劉秋菊，劉書(shū)倫，馮艷茹

（1.重慶大學(xué) 自動(dòng)化學(xué)院，重慶400044；2.濟(jì)源職業(yè)技術(shù)學(xué)院 信息工程系，河南 濟(jì)源459000）

0 引 言

網(wǎng)絡(luò)的迅速發(fā)展和應(yīng)用使得信息交流更加便捷，但同時(shí)也帶來(lái)了日益嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，越來(lái)越多的用戶(hù)對(duì)信息的安全性提出了更高的要求，人們也越來(lái)越關(guān)注內(nèi)網(wǎng)的安全。傳統(tǒng)的防火墻、入侵檢測(cè)等技術(shù)，只能抵御網(wǎng)絡(luò)外部的攻擊，內(nèi)部網(wǎng)絡(luò)安全成為了一個(gè)亟待解決的問(wèn)題，網(wǎng)絡(luò)安全監(jiān)控就是在這種情況下應(yīng)運(yùn)而生的。網(wǎng)絡(luò)安全監(jiān)控通過(guò)對(duì)網(wǎng)絡(luò)流量的應(yīng)用層數(shù)據(jù)進(jìn)行監(jiān)測(cè)與分析，識(shí)別出各種不同的應(yīng)用層數(shù)據(jù)，根據(jù)不同的數(shù)據(jù)采取不同的安全策略，從而在不影響網(wǎng)絡(luò)開(kāi)放性和靈活性的同時(shí)，保證網(wǎng)絡(luò)內(nèi)部敏感數(shù)據(jù)信息的安全。

在實(shí)施網(wǎng)絡(luò)安全監(jiān)控過(guò)程中，只有首先確認(rèn)目標(biāo)網(wǎng)絡(luò)流量所采用的應(yīng)用層協(xié)議，然后才能對(duì)數(shù)據(jù)流進(jìn)行分析，進(jìn)而獲取協(xié)議存在的漏洞或協(xié)議傳輸?shù)膬?nèi)容［1］。因此，應(yīng)用層協(xié)議的識(shí)別是網(wǎng)絡(luò)安全監(jiān)控的基礎(chǔ)技術(shù)，也是實(shí)現(xiàn)安全監(jiān)控的前提條件。正是由于協(xié)議識(shí)別在安全監(jiān)控中的重要地位，應(yīng)用層協(xié)議識(shí)別法得到不斷的開(kāi)發(fā)和研究，本文在對(duì)傳統(tǒng)協(xié)議識(shí)別分析的基礎(chǔ)上，結(jié)合安全監(jiān)控中對(duì)于識(shí)別效率要求比較高的特點(diǎn)，提出了一種基于分類(lèi)和特征匹配的應(yīng)用層協(xié)議識(shí)別法。

1 傳統(tǒng)的應(yīng)用層協(xié)議識(shí)別法

1.1 基于端口協(xié)議識(shí)別法

基于端口協(xié)議識(shí)別法是指根據(jù)每個(gè)應(yīng)用層協(xié)議在IANA中注冊(cè)的端口號(hào)來(lái)對(duì)協(xié)議進(jìn)行標(biāo)識(shí)的一種算法［2］。應(yīng)用層協(xié)議識(shí)別的對(duì)象是流而不是單個(gè)報(bào)文，如果網(wǎng)絡(luò)中的某個(gè)數(shù)據(jù)流使用的端口號(hào)為25或110，則根據(jù)基于端口協(xié)議識(shí)別就將其標(biāo)記為郵件傳輸流，若端口號(hào)為80或8080則為Web流。該方法實(shí)現(xiàn)簡(jiǎn)單，消耗系統(tǒng)資源少，對(duì)于一些使用固定端口的協(xié)議識(shí)別率比較高，但對(duì)于采用隨機(jī)端口通信的應(yīng)用層協(xié)議則無(wú)能為力［3］。隨著研究人員對(duì)應(yīng)用層協(xié)議的不斷研究與探索，新的應(yīng)用層協(xié)議不斷出現(xiàn)，這些新的應(yīng)用層協(xié)議不在IANA中注冊(cè)，導(dǎo)致基于端口協(xié)議識(shí)別法失效。正因如此，基于端口協(xié)議識(shí)別算法的正確率逐漸降低，其錯(cuò)誤率高于正確率。該算法計(jì)算簡(jiǎn)單，所需信息量較少，其時(shí)間復(fù)雜度和空間復(fù)雜度是所有應(yīng)用層協(xié)議識(shí)別算法中最低的。

1.2 基于負(fù)載協(xié)議識(shí)別法

基于負(fù)載協(xié)議識(shí)別法主要是通過(guò)檢查數(shù)據(jù)流中每個(gè)報(bào)文TCP首部之后的負(fù)載數(shù)據(jù)，將負(fù)載數(shù)據(jù)與事先分析的應(yīng)用層協(xié)議特征相匹配，如果匹配成功，則標(biāo)記為相應(yīng)的協(xié)議［4－6］。因此，從理論上說(shuō)，只要能夠分析協(xié)議規(guī)范足夠多，并且能夠提取到參與交互的報(bào)文的足夠多協(xié)議的特征，通過(guò)該類(lèi)算法就可以識(shí)別所有的應(yīng)用層協(xié)議。基于負(fù)載協(xié)議識(shí)別法對(duì)協(xié)議的識(shí)別準(zhǔn)確率比較高，但是其識(shí)別是建立在對(duì)整個(gè)數(shù)據(jù)流應(yīng)用層數(shù)據(jù)負(fù)載的匹配基礎(chǔ)之上的，其時(shí)空復(fù)雜度是目前所有應(yīng)用層協(xié)議識(shí)別算法中最高的。

1.3 基于關(guān)鍵字協(xié)議識(shí)別法

基于關(guān)鍵字協(xié)議識(shí)別法是指對(duì)檢測(cè)到的每一個(gè)數(shù)據(jù)包按照關(guān)鍵字進(jìn)行搜索，搜索到的關(guān)鍵字需要與在應(yīng)用層協(xié)議中出現(xiàn)的關(guān)鍵字進(jìn)行精確匹配，具有很高的檢測(cè)率和很低的誤報(bào)率［7］。但是該方法對(duì)關(guān)鍵字匹配算法的效率要求很高，而且為了識(shí)別后續(xù)的數(shù)據(jù)流需要持續(xù)保持網(wǎng)絡(luò)連接。

2 基于分類(lèi)與特征匹配的應(yīng)用層協(xié)議識(shí)別法

由于應(yīng)用層協(xié)議種類(lèi)繁多，并且隨著互聯(lián)網(wǎng)的不斷發(fā)展，新的應(yīng)用層協(xié)議不斷地加入進(jìn)來(lái)，采用傳統(tǒng)的識(shí)別技術(shù)已經(jīng)很難滿(mǎn)足實(shí)際應(yīng)用的需要，為了更加快速的識(shí)別現(xiàn)有應(yīng)用層協(xié)議［8］，本文提出了一個(gè)基于分類(lèi)與特征匹配的應(yīng)用層協(xié)議識(shí)別方案。

2.1 識(shí)別方案

基于分類(lèi)與特征匹配的應(yīng)用層協(xié)議識(shí)別系統(tǒng)主要包括分類(lèi)器和識(shí)別器兩大組件。該協(xié)議識(shí)別流程為：數(shù)據(jù)流首先經(jīng)過(guò)分類(lèi)器的粗粒度分類(lèi)，然后進(jìn)入識(shí)別器，識(shí)別器針對(duì)不同的數(shù)據(jù)流采取不同的協(xié)議特征進(jìn)行匹配，從而實(shí)現(xiàn)應(yīng)用層協(xié)議的識(shí)別。具體來(lái)說(shuō)，分類(lèi)器是依據(jù)數(shù)據(jù)流的一些基本特征和端口對(duì)應(yīng)表來(lái)對(duì)其進(jìn)行分類(lèi)；識(shí)別器是在數(shù)據(jù)流分類(lèi)之后，結(jié)合協(xié)議特征庫(kù)進(jìn)行匹配查詢(xún)，對(duì)不同種類(lèi)的數(shù)據(jù)流進(jìn)行不同協(xié)議特征的識(shí)別。其中，協(xié)議特征的選取首先要對(duì)待識(shí)別協(xié)議進(jìn)行詳細(xì)的分析，然后選取其在交互過(guò)程中不同于其他任何協(xié)議的字段作為該協(xié)議的特征。基于分類(lèi)與特征匹配的應(yīng)用層協(xié)議識(shí)別流程圖如圖1所示。

圖1 協(xié)議識(shí)別流程

2.2 數(shù)據(jù)流分類(lèi)

對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分類(lèi)可以通過(guò)使用分類(lèi)器來(lái)實(shí)現(xiàn)，由于本次網(wǎng)絡(luò)安全監(jiān)控的重點(diǎn)是對(duì)網(wǎng)絡(luò)傳輸文件內(nèi)容的監(jiān)控，所以只需要識(shí)別用于文件傳輸?shù)膮f(xié)議，通過(guò)對(duì)幾十種應(yīng)用層協(xié)議的分析，本文將目前能用于文件傳輸?shù)膽?yīng)用層協(xié)議，大致分為3類(lèi)，見(jiàn)表1。

表1 協(xié)議類(lèi)型與應(yīng)用層協(xié)議對(duì)應(yīng)

在分類(lèi)中要考慮的問(wèn)題是：對(duì)某個(gè)數(shù)據(jù)流來(lái)說(shuō)，從獲得其中第一段數(shù)據(jù)到該流所承載的協(xié)議過(guò)程全部結(jié)束這段時(shí)間內(nèi)，分類(lèi)器應(yīng)抽取哪些相關(guān)信息來(lái)進(jìn)行處理，然后才可以對(duì)數(shù)據(jù)流進(jìn)行抽象，這些抽象就決定了一個(gè)數(shù)據(jù)流所歸屬的類(lèi)別。為此，我們定義如下基本元素：

·M＝ ｛m0，m1，m2｝—數(shù)據(jù)流類(lèi)別集合，m0為傳統(tǒng)經(jīng)典類(lèi)，m1表示P2P類(lèi)，m2為其他類(lèi)。

·SrcIP＝ ｛srcip1，srcip2，…srcipn｝表 示 源 IP集合。

·DstIP＝ ｛dstip1，dstip2，…dstipn｝為 目 的 IP集合。

·SrcPort＝ ｛srcportn｜1≦srcportn≦65535｝表示源端口集合。

·DstPort＝ ｛dstportn｜1≦dstportn≦65535｝為目的端口集合。

·P＝ ｛SrcIP×DstIP×SrcPort×DstPort｝表示數(shù)據(jù)包集合，以Pi＝ ｛srcipi，dstipi，srcporti，dstporti｝表示IP地址為srcipi的主機(jī)使用其srcporti端口將數(shù)據(jù)包Pi傳遞給IP地址為dstipi的dstporti端口。

·PT＝ ｛25，110，21，80…｝為傳統(tǒng)經(jīng)典協(xié)議端口集合。

·F＝ ｛fsrc（srcipn，srcportn），fdst（dstipn，dstportn）｝為函數(shù)集合，fsrc（srcipn，srcportn）表示源IP地址和源端口分別為srcipn和srcportn的數(shù)據(jù)包的個(gè)數(shù)，fdst（dstipn，dstportn）表示表示目的IP地址和目的端口分別為dstipn和dstportn的數(shù)據(jù)包的個(gè)數(shù)。

·數(shù)據(jù)流S是一段長(zhǎng)度為有限整字節(jié)數(shù)的二進(jìn)制數(shù)據(jù)，它由有限個(gè)長(zhǎng)度一定的數(shù)據(jù)包P構(gòu)成。

以上是一些基本變量與函數(shù)的定義，下面討論分類(lèi)的過(guò)程。

對(duì)于大部分P2P主機(jī)來(lái)說(shuō)，當(dāng)其利用P2P進(jìn)行下載時(shí)，它是從多個(gè)資源主機(jī)中去下載所需要的數(shù)據(jù)，即采用一個(gè)端口與多個(gè)主機(jī)的端口進(jìn)行通信和數(shù)據(jù)傳輸。因此數(shù)據(jù)流中會(huì)出現(xiàn)單個(gè) ｛dstipn，dstportn｝對(duì)應(yīng)多個(gè) ｛srcipn，srcportn｝的現(xiàn)象［9］，而對(duì)于大部分協(xié)議來(lái)講，則沒(méi)有這樣的特征，因此當(dāng)數(shù)據(jù)流中出現(xiàn)這樣的特征時(shí)，就基本可以判定該流為P2P數(shù)據(jù)流，因此有以下判定規(guī)則。

規(guī)則1：當(dāng)數(shù)據(jù)流S中的數(shù)據(jù)包Pi，fdst（dstipn，dstportn）與fsrc（srcipn，srcportn）兩值之差大于一個(gè)所規(guī)定的閾值，該數(shù)據(jù)流是 P2P數(shù)據(jù)流［10－12］。

通過(guò)實(shí)驗(yàn)驗(yàn)證，當(dāng)閾值大于10時(shí)，利用規(guī)則1進(jìn)行分類(lèi)的準(zhǔn)確率可以達(dá)到90%。

對(duì)于傳統(tǒng)經(jīng)典類(lèi)協(xié)議的分類(lèi)，雖然目前出現(xiàn)的很多應(yīng)用層協(xié)議都已經(jīng)不在IANA中注冊(cè)其端口，但是仍然有很多協(xié)議采用固定的端口通信。對(duì)于這一部分協(xié)議，本文仍然可以采用一定的技術(shù)手段找出其通信端口，因此有以下判定規(guī)則：

規(guī)則2：數(shù)據(jù)流S是傳統(tǒng)經(jīng)典數(shù)據(jù)流，指數(shù)據(jù)流S不是P2P數(shù)據(jù)流，但對(duì)于其數(shù)據(jù)包Pi，有srcporti∈PT或者dstporti∈PT。

由規(guī)則2得知，通過(guò)端口對(duì)應(yīng)表的匹配可以實(shí)現(xiàn)對(duì)端口固定協(xié)議數(shù)據(jù)流的分流，同時(shí)本文也將這一類(lèi)協(xié)議歸結(jié)為傳統(tǒng)經(jīng)典類(lèi)協(xié)議，與HTTP、FTP等協(xié)議一起在后續(xù)的特征匹配中進(jìn)行更細(xì)粒度的識(shí)別。

規(guī)則3：數(shù)據(jù)流S是其他類(lèi)數(shù)據(jù)流，當(dāng)數(shù)據(jù)流既不是P2P數(shù)據(jù)流又不是傳統(tǒng)經(jīng)典數(shù)據(jù)流時(shí)，則S為其他數(shù)據(jù)流。

由以上3個(gè)判定規(guī)則可知，可以在只分析傳輸層協(xié)議頭的前提下，將數(shù)據(jù)流進(jìn)行一個(gè)粗粒度的分類(lèi)，從而為后續(xù)的特征識(shí)別減少工作量。

2.3 基于特征的識(shí)別

特征識(shí)別的實(shí)現(xiàn)主要是在提取待識(shí)別協(xié)議的特征之后，將這些特征歸結(jié)為相應(yīng)的特征類(lèi)。因此，當(dāng)數(shù)據(jù)流經(jīng)過(guò)分類(lèi)后，基于特征的識(shí)別就可以根據(jù)不同的數(shù)據(jù)流采取不同的特征類(lèi)進(jìn)行匹配，對(duì)于傳統(tǒng)的特征匹配與經(jīng)過(guò)分類(lèi)后的特征匹配，其流程分別如圖2所示。由圖可知，經(jīng)過(guò)分類(lèi)后再進(jìn)行協(xié)議特征的匹配，由于縮小了特征匹配的范圍，因此可以提高特征識(shí)別的速度。在特征串的選取方面，本文在文獻(xiàn) ［4］的基礎(chǔ)上進(jìn)行了改進(jìn)，使得識(shí)別更加精確。

圖2 分類(lèi)特征匹配與傳統(tǒng)特征匹配流程

本文主要增加了對(duì)Gnutella協(xié)議的識(shí)別，雖然Gnutella協(xié)議完全使用HTTP規(guī)范進(jìn)行文件的傳輸，但是通過(guò)對(duì)Gnutella協(xié)議流的分析與監(jiān)測(cè)，發(fā)現(xiàn)如果待檢測(cè)數(shù)據(jù)流為Gnutella流，那么：

（1）緊跟在TCP文件頭之后的負(fù)載數(shù)據(jù)中的第一個(gè)字符串為 ‘GNUTELLA’、‘GET’或者是 ‘HTTP’；

（2）如果 （1）中所描述的字符串不是 ‘GNUTELLA’，那么在后面的負(fù)載數(shù)據(jù)中肯定會(huì)有如下的字符串出現(xiàn)：

User－Agent：＜Name＞

UserAgent：＜Name＞

Server：＜Name＞

其中＜Name＞為如下字符集中的一個(gè)成員：

｛LimeWire， BearShare， Gnucleus， MorpheusOS，XoloX，MorpheusPE，gtkgnutella，Acquistion， Mutella－0.4.1， Qtella， AquaLime， NapShare，Comeback， Go，PHEX， SwapNut， Mutella－0.4.0， Shareaza， Mutella－0.3.9b，Morpheus，F(xiàn)reeWire，Openext， Mutella－0.3.3，Phex｝

因此只要將該字符集加入到協(xié)議特征庫(kù)中作為P2P類(lèi)的特征即可以識(shí)別出Gnutella協(xié)議。

3 實(shí)驗(yàn)設(shè)計(jì)及分析

3.1 實(shí)驗(yàn)設(shè)計(jì)

利用以上分析方法，進(jìn)行對(duì)比實(shí)驗(yàn)來(lái)驗(yàn)證方法的性能。本次實(shí)驗(yàn)采用的協(xié)議為8種國(guó)內(nèi)常用的應(yīng)用層協(xié)議，用來(lái)進(jìn)行算法識(shí)別，實(shí)驗(yàn)分別從準(zhǔn)確率和執(zhí)行效率兩方面進(jìn)行驗(yàn)證，分別與基于端口識(shí)別法和文獻(xiàn) ［4］中所提方法進(jìn)行比較，實(shí)驗(yàn)采用的數(shù)據(jù)為校園網(wǎng)上的數(shù)據(jù)采集器獲取的網(wǎng)絡(luò)流量數(shù)據(jù)，比較的總報(bào)文數(shù)為11.0G。

3.2 結(jié)果分析

從對(duì)8種常用的應(yīng)用層協(xié)議的識(shí)別正確率上比較，結(jié)果如圖3所示。從圖中可以明確地看到，基于端口識(shí)別法對(duì)BT、eDonkey和Gnutella這3種P2P協(xié)議幾乎一個(gè)都沒(méi)有識(shí)別出來(lái)，識(shí)別正確率幾乎為零，說(shuō)明端口識(shí)別法對(duì)于P2P協(xié)議的識(shí)別不能僅僅依賴(lài)于端口進(jìn)行判定。而特征串匹配的方法對(duì)于HTTP流量的識(shí)別要高于本文所提出的識(shí)別法。

圖3 識(shí)別的正確率比較結(jié)果

根據(jù)分析比較，特征串匹配法對(duì)HTTP流量的識(shí)別與本文所提方法對(duì)HTTP流量的識(shí)別數(shù)量的差，與本文所提方法對(duì)Gnutella協(xié)議的識(shí)別比較接近，可以由此推斷出文獻(xiàn) ［4］中所提的特征串匹配方法是把Gnutella協(xié)議流歸結(jié)為HTTP流量，而文中所提方法是先進(jìn)行分類(lèi)，然后把Gnutella協(xié)議劃分為P2P類(lèi)，再結(jié)合特征庫(kù)對(duì)Gnutella協(xié)議進(jìn)行識(shí)別，由此可以看出文中所提方法在對(duì)Gnutella協(xié)議的識(shí)別上明顯優(yōu)于文獻(xiàn) ［4］的特征串匹配法。

從識(shí)別效率上進(jìn)行比較，結(jié)果見(jiàn)表2。從表中可以看出，特征串匹配法及本文所提方法在空間及時(shí)間消耗上均高于端口識(shí)別法，而本文所提方法要高于特征串匹配法。因?yàn)楸敬卧O(shè)置的實(shí)驗(yàn)環(huán)境是在局域網(wǎng)環(huán)境中進(jìn)行的，并且協(xié)議的數(shù)量以及協(xié)議流的特征串在負(fù)載中的位置基本是固定的，因此不管是本文所提方法還是直接進(jìn)行文獻(xiàn) ［4］中所提的特征串匹配，其所消耗的時(shí)間都不會(huì)太大。但是，如果在廣域網(wǎng)中進(jìn)行實(shí)驗(yàn)，隨著協(xié)議特征串的不斷增加，本文提出的這種識(shí)別方法在時(shí)間復(fù)雜度上會(huì)越來(lái)越小。

表2 識(shí)別效率的比較結(jié)果

4 結(jié)束語(yǔ)

本文通過(guò)對(duì)傳統(tǒng)應(yīng)用層協(xié)議優(yōu)缺點(diǎn)的分析，同時(shí)結(jié)合數(shù)據(jù)流分類(lèi)思想提出了一種新型的協(xié)議識(shí)別方法。該方法首先對(duì)待識(shí)別數(shù)據(jù)流進(jìn)行一個(gè)粗粒度的分類(lèi)，然后再針對(duì)不同的分類(lèi)采取不同的特征匹配。經(jīng)過(guò)實(shí)驗(yàn)測(cè)試證明，本文提出的方法在識(shí)別的準(zhǔn)確率上要高于基于端口識(shí)別法，而在執(zhí)行效率上則要高于基于特征串匹配識(shí)別法。但該識(shí)別法的不足之處在于沒(méi)有涵蓋所有的應(yīng)用層協(xié)議，如何盡可能多的涵蓋應(yīng)用層協(xié)議，以便更準(zhǔn)確地獲取應(yīng)用層協(xié)議的特征數(shù)據(jù)，進(jìn)而提高應(yīng)用層協(xié)議識(shí)別的正確率和效率，這也是下一步需要重點(diǎn)解決的問(wèn)題所在。

［1］Network ICE.Protocol analysis and command parsing vs.pattern matching in intrusion detection systems ［EB/OL］.http：//www.chineselinuxuniversity.net/courses/netsec/articles/3114.shtml，2011.

［2］IANA ［S］.http：//www.iana.org/assignments/port－numbers（RFC 6335），2011.

［3］WANG Jie，SHI Chenghui.Dynamic application layer protocol identification program based on regular expressions ［J］.Computer Engineering and Applications，2010，46 （18）：103－106（in Chinese）.［王杰，石成輝.基于正則表達(dá)式的動(dòng)態(tài)應(yīng)用層協(xié)議識(shí)別方案 ［J］.計(jì)算機(jī)工程與應(yīng)用，2010，46 （18）：103－106.］

［4］CHEN Liang，GONG Jian，XU Xuan.Identification of application－level protocols using characteristic ［J］.Computer Engineering and Applications，2006，42 （24）：16－19 （in Chinese）. ［陳亮，龔儉，徐選.基于特征串的應(yīng)用層協(xié)議識(shí)別［J］.計(jì)算機(jī)工程與應(yīng)用，2006，42 （24）：16－19.］

［5］GE Yusen.Study and implementation of IDS based on application layer protocol identification ［D］.Chongqing：Thesis for Master Degree of Chongqing University，2008：30－32 （in Chinese）. ［葛玉森.基于應(yīng)用層協(xié)議識(shí)別的IDS研究與實(shí)現(xiàn)［D］.重慶：重慶大學(xué)碩士論文，2008：30－32.］

［6］LIU Yuanxun，XU Qiuliang，YUN Xiaochun.Research on IDS－faced general－purpose application－level protocol identification technology ［J］.Journal of Shandong University （Engineering Science），2007，37 （1）：65－69 （in Chinese）. ［劉元?jiǎng)?，徐秋亮，云曉?面向入侵檢測(cè)系統(tǒng)的通用應(yīng)用層協(xié)議識(shí)別技術(shù)研究 ［J］.山東大學(xué)學(xué)報(bào) （工學(xué)版），2007，37 （1）：65－69.］

［7］XIE Bolin，YU Shunzheng.Application layer anomaly detection based on application layer protocols’keyword sequences［J］.Journal of Computer Research and Development，2011，48 （1）：159－168 （in Chinese）. ［謝柏林，余順爭(zhēng).基于應(yīng)用層協(xié)議關(guān)鍵詞序列的應(yīng)用層異常檢測(cè)方法 ［J］.計(jì)算機(jī)研究與發(fā)展，2011，48 （1）：159－168.］

［8］MU Qiao.A suite of precise and efficient analyzing techniques for application protocols ［J］.Computer Engineering and Science，2010，32 （8）：39－45 （in Chinese）. ［牟喬.準(zhǔn)確高效的應(yīng)用層協(xié)議分析識(shí)別方法 ［J］.計(jì)算機(jī)工程與科學(xué)，2010，32 （8）：39－45.］

［9］LIN Zhenbiao.Research on key technologies of file networkleakage prevention based on data stream analysis ［D］.Zhengzhou：Thesis for Master Degree of The PLA Information Engineering University，2009：20－23 （in Chinese）. ［林臻彪.基于數(shù)據(jù)流分析的防文件網(wǎng)絡(luò)泄露關(guān)鍵技術(shù)研究 ［D］.鄭州：解放軍信息工程大學(xué)碩士論文，2009：20－23.］

［10］TAN Wei，WU Jian.P2Pclassification using semi－supervised learning ［J］.Computer Engineering and Design，2009，30（2）：291－293 （in Chinese）. ［譚煒，吳健.基于半監(jiān)督學(xué)習(xí)的P2P協(xié)議識(shí)別 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2009，30 （2）：291－293.］

［11］ZHANG Shun，CHEN Xingshu，DU Min，et al.Method of P2Ptraffic identification based on immune－PSO ［J］.Computer Engineering and Design，2011，32 （10）：3301－3304（in Chinese）.［張順，陳興蜀，杜敏，等.基于免疫粒子群的P2P協(xié)議識(shí)別方法 ［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（10）：3301－3304.］

［12］SEN S，Spatscheck O，Wang D.Accurate，Scalable in－network identification of P2Ptraffic using application signatures［C］.Proceedings of the 13th International Conference on World Wide Web.NY：ACM Press，2007：512－521.