彭文峰，杜中軍

（四川大學(xué)計(jì)算機(jī)學(xué)院，成都　610065）

應(yīng)用層協(xié)議識(shí)別技術(shù)研究

彭文峰，杜中軍

（四川大學(xué)計(jì)算機(jī)學(xué)院，成都610065）

0　引言

應(yīng)用層協(xié)議識(shí)別，也稱為網(wǎng)絡(luò)流量分類或網(wǎng)絡(luò)流量識(shí)別，指在基于TCP/IP的網(wǎng)絡(luò)體系中，按照應(yīng)用層協(xié)議類型將網(wǎng)絡(luò)通信過(guò)程中產(chǎn)生的TCP流或UDP流進(jìn)行分類，從而達(dá)到清楚認(rèn)識(shí)網(wǎng)絡(luò)傳輸?shù)幕拘畔?、提高網(wǎng)絡(luò)用戶的服務(wù)質(zhì)量、加強(qiáng)網(wǎng)絡(luò)安全設(shè)備對(duì)非法入侵和攻擊的檢測(cè)能力等目的。能夠準(zhǔn)確地識(shí)別Internet上每個(gè)流所使用的應(yīng)用層協(xié)議對(duì)于網(wǎng)絡(luò)管理員、技術(shù)研究人員、網(wǎng)絡(luò)服務(wù)提供商、政府管理部門以及普通用戶都具有重要的意義,其是研究區(qū)分服務(wù)、QoS、流量監(jiān)控、安全審計(jì)、資源調(diào)度、計(jì)費(fèi)管理以及用戶行為分析的重要前提和基礎(chǔ)。

1　應(yīng)用層協(xié)議識(shí)別的主要方法

1.1基于端口映射的識(shí)別方法

互聯(lián)網(wǎng)發(fā)展初期，對(duì)數(shù)據(jù)流的應(yīng)用層協(xié)議識(shí)別主要是依據(jù)應(yīng)用層協(xié)議綁定知名端口號(hào)的慣例來(lái)實(shí)現(xiàn)，它通過(guò)檢查網(wǎng)絡(luò)數(shù)據(jù)包包頭的源端口號(hào)和目的端口號(hào)來(lái)識(shí)別應(yīng)用層協(xié)議類型。例如，DNS協(xié)議對(duì)應(yīng)的端口號(hào)為53，Telnet協(xié)議對(duì)應(yīng)的端口號(hào)為23等。

基于端口號(hào)的識(shí)別方法簡(jiǎn)單快捷，計(jì)算量小，但隨著網(wǎng)絡(luò)應(yīng)用不斷增加，很多網(wǎng)絡(luò)應(yīng)用都不再?gòu)?qiáng)制應(yīng)用程序與端口號(hào)綁定，而采用隨機(jī)生成的端口號(hào)，或者在數(shù)據(jù)傳輸過(guò)程中協(xié)商端口號(hào)方式來(lái)進(jìn)行。例如FTP協(xié)議（PASV模式）允許通信雙方主動(dòng)寫(xiě)上數(shù)據(jù)流參數(shù)，隨機(jī)更改端口號(hào)以達(dá)到隱藏協(xié)議特征的目的。這些問(wèn)題導(dǎo)致基于端口號(hào)的方法能夠正確識(shí)別的協(xié)議數(shù)量逐步減少。有研究表明，基于端口號(hào)的識(shí)別方法只能獲得小于70%的識(shí)別準(zhǔn)確率，該方法已不再適應(yīng)當(dāng)前網(wǎng)絡(luò)的實(shí)際狀況。

1.2基于有效載荷特征的識(shí)別方法

為了解決基于端口號(hào)的識(shí)別方法存在的問(wèn)題，研究者提出了基于數(shù)據(jù)包有效載荷特征的識(shí)別方法［1］。這種方法通過(guò)深包檢測(cè)技術(shù)（DPI）,對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的有效載荷中匹配已知的應(yīng)用層協(xié)議特征庫(kù)，從而判定該數(shù)據(jù)包所屬網(wǎng)絡(luò)流對(duì)應(yīng)的應(yīng)用層協(xié)議。例如，如果一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的有效載荷以字符串“+OK”或“-ERR”開(kāi)始，那么就可以判斷它是由POP3協(xié)議產(chǎn)生的數(shù)據(jù)包。在不考慮計(jì)算效率的情況下，其識(shí)別率接近100%。

基于有效載荷特征的識(shí)別方法憑借其高準(zhǔn)確率和可識(shí)別協(xié)議多的優(yōu)點(diǎn)，經(jīng)常被當(dāng)作判別其他識(shí)別方法準(zhǔn)確性和完備性的度量真值。此外，該方法的更新升級(jí)（向系統(tǒng)中添加新的協(xié)議特征或修改已有協(xié)議的識(shí)別方法或其正則表達(dá)式）很方便，且易于軟硬件實(shí)現(xiàn)，是目前網(wǎng)絡(luò)工程界應(yīng)用最廣泛的方法。然而，該方法仍然存在以下不足：一是在有效載荷特征匹配和分析的過(guò)程中可能掃描部分或全部有效載荷，需要很大的計(jì)算量，系統(tǒng)開(kāi)銷大；二是若數(shù)據(jù)包在傳輸過(guò)程中經(jīng)過(guò)了二次封裝或加密，則該方法失效；三是分析數(shù)據(jù)包有效載荷的過(guò)程，窺探了用戶隱私，可能涉及法律和道德問(wèn)題。

1.3基于流動(dòng)態(tài)行為特征的協(xié)議識(shí)別方法

流動(dòng)態(tài)行為特征識(shí)別技術(shù)又稱DFI（深度/動(dòng)態(tài)流檢測(cè)）識(shí)別技術(shù)［2～3］或基于機(jī)器學(xué)習(xí)的識(shí)別技術(shù)［4］。該技術(shù)利用統(tǒng)計(jì)學(xué)原理，通過(guò)分析協(xié)議流特征如IP地址、端口數(shù)量、報(bào)文長(zhǎng)度、流生成周期等統(tǒng)計(jì)狀態(tài)來(lái)達(dá)到協(xié)議識(shí)別的目的。例如，F(xiàn)TP協(xié)議進(jìn)行數(shù)據(jù)傳輸時(shí)，平均數(shù)據(jù)包長(zhǎng)度都比較大；而使用MSN聊天所產(chǎn)生的網(wǎng)絡(luò)流的平均數(shù)據(jù)包長(zhǎng)度都比較小，即不同網(wǎng)絡(luò)應(yīng)用所產(chǎn)生的網(wǎng)絡(luò)流在統(tǒng)計(jì)特征上會(huì)呈現(xiàn)出不同的規(guī)律。類似的，每個(gè)流中數(shù)據(jù)包的平均到達(dá)間隔、數(shù)量和大小、不同所產(chǎn)生的數(shù)據(jù)流的持續(xù)時(shí)間等也不盡相同，這些都可以作為區(qū)分不同應(yīng)用層協(xié)議的統(tǒng)計(jì)特征。該方法通常使用機(jī)器學(xué)習(xí)、特征統(tǒng)計(jì)或基于隱式馬爾可夫模型等方法對(duì)流進(jìn)行分類，首先從訓(xùn)練的流量數(shù)據(jù)集（即樣本）中提取協(xié)議特征，然后將這些特征用于訓(xùn)練來(lái)產(chǎn)生分類器，最后，用生成的分類器對(duì)隨后的未知流量進(jìn)行識(shí)別。

基于流量動(dòng)態(tài)行為特征的網(wǎng)絡(luò)協(xié)議識(shí)別技術(shù)的優(yōu)點(diǎn)在于：一是降低了人工分析的難度，自動(dòng)化程度較高；二是不依賴于數(shù)據(jù)包有效載荷的內(nèi)容，其識(shí)別準(zhǔn)確率主要取決于統(tǒng)計(jì)特征、分類模型和訓(xùn)練樣本的選取，在一定程度上可識(shí)別加密、異?；蛭粗牧髁俊Ｈ菂f(xié)議的升級(jí)更新對(duì)此識(shí)別技術(shù)的影響不大；四是計(jì)算和存儲(chǔ)開(kāi)銷小，維護(hù)工作量低，效率和安全性更高。同時(shí)，該識(shí)別技術(shù)也具有以下的一些缺陷：一是樣本數(shù)據(jù)采集繁瑣，多數(shù)情況下很難找到與真實(shí)情況接近的樣本；二是對(duì)算法要求較高，相同的樣本數(shù)據(jù)，相同的流量行為特征，基于不同的算法，協(xié)議識(shí)別的效果也不同；三是識(shí)別的準(zhǔn)確率不如基于有效載荷特征的識(shí)別方法高，且只能識(shí)別大概的應(yīng)用類別，很難精確到具體應(yīng)用層協(xié)議。例如，這類方法能夠區(qū)分基于P2P協(xié)議的流量與其他流量，但無(wú)法分辨具體是哪種P2P協(xié)議；四是網(wǎng)絡(luò)流特征的采集需要傳輸?shù)木W(wǎng)絡(luò)流量達(dá)到一定程度，因此識(shí)別延遲較大，很難達(dá)到在線實(shí)時(shí)分類和處理的要求。

1.4基于主機(jī)行為的識(shí)別方法

隨著行為學(xué)在網(wǎng)絡(luò)行為方面的應(yīng)用，研究者開(kāi)始關(guān)注網(wǎng)絡(luò)行為模式，試圖利用網(wǎng)絡(luò)數(shù)據(jù)包的五元組（源IP、目的IP、源端口號(hào)、目的端口號(hào)、傳輸層協(xié)議）信息來(lái)分析主機(jī)之間的交互行為，不同的網(wǎng)絡(luò)應(yīng)用表現(xiàn)出來(lái)的交互行為不盡相同。此識(shí)別方法通過(guò)采取觀測(cè)網(wǎng)絡(luò)中單個(gè)主機(jī)在傳輸層的行為模式、捕捉主機(jī)在全網(wǎng)范圍內(nèi)交互行為的流量傳播圖、利用連接同質(zhì)性即公共主機(jī)之間所產(chǎn)生的流屬于同一個(gè)應(yīng)用的趨向性等為重點(diǎn)來(lái)進(jìn)行應(yīng)用層協(xié)議識(shí)別。

基于主機(jī)行為的識(shí)別方法的優(yōu)點(diǎn)在于不依賴于網(wǎng)絡(luò)數(shù)據(jù)包有效載荷里的內(nèi)容，具有良好的可擴(kuò)展性，且能很好地保護(hù)用戶私隱。然而，這類方法往往需要手動(dòng)設(shè)定一些閾值，例如BLINC方法需要設(shè)置28個(gè)閾值參數(shù)才能達(dá)到最好的識(shí)別效果。其次，描述主機(jī)之間的交互需要收集許多網(wǎng)絡(luò)流的信息，這使得此類方法的實(shí)時(shí)性較差。第三，這類方法會(huì)因?yàn)榫W(wǎng)絡(luò)環(huán)境的不同而導(dǎo)致識(shí)別性能發(fā)生顯著的變化，通用性較差。第四，網(wǎng)絡(luò)地址轉(zhuǎn)換等網(wǎng)絡(luò)安全技術(shù)的干擾很容易令此類方法失效。

2　結(jié)語(yǔ)

應(yīng)用層協(xié)議識(shí)別技術(shù)進(jìn)一步研究可以向三個(gè)方向發(fā)展：一是基于有效載荷特征的識(shí)別方法如何在保證用戶隱私不受侵犯或少受侵犯的前提下，降低系統(tǒng)消耗并提高識(shí)別準(zhǔn)確率。二是基于流量動(dòng)態(tài)行為特征的協(xié)議識(shí)別技術(shù)本質(zhì)上屬于模式識(shí)別問(wèn)題，可以使用支持向量機(jī)SVM方法對(duì)流量進(jìn)行分類識(shí)別，它在解決小樣本、非線性及高維模式識(shí)別中表現(xiàn)出許多其特有的優(yōu)勢(shì)。三是進(jìn)一步研究如何更好地結(jié)合各類算法，使其優(yōu)勢(shì)互補(bǔ)，提高協(xié)議識(shí)別系統(tǒng)的可擴(kuò)展性、覆蓋全面性和識(shí)別準(zhǔn)確率。

［1］Dreger H,Feldmann A,Mai M,Paxson V,Sommer R.Dynamic Application-Layer Protocol Analysis for Network Intrusion Detection ［C］.USENXI Security Symposium（USENIX Security）,2006

［2］孫海波.基于協(xié)議行為特征的協(xié)議識(shí)別方法.全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)，2007

［3］王巖，劉乃安.應(yīng)用層協(xié)議識(shí)別技術(shù)研究.西安電子科技大學(xué)2012學(xué)位論文

［4］Karagiannis T,Papagiannaki K and Faloutsos M.BLINC:Multilevel Traffic Classification in the Dark.In Proceedings of ACM SIGCOMM,229～240,Philadelphia,Pennsylvania,USA.August 21～26,2005

Protocol Identification；Port Mapping；Payload Characteristic；Flow Dynamic Behavior Characteristics；Host Behavior

Research on the Application Layer Protocol Identification Technology

PENG Wen-feng，DU Zhong-jun
（College of Computer Science,Sichuan University,Chengdu 610065）

1007-1423（2015）08-0068-03

10.3969/j.issn.1007-1423.2015.08.016

彭文峰（1984-），男，重慶南岸人，碩士研究生，研究方向?yàn)橛?jì)算機(jī)應(yīng)用

2015-03-01

2015-03-10

應(yīng)用層協(xié)議識(shí)別作為當(dāng)前網(wǎng)絡(luò)測(cè)量管理與網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)問(wèn)題，其相關(guān)技術(shù)研究對(duì)整個(gè)互聯(lián)網(wǎng)的可管理性、安全性和規(guī)范性具有重要的理論意義和應(yīng)用價(jià)值。重點(diǎn)介紹基于端口映射、基于有效載荷特征、基于流動(dòng)態(tài)行為特征、基于主機(jī)行為等幾種主要的協(xié)議識(shí)別方法，總結(jié)分析它們的工作原理和優(yōu)缺點(diǎn)，并對(duì)進(jìn)一步研究學(xué)習(xí)方向提出建議。

協(xié)議識(shí)別；端口映射；有效載荷特征；流動(dòng)態(tài)行為特征；主機(jī)行為

As the current network measurement management and hot issues in the field of network security research,the related technology research on application layer protocol identification has important theoretical significance to the entire Internet manageability,security,and normative.Mainly introduces several layer protocol identification methods based on the port mapping,payload characteristic and flow dynamic behavior characteristics,and based on the host behavior identification.Analyzes and summarizes the working principle and advantages,proposes the suggestions for the further research.