(華北電力大學 北京 102206)

一、課題研究背景及意義

(一)課題研究背景

國家電網(wǎng)公司采用了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體防護策略；2006年起，在國家電網(wǎng)公司信息化“SG186”工程安全防護工作中，提出了“雙網(wǎng)雙機、分區(qū)分域、等級保護、多層防御”的安全策略，2010年，智能電網(wǎng)信息安全防護方案中，突出“分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護”的安全策略，提出建立以智能防護為主的主動防御體系?？傮w演進路線從單一的邊界防護推進到全面防護，同時輔以安全管理手段提升防護效果，各種防護技術(shù)和措施起到一定的防護效果。

對網(wǎng)絡(luò)協(xié)議進行匹配，分析協(xié)議內(nèi)容，深入了解網(wǎng)絡(luò)業(yè)務(wù)的變化，并進行適當?shù)木W(wǎng)絡(luò)關(guān)聯(lián)與控制，對網(wǎng)絡(luò)業(yè)務(wù)設(shè)計、運營和評估具有重要意義，也是網(wǎng)絡(luò)流量監(jiān)控的一個高級目標。網(wǎng)絡(luò)流量識別技術(shù)，是分析網(wǎng)絡(luò)流量特征和增強網(wǎng)絡(luò)可控性的基本手段之一，廣泛運用于流量監(jiān)控、網(wǎng)絡(luò)安全檢測、用戶行為分析、計費管理或其他網(wǎng)絡(luò)活動中。從整體看，互聯(lián)網(wǎng)上的主要業(yè)務(wù)可以劃分為：數(shù)據(jù)下載、網(wǎng)頁訪問、流媒體、即時通信和游戲等。

(二)課題研究意義

隨著高速網(wǎng)絡(luò)技術(shù)的迅速發(fā)展以及信息化進程的不斷推進，互聯(lián)網(wǎng)己經(jīng)成為重要的基礎(chǔ)設(shè)施，支撐著商業(yè)、金融、教育、政府以及娛樂等各個方面的應(yīng)用。因此，為了有效管理因特網(wǎng)協(xié)議資源，保障關(guān)鍵業(yè)務(wù)，解決網(wǎng)絡(luò)協(xié)議的匹配和識別驗證問題，協(xié)議指紋匹配和協(xié)議規(guī)則驗證的協(xié)議自識別技術(shù)逐漸成為了國內(nèi)外的研究熱點和關(guān)鍵問題。

從技術(shù)角度來看，網(wǎng)絡(luò)的安全與管理需要協(xié)議識別與匹配技術(shù)。在互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全與我們的生活息息相關(guān)。協(xié)議識別系統(tǒng)部署在安全防護系統(tǒng)的最前端，是最為重要、最為基礎(chǔ)的部分。只有對協(xié)議做到快速有效識別，才能進一步有效地對流量進行管理。因此，只有能夠?qū)用軈f(xié)議進行快速且精確的識別，才能從大規(guī)模的網(wǎng)絡(luò)協(xié)議中識別目標協(xié)議，并辨別其真?zhèn)?，避免網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)惡意事件的發(fā)生。

從社會角度來看，隨著信息時代的到來，互聯(lián)網(wǎng)已經(jīng)成為全球信息發(fā)布、傳播和共享的主要平臺。但由于其開放性和自由性，一些不良信息也可以利用加密協(xié)議進行傳播。因此，協(xié)議指紋匹配和協(xié)議驗證的自識別技術(shù)可隔離色情、恐怖、暴力信息，對青少年的身體健康，社會的和諧穩(wěn)定發(fā)展具有著重要的意義。

綜上所述，協(xié)議指紋匹配和協(xié)議規(guī)則驗證的自識別技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域中迫切需要突破的關(guān)鍵技術(shù)，因此，對于協(xié)議識別技術(shù)的研究，不僅拓展了協(xié)議識別領(lǐng)域的研究深度，又為網(wǎng)絡(luò)的管理和優(yōu)化問題帶來新的解決之道。總之，本文對于協(xié)議指紋匹配和協(xié)議規(guī)則驗證的自識別技術(shù)的研究極具現(xiàn)實意義和理論價值，不但可以為國家和企業(yè)的實踐提供參考，還可以拓展協(xié)議識別領(lǐng)域的研究深度和寬度。

二、課題研究現(xiàn)狀

(一)國內(nèi)外研究現(xiàn)狀

為了解決協(xié)議識別問題，國內(nèi)外做了大量的的研究工作。最早研究的協(xié)議識別技術(shù)是基于端口的協(xié)議識別技術(shù)，該技術(shù)所能識別的協(xié)議為在IANA中注冊端口號的協(xié)議。但是由于新出現(xiàn)的協(xié)議都不在IANA中注冊端口號，算法所能識別的協(xié)議在總協(xié)議數(shù)量中所占的比重越來越少。正是由于這些原因，基于端口識別協(xié)議的準確性已經(jīng)低于50%，算法的錯誤率高于正確率。

為了提高協(xié)議識別的準確性，2002年至2004年間有很多研究利用基于靜態(tài)特征匹配的算法來識別應(yīng)用層協(xié)議，并且目前絕大部分廠商所研發(fā)的協(xié)議識別的設(shè)備也均采用此類技術(shù)。基于靜態(tài)特征的協(xié)議識別技術(shù)的準確性是目前所有算法中最高的。Subhabrata Sen使用基于協(xié)議簽名的方法識別應(yīng)用層協(xié)議，但是其特征串定義僅限于P2P協(xié)議的范圍，并且往往要檢查全報文以匹配多個特征串。總體來講，該類算法的時空復(fù)雜度比較高，識別效率較低。它需要不斷地跟蹤待識別協(xié)議的發(fā)展，當協(xié)議規(guī)范發(fā)生變化或者新協(xié)議出現(xiàn)時，尋找特征的工作必須重新進行，更新具有一定的滯后性。

所以隨著現(xiàn)代化網(wǎng)絡(luò)中動態(tài)端口、數(shù)據(jù)加密以及隱私保護措施的出現(xiàn)，這些技術(shù)將面臨巨大的問題。

三、總結(jié)

網(wǎng)絡(luò)協(xié)議分類是信息安全領(lǐng)域的經(jīng)典問題。各類型網(wǎng)絡(luò)應(yīng)用的不斷涌現(xiàn)，使得該問題一直為研究者持續(xù)關(guān)注。本文綜述了網(wǎng)絡(luò)協(xié)議分類領(lǐng)域的研究方法及研究成果，對基于包頭的協(xié)議特征匹配方法、基于有效載荷的協(xié)議特征匹配方法、基于機器學習的指紋匹配方法以及未知協(xié)議指紋特征匹配進行了研究，分別指出它們的優(yōu)勢和不足，及適用的場景。本文還分析了協(xié)議分類識別面臨的四大挑戰(zhàn)與技術(shù)手段。高速網(wǎng)絡(luò)環(huán)境中的流量實時分類成果較少，應(yīng)用價值很大，在這方面還有很大的研究空間。

協(xié)議樣本特征提取階段提取的協(xié)議指紋和相應(yīng)協(xié)議驗證規(guī)則集用配置文件描述，系統(tǒng)工作時，將基于該配置文件構(gòu)建協(xié)議指紋哈希表，將相應(yīng)協(xié)議驗證規(guī)則集翻譯成虛擬機程序供協(xié)議驗證引擎執(zhí)行。

綜上所述，該方法可以滿足實時性要求：一旦識別成功，可以智能記憶識別結(jié)果，對后繼的通信可以起到“協(xié)議導航”的作用，既提高了效率，又避免了因識別時機滯后所帶來的漏報；識別規(guī)則可以靈活配置，可以像升級事件特征庫一樣定期對協(xié)議指紋庫進行遠程在線升級，以增加新的協(xié)議識別規(guī)則；效率高，并可基于配置文件在協(xié)議識別結(jié)果準確率和算法效率之間進行調(diào)整，模塊靈活性和可操作性強，可滿足各種應(yīng)用場景。