么,则需要进一步解析出该BT文件名称。具体解析方式为本领域公知。比如,本发明实施例中,可以调用一个预先设置的用于解析该情况下的BT文件名称的函数handle_tornt_from_http来进行解析。并且,可以将解析出的BT文件名称发送给结果发布线程,由结果发布线程将接收到的BT文件名称进行发布,具体发布方式可以只指存储到磁盘上或者显示到监测人员所在客户端的屏幕上等。
另外,本步骤中,在判断出当前数据包为BT数据包后,还需要判断当前数据包的源和目的IP地址以及端口是否已经存在于预先设置的历史关联链表中,如果没有,则将当前数据包的源和目的IP地址以及端口添加到历史关联链表中,以便之后再次捕获到该数据包时,可以通过步骤105所述方式判断该数据包是否为BT数据包。以下步骤中如果判断出当前数据包为BT数据包时,也要执行上述判断及添加流程,后续类似情况时将不再赘述。
步骤107:分析步骤104中提取出的数据报文,判断其中是否携带有关键字“通知(announce)”;如果有,则判定当前的数据包为BT数据报,并结束流程;如果没有,则执行步骤108。
本步骤中,如果判断出数据报文中携带有关键字“announce”,那么则说明该数据包为客户端向Tracker发送的消息,并且其中携带有BT的文件名称。那么,则需要进一步解析出该BT文件名称。现有技术中,对于客户端向Tracker发送的消息,通常会采用B编码方式,所以本步骤中,需要对B编码的数据报文进行解析,获取其中携带的BT报文名称。
其中,B编码的具体规则为:
字符串表示为十进制数的既定字符串长度加冒号再加原字符串,如4:spam就相当于′spam′。
整型数据表示为前面加′i′后面加′e′中间是十进制数,如i3e就相当于3,i-3e就相当于-3;整型数据没有长度限制;i-0e表示无效,所有以′i0′开头的除了代表0的i0e外,其它也都无效。
列表编码以一个′l′开头,后面跟它所包含的项目(已经编码过),最后加一个′e′,比如14:spam4:eggse就相当于[′spam′,′eggs′]。
字典编码以一个′d′开头,后面跟一个交替关键字(key)及其对应值的列表,最后加一个′e′;如:d3:cow3:moo4:spam4:eggse相当于{′cow′:′moo′,′spam′:′eggs′},d4:spamll:al:bee相当于{′spam′:[′a′,′b′]}。
关键字必须是处理过的字符串,该字符串用原始字符串编码,而且不能是数字字母混合编码的。通常情况下,元信息文件就是采用B编码的具有以下关键字的字典:
通知(announce):tracker服务器的URL,如http://tracker.cnxp.com:8080/announce;
通知列表(announce-list):可选,备用tracker服务器的URL列表;
创建日期(creation date):可选,.torrent文件的创建日期,使用标准的UNIX时间(从起始时间开始计时到当前时间所过去的秒数);
说明(comment):可选,.torrent文件制作者添加的任意格式的说明;
创建工具(created by):可选,制作.torrent文件的工具,例如BitComet/0.67;
编码(encoding):可选,发布的资源使用的编码方式,例如中文编码扩展国际标准(GBK);
信息(info):发布的文件的信息,通常有两种格式,即单文件格式和多文件格式;其中,单文件格式中包括文件长度(length)、有可能采用的编码方式(md5sum)(可选)、文件名称(name)、分块长度(piece length)、分块个数(pieces);多文件格式中包括文件(files)、name、piece length、pieces,其中files中包括length、路径(path)、md5sum(可选),每一个文件都有单独的length、path、md5sum(可选)。
Info信息中的单文件或多文件格式中所包括的各关键字的具体含义为本领域公知,不再赘述。通常情况下,files、path或name等关键字中都可能携带有BT文件名称,所以,本步骤中对B编码数据报文进行解析并获取其中携带的BT报文名称,就是指找到数据报文中的files、path、name等关键字,然后根据编码规则把紧跟其后的内容取出。基于上述介绍,本领域技术人员可以较为容易地获知如何实现解析,不再赘述。比如,本实施例中可以采用一个预先设置的用于解析该情况下的BT文件名称的函数handle_file_from_bcod来进行解析。之后,可以将解析出的BT文件名称发送给结果发布线程,由结果发布线程将接收到的BT文件名称进行发布。
步骤108:将步骤104中提取出的源IP地址和端口,或目的IP地址和端口与预先设置的历史关联链表中记录的信息进行比较,即判断提取出的源IP地址和端口,或者目的IP地址和端口是否已经被记录在了历史关联链表中,如果是,则判定当前的数据包为BT数据包,并结束流程;否则,判定当前数据包不是BT数据包,并执行步骤109。
本步骤的判断方式中,只要判断出通信双方有一方是已确定的BT数据包传输者,则将当前数据包判定为BT数据包。
步骤109:分析步骤104中提取出的源或目的IP端口的端口号是否在6881~6889的范围之内,如果是,则判定当前的数据包为BT数据报,并结束流程;否则,执行步骤110。
步骤110:分析步骤104中提取出的数据报文中是否携带有关键字“BitTorrent protocol”,如果是,则判定当前的数据包为BT数据报,并结束流程;否则,判定当前的数据包不是BT数据包,结束流程。
步骤109以及110的判断方式为现有技术,不再赘述。
可见,采用本发明实施例的技术方案,对于某一数据包,由于可以采用多关键字方式判断其是否为BT数据包,所以识别结果更为准确,而且,能够获取其中携带的文件属性信息,如BT文件名称等。
需要说明的是,图1所示实施例仅用于举例说明,并不用于限制本发明的技术方案。比如,在实际应用中,并不是一定要先执行步骤105,然后才能执行106、107或108等步骤,这些步骤之前并没有严格的先后顺序。换句话说,对于本发明实施例中提供的几种BT数据包识别方式,可以先采用其中的任何一种方式进行BT数据包识别,当采用这种方式判断出当前数据包不是BT数据包时,再采用剩余方式中的任何一种进行判断。在实际应用中,可以根据实际需要设置这些BT数据包识别方式的执行顺序。而且,实际应用中,并不限于采用以上几种BT数据包识别方式,对于其它已知的BT数据包识别方式,也应包含在本发明实施例的保护范围之内。
基于上述方法,图2为本发明设备实施例的组成结构示意图。如图2所示,该设备包括:数据包捕获单元201、应用协议及内容分析单元202以及结果发布单元203;
数据包捕获单元201,用于实时捕获数据包,并放入缓存中;
应用协议及内容分析单元202,用于从缓存中提取数据包,通过预先设置的两种以上BT数据包识别方式中的一种,判断该数据包是否为BT数据包,如果是,则将判断结果发送给结果发布单元203;如果不是,则通过预先设置的两种以上BT数据包识别方式中其它未使用的方式判断该数据包是否为BT数据包,如果通过所有方式均判定该数据包不是BT数据包,则从缓存中提取下一个数据包,并重新执行自身功能;
结果发布单元203,用于将接收自应用协议及内容分析单元202的判断结果进行发布。
其中,所述预先设置的两种以上BT数据包识别方式可以为以下方式中的任意两种以上的组合:
提取数据包的源IP地址和端口,以及目的IP地址和端口;判断提取出的源IP地址和端口以及目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定该数据包为BT数据包;
提取数据包中的数据报文,判断其中是否同时携带有关键字“GET”、“HTTP/1.1”以及“.torrent”,如果是,则判定该数据包为BT数据包;
提取数据包中的数据报文,判断其中是否携带有关键字“announce”,如果是,则判定该数据包为BT数据包;
提取数据包的源IP地址和端口,以及目的IP地址和端口;判断提取出的源IP地址和端口或目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定该数据包为BT数据包;
提取数据包的源IP端口和目的IP端口;判断源IP端口或目的IP端口的端口号是否在6881~6889的范围之内,如果是,则判定该数据包为BT数据包;
提取数据包中的数据报文,判断其中是否携带有关键字“BitTorrentprotocol”,如果是,则判定该数据包为BT数据包。
上述应用协议及内容分析单元202可进一步用于,解析并获取BT数据包中的携带的BT文件名称,并将获取到的BT文件名称发送给结果发布单元203进行发布。
总之,本发明实施例的技术方案中,通过采用多关键字识别技术进行是否为BT数据包的识别,提高了识别准确度;能够从链路层到应用层对协议进行深度分析,自动识别同一种应用协议使用不同传输层协议进行通讯时的情况。并且,对于一数据包,可以利用多关键字识别技术提取其中的文件属性信息,为后续实施音视频监管提供了专用技术和专用设备的支持。也就是说,采用本发明实施例的技术方案,后续过程中,可以对识别结果进行输出存储,以用于后期的分析、取证工作;而且,可以按照要求建立或更新监测规则,支持在线升级;提供灵活的协议可扩展接口,通过接口模板定义新协议,以实现***对新协议的监测支持。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种点对点流量深度监测方法,其特征在于,该方法包括:
实时捕获数据包,并放入缓存中;
从所述缓存中提取数据包,通过预先设置的两种以上比特流BT数据包识别方式中的一种,判断所述数据包是否为BT数据包,如果是,则发布判断结果,并结束流程;
否则,通过所述预先设置的两种以上BT数据包识别方式中其它未使用的BT数据包识别方式,判断所述数据包是否为BT数据包,如果通过所有BT数据包识别方式均判定所述数据包不是BT数据包,则结束流程。
2.根据权利要求1所述的方法,其特征在于,所述通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包为:
提取所述数据包的源IP地址和端口,以及目的IP地址和端口;
判断所述源IP地址和端口以及所述目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定所述数据包为BT数据包。
3.根据权利要求1所述的方法,其特征在于,所述通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包为:
提取所述数据包中的数据报文,判断其中是否同时携带有关键字“GET”、“HTTP/1.1”以及“.torrent”,如果是,则判定所述数据包为BT数据包。
4.根据权利要求1所述的方法,其特征在于,所述通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包为:
提取所述数据包中的数据报文,判断其中是否携带有关键字“announce”,如果是,则判定所述数据包为BT数据包。
5.根据权利要求1所述的方法,其特征在于,所述通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包为:
提取所述数据包的源IP地址和端口,以及目的IP地址和端口;
判断所述源IP地址和端口或所述目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定所述数据包为BT数据包。
6.根据权利要求1所述的方法,其特征在于,所述通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包为:
提取所述数据包的源IP端口和目的IP端口;判断所述源IP端口或目的IP端口的端口号是否在6881~6889的范围之内,如果是,则判定所述数据包为BT数据包;
或者,提取所述数据包中的数据报文,判断其中是否携带有关键字“BitTorrent protocol”,如果是,则判定所述数据包为BT数据包。
7.根据权利要求3或4所述的方法,其特征在于,所述判定所述数据包为BT数据包之后,进一步包括:
解析并获取所述BT数据包中携带的BT文件名称,并将所述获取到的BT文件名称进行发布。
8.一种点对点流量深度监测设备,其特征在于,该设备包括:数据包捕获单元、应用协议及内容分析单元以及结果发布单元;
所述数据包捕获单元,用于实时捕获数据包,并放入缓存中;
所述应用协议及内容分析单元,用于从所述缓存中提取数据包,通过预先设置的两种以上BT数据包识别方式中的一种,判断所述数据包是否为BT数据包,如果是,则将所述判断结果发送给所述结果发布单元;如果不是,则通过所述预先设置的两种以上BT数据包识别方式中其它未使用的BT数据包识别方式,判断所述数据包是否为BT数据包,如果通过所有BT数据包识别方式均判定所述数据包不是BT数据包,则可以确定所述数据包不是BT数据包;
所述结果发布单元,用于将接收自所述应用协议及内容分析单元的判断结果进行发布。
9.根据权利要求8所述的设备,其特征在于,所述预先设置的两种以上BT数据包识别方式为以下各方式中的任意两种以上的组合:
提取所述数据包的源IP地址和端口,以及目的IP地址和端口;判断所述源IP地址和端口以及所述目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定所述数据包为BT数据包;
提取所述数据包中的数据报丈,判断其中是否同时携带有关键字“GET”、“HTTP/1.1”以及“.torrent”,如果是,则判定所述数据包为BT数据包;
提取所述数据包中的数据报文,判断其中是否携带有关键字“announce”,如果是,则判定所述数据包为BT数据包;
提取所述数据包的源IP地址和端口,以及目的IP地址和端口;判断所述源IP地址和端口或所述目的IP地址和端口是否已经记录在预先设置的历史关联链表中,如果是,则判定所述数据包为BT数据包;
提取所述数据包的源IP端口和目的IP端口;判断所述源IP端口或目的IP端口的端口号是否在6881~6889的范围之内,如果是,则判定所述数据包为BT数据包;
提取所述数据包中的数据报文,判断其中是否携带有关键字“BitTorrentprotocol”,如果是,则判定所述数据包为BT数据包。
10.根据权利要求9所述的设备,其特征在于,所述应用协议及内容分析单元进一步用于,解析并获取BT数据包中携带的BT文件名称,并将所述获取到的BT文件名称发送给所述结果发布单元进行发布。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101796140A CN101184002A (zh) | 2007-12-14 | 2007-12-14 | 一种点对点流量深度监测方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101796140A CN101184002A (zh) | 2007-12-14 | 2007-12-14 | 一种点对点流量深度监测方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101184002A true CN101184002A (zh) | 2008-05-21 |
Family
ID=39449096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101796140A Pending CN101184002A (zh) | 2007-12-14 | 2007-12-14 | 一种点对点流量深度监测方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101184002A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101572663B (zh) * | 2009-06-03 | 2011-04-13 | 湖北工业大学 | 在对等网络中采用信任抽样的深度报文扫描方法 |
| CN101645803B (zh) * | 2008-08-05 | 2011-11-23 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别*** |
| CN102318310A (zh) * | 2009-02-10 | 2012-01-11 | 阿尔卡特朗讯公司 | 用于重建种子内容元数据的方法和设备 |
| CN101883001B (zh) * | 2009-05-08 | 2012-06-06 | 北京启明星辰信息技术股份有限公司 | 小型网络中p2p应用的流量识别及管理的方法和*** |
| CN103166987A (zh) * | 2011-12-12 | 2013-06-19 | 中国科学院深圳先进技术研究院 | 虚拟手术中的数据同步方法及*** |
| CN104579851A (zh) * | 2015-01-28 | 2015-04-29 | 中国人民解放军国防科学技术大学 | 一种用于大规模移动互联核心网络的取证*** |
-
2007
- 2007-12-14 CN CNA2007101796140A patent/CN101184002A/zh active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101645803B (zh) * | 2008-08-05 | 2011-11-23 | 中兴通讯股份有限公司 | 点对点业务的识别方法和互联网业务识别*** |
| CN102318310A (zh) * | 2009-02-10 | 2012-01-11 | 阿尔卡特朗讯公司 | 用于重建种子内容元数据的方法和设备 |
| CN102318310B (zh) * | 2009-02-10 | 2014-11-05 | 阿尔卡特朗讯公司 | 用于重建种子内容元数据的方法和设备 |
| CN101883001B (zh) * | 2009-05-08 | 2012-06-06 | 北京启明星辰信息技术股份有限公司 | 小型网络中p2p应用的流量识别及管理的方法和*** |
| CN101572663B (zh) * | 2009-06-03 | 2011-04-13 | 湖北工业大学 | 在对等网络中采用信任抽样的深度报文扫描方法 |
| CN103166987A (zh) * | 2011-12-12 | 2013-06-19 | 中国科学院深圳先进技术研究院 | 虚拟手术中的数据同步方法及*** |
| CN103166987B (zh) * | 2011-12-12 | 2016-06-15 | 中国科学院深圳先进技术研究院 | 虚拟手术中的数据同步方法及*** |
| CN104579851A (zh) * | 2015-01-28 | 2015-04-29 | 中国人民解放军国防科学技术大学 | 一种用于大规模移动互联核心网络的取证*** |
| CN104579851B (zh) * | 2015-01-28 | 2016-03-09 | 中国人民解放军国防科学技术大学 | 一种用于大规模移动互联核心网络的取证*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102111685B (zh) | 一种网络视频加载的加速方法、设备及*** | |
| EP2773080A1 (en) | Sharing control system and method for network resources download information | |
| US10691748B2 (en) | Methods and apparatus to process call packets collected in a communications network | |
| US7987243B2 (en) | Method for media discovery | |
| CN106878074B (zh) | 流量过滤方法及装置 | |
| US20050038874A1 (en) | System and method for downloading data using a proxy | |
| CN105321108A (zh) | 一种用于在对等网络上创建共享信息列表的***和方法 | |
| CN102355426A (zh) | 实现离线文件传输的方法和*** | |
| CN102882703A (zh) | 一种基于http分析的url自动分类分级的***及方法 | |
| CN101184002A (zh) | 一种点对点流量深度监测方法和设备 | |
| US11115483B2 (en) | Methods and apparatus for census and panel matching using session identifiers positioned in an HTTP header | |
| CN103401850A (zh) | 一种报文过滤方法及装置 | |
| US20120242841A1 (en) | System and method for transmitting real-time images | |
| CN107463657A (zh) | 文件操作方法及终端 | |
| CN108769830B (zh) | 一种缓存视频的方法以及相关设备 | |
| CN105159992A (zh) | 一种应用程序的页面内容及网络行为的检测方法及装置 | |
| CN109688483A (zh) | 一种获取视频的方法、装置及电子设备 | |
| US20170220218A1 (en) | Automatic Generation of Regular Expression Based on Log Line Data | |
| KR101912778B1 (ko) | Ip 네트워크 주위로 흐르는 데이터스트림으로부터 데이터를 추출하기 위한 방법 및 장치 | |
| CN104737121B (zh) | 在浏览器中对视频播放进行复用和解复用 | |
| JP2007156546A (ja) | コンテンツリスト提供装置およびコンテンツリスト提供方法 | |
| US9483575B2 (en) | Reproducing a graphical user interface display | |
| JP2007200271A (ja) | コンテンツ・ネットワークにおいてマルチメディア・コンテンツを検索するシステム及びその検索方法 | |
| CN1972285A (zh) | 用于生成统一资源定位符的***组件和方法 | |
| CN113438503A (zh) | 视频文件还原方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080521 |