基于內(nèi)容分析的網(wǎng)絡(luò)協(xié)議指紋識別

夏 琨，丁 波，劉 俊，劉子豪，林亮成

(1.國網(wǎng)寧夏電力公司，寧夏 銀川 750001; 2.北京中電普華信息技術(shù)有限公司，北京 100085)

0 引 言

協(xié)議識別問題一直是計算機網(wǎng)絡(luò)安全領(lǐng)域的熱門研究。各種操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議從理論上說應(yīng)該是相同的，一般是標(biāo)準(zhǔn)化的，但實際上各種網(wǎng)絡(luò)協(xié)議在應(yīng)用過程中存在一些差別，網(wǎng)絡(luò)協(xié)議的“指紋”就是指這些細(xì)小的差別[1]。越來越多的研究證明網(wǎng)絡(luò)協(xié)議指紋識別技術(shù)可應(yīng)用于計算機網(wǎng)絡(luò)安全領(lǐng)域。行為管理、應(yīng)用性能分析、惡意攻擊檢測、應(yīng)用安全網(wǎng)關(guān)、數(shù)據(jù)監(jiān)測等很多環(huán)節(jié)，都離不開對網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容的分析，而分析網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容，網(wǎng)絡(luò)協(xié)議的識別是前提。

網(wǎng)絡(luò)協(xié)議識別目前主要面臨以下問題：通用計算機結(jié)構(gòu)的計算處理方式越來越無法滿足網(wǎng)絡(luò)在線計算處理的速度要求，研究更高效的網(wǎng)絡(luò)處理技術(shù)與計算處理結(jié)構(gòu)有著重要意義[2]；各種各樣的新應(yīng)用隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷出現(xiàn)，使得網(wǎng)絡(luò)協(xié)議的類型也越來越多[3]。這些新的協(xié)議有一部分是私有協(xié)議，有一部分是根據(jù)開源協(xié)議來設(shè)計的，這些不定因素都給網(wǎng)絡(luò)協(xié)議的識別分析帶來了挑戰(zhàn)；由于目前不是所有的協(xié)議都在IANA中注冊使用端口，并且還有多個應(yīng)用程序可能使用一個被注冊的端口號，以及服務(wù)器的端口有時是動態(tài)分配的，這都使得只采用端口識別的網(wǎng)絡(luò)協(xié)議識別技術(shù)越來越受到限制[4]。

針對上述問題，本文研究基于內(nèi)容分析的網(wǎng)絡(luò)協(xié)議識別技術(shù)，包括網(wǎng)絡(luò)協(xié)議的結(jié)構(gòu)化定義、深度包網(wǎng)絡(luò)協(xié)議識別技術(shù)以及正則表達(dá)式的優(yōu)化改進。在此基礎(chǔ)上開展基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證的協(xié)議自識別技術(shù)研究，進行協(xié)議指紋的提取，建立協(xié)議指紋庫，實現(xiàn)對未知協(xié)議的識別。最后對協(xié)議自識別技術(shù)進行分析與評估，改進自識別技術(shù)及算法，提高識別效率和準(zhǔn)確率。

1 相關(guān)研究

1.1 網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)化定義

網(wǎng)絡(luò)協(xié)議通常分不同層次進行設(shè)計，每一層負(fù)責(zé)不同的通信功能，這樣可以簡化網(wǎng)絡(luò)設(shè)計，提高網(wǎng)絡(luò)設(shè)計效率。TCP/IP協(xié)議族被廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)傳輸，已成為事實上的國際標(biāo)準(zhǔn)。用戶數(shù)據(jù)如FTP服務(wù)，F(xiàn)TP協(xié)議將用戶數(shù)據(jù)封裝成FTP數(shù)據(jù)，F(xiàn)TP數(shù)據(jù)將在傳輸層中被封裝成TCP報文，在網(wǎng)絡(luò)層中被封裝成IP包，然后在鏈路層，網(wǎng)絡(luò)接口驅(qū)動程序?qū)P包封裝成以太網(wǎng)幀發(fā)送到網(wǎng)絡(luò)中[5]。接收端收到數(shù)據(jù)后，按相反的次序解除各協(xié)議層的封裝，最后得到用戶數(shù)據(jù)。

各協(xié)議層都會在接收到上層數(shù)據(jù)后增加有嚴(yán)格的格式定義的封裝。TCP的報文格式定義如圖1所示。

圖1 TCP報文格式(RFC793)

在網(wǎng)絡(luò)層，IP協(xié)議將TCP或UDP報文封裝成IP包，IP協(xié)議的封裝格式如圖2所示。

圖2 IP協(xié)議格式定義(RFC791)

IP數(shù)據(jù)報文將被封裝成以太網(wǎng)格式的幀(RFC894)或IEEE 802.2/802.3(RFC1042)，封裝格式定義如圖3所示。

圖3 以太網(wǎng)封裝數(shù)據(jù)格式(RFC894)和IEEE 802.2/802.3(RFC1042)

1.2 深度包檢測技術(shù)

網(wǎng)絡(luò)協(xié)議的這種嚴(yán)格的結(jié)構(gòu)化定義為深度解析包的信息提供了技術(shù)基礎(chǔ)。深度包檢測(Deep Packet Inspection，DPI)技術(shù)不同于普通報文檢測，不僅分析了包括源地址、目的地址、源端口、目的端口以及協(xié)議類型的內(nèi)容，還對應(yīng)用層的內(nèi)容進行了分析，是一種基于應(yīng)用層的業(yè)務(wù)檢測和識別技術(shù)。DPI深度包檢測的協(xié)議識別大致可以通過以下3種技術(shù)實現(xiàn)：

1)“特征輪廓”識別技術(shù)：一般來說，不同的應(yīng)用程序使用不同的協(xié)議，每個協(xié)議都有自己的“特征輪廓”，類似于人的指紋。這些“特征輪廓”可能是特定的字符串、特定的端口或特定的編碼序列[5]。

2)關(guān)聯(lián)識別技術(shù)：網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的業(yè)務(wù)流和控制流是分離的，業(yè)務(wù)流基本沒有明顯的指紋特征[5]?？刂屏鞯臄?shù)據(jù)內(nèi)容包含建立連接以及協(xié)商出的數(shù)據(jù)流的五元組信息，識別出控制流將其五元組信息加入關(guān)聯(lián)表中，后續(xù)的數(shù)據(jù)流流量通過使用關(guān)聯(lián)表來識別。

3)行為模式識別技術(shù)：通過對終端已經(jīng)完成的行為流量進行解析，識別出用戶正在發(fā)生的行為或者即將發(fā)生的行為[6]。通常通過分析上下行流量的比例、單IP的連接模式、應(yīng)用的連接數(shù)、數(shù)據(jù)包的發(fā)送接收頻率等來識別應(yīng)用的類型，用于無法根據(jù)協(xié)議判斷的業(yè)務(wù)的識別。

1.3 正則表達(dá)式匹配技術(shù)

深度包檢測匹配網(wǎng)絡(luò)協(xié)議的特征輪廓集，可采用正則表達(dá)式匹配算法提高系統(tǒng)監(jiān)測性能和監(jiān)測準(zhǔn)確度。基于正則表達(dá)式進行協(xié)議識別技術(shù)是深度包檢測的重要性能指標(biāo)，正則表達(dá)式匹配通常采用自動機理論，將正則表達(dá)式編譯成有限狀態(tài)自動機[7]。

有限狀態(tài)自動機有2種：DFA(Deterministic Finite Automation，確定有限狀態(tài)自動機)和NFA(Nondeterministic Finite Automation，非確定有限狀態(tài)自動機)[7]。DFA處理復(fù)雜度是Ο(1)，其狀態(tài)集復(fù)雜度是Ο(∑n);NFA處理復(fù)雜度是Ο(n2)，其狀態(tài)集復(fù)雜度為Ο(n)。采用NFA的優(yōu)勢是需要的存儲空間小，但匹配時速度慢，需要完成多次狀態(tài)轉(zhuǎn)換。采用DFA的優(yōu)勢是某一時刻只能存在一個活躍狀態(tài)，匹配時速度快，只需進行一次狀態(tài)轉(zhuǎn)換，但與NFA相比，同樣大小的存儲空間容納的匹配規(guī)則數(shù)量少。因此通常采用DNA匹配算法實現(xiàn)更高的數(shù)據(jù)吞吐。雖然NFA實現(xiàn)相對簡單，但吞吐量較低。采用DFA匹配算法進行設(shè)計有利于高速報文匹配，且有較好的靈活性。

由于正則表達(dá)式匹配的時間代價與空間代價較高，對正則表達(dá)式匹配的時間與空間代價進行減少的研究特別重要[2]。近年來在提高編譯速度、提高匹配速度以及降低存儲空間這3個方面做了以下研究：通過McNaughton&Yamada算法和Thompson算法這2種基本的方式將正則表達(dá)式轉(zhuǎn)換成NFA，并基于以上2種構(gòu)建方式，降低算法的時間復(fù)雜度，提高編譯速度；目前正則表達(dá)式匹配主要使用專用加速硬件來加快速度，匹配引擎有DFA和NFA這2種方式，在硬件匹配引擎中，基于存儲器的引擎采用DFA實現(xiàn)，基于FPGA的一般采用NFA實現(xiàn)，也有采用DFA的方式[7]；相比較NFA匹配引擎的狀態(tài)轉(zhuǎn)移表，DFA的狀態(tài)轉(zhuǎn)移表很龐大，因此降低存儲空間的研究幾乎都是基于DFA的。研究發(fā)現(xiàn)，由NFA通過最小子集構(gòu)造算法仍有重復(fù)的等效狀態(tài)自動機，可以利用填充表算法減少狀態(tài)轉(zhuǎn)移表。

2 基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證的協(xié)議自識別技術(shù)

2.1 網(wǎng)絡(luò)協(xié)議指紋自識別技術(shù)總體設(shè)計

通過對網(wǎng)絡(luò)協(xié)議嚴(yán)格的結(jié)構(gòu)化定義以及深度包檢測技術(shù)等進行研究分析，本文提出基于協(xié)議指紋匹配和協(xié)議規(guī)則驗證技術(shù)的網(wǎng)絡(luò)協(xié)議指紋自識別技術(shù)，能夠?qū)W(wǎng)絡(luò)協(xié)議報文數(shù)據(jù)自動識別所屬協(xié)議類型并且驗證其識別結(jié)果?；趨f(xié)議指紋匹配和協(xié)議規(guī)則驗證的協(xié)議自識別技術(shù)的總體設(shè)計如圖4所示，包括網(wǎng)絡(luò)協(xié)議指紋特征庫、協(xié)議識別結(jié)果驗證規(guī)則庫、協(xié)議指紋特征匹配識別引擎和協(xié)議識別結(jié)果快速驗證引擎。其中，網(wǎng)絡(luò)協(xié)議指紋特征庫和協(xié)議識別結(jié)果驗證規(guī)則庫分別以配置文件描述形式存儲了協(xié)議樣本指紋特征提取階段產(chǎn)生的網(wǎng)絡(luò)協(xié)議指紋特征和協(xié)議識別結(jié)果驗證規(guī)則集[8]。協(xié)議指紋特征匹配識別引擎基于快速哈希表方法實現(xiàn)協(xié)議特征指紋快速匹配，協(xié)議識別結(jié)果快速驗證引擎基于高效的專用網(wǎng)絡(luò)報文處理虛擬機實現(xiàn)協(xié)議識別結(jié)果進一步驗證。

圖4 網(wǎng)絡(luò)協(xié)議指紋自識別技術(shù)總體設(shè)計

2.2 網(wǎng)絡(luò)協(xié)議指紋自識別技術(shù)核心模塊實現(xiàn)

網(wǎng)絡(luò)協(xié)議指紋自識別技術(shù)提供基于協(xié)議指紋識別和協(xié)議規(guī)則驗證技術(shù)實現(xiàn)的未知協(xié)議的指紋特征匹配自識別機制以及協(xié)議識別結(jié)果的快速驗證機制，分為協(xié)議指紋特征提取和協(xié)議指紋特征匹配識別2個階段，核心模塊包括協(xié)議指紋提取和協(xié)議驗證規(guī)則建立、協(xié)議指紋匹配自識別以及協(xié)議識別結(jié)果的快速驗證，核心模塊具體說明如下。

1)協(xié)議指紋提取和驗證規(guī)則建立。

各個操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議的差異表現(xiàn)在數(shù)據(jù)包頭的標(biāo)志位段，如ACK序號、TOS(服務(wù)類型)、ICMP地址屏蔽請求、對FIN包的響應(yīng)等，都可以作為各種網(wǎng)絡(luò)協(xié)議的指紋特征，是該網(wǎng)絡(luò)協(xié)議的一種特定描述[9]。通過匯總這些協(xié)議特定描述，提取指紋特征，形成網(wǎng)絡(luò)協(xié)議指紋特征庫。

在網(wǎng)絡(luò)通信初期，網(wǎng)絡(luò)協(xié)議應(yīng)用報文數(shù)據(jù)流一般不包含業(yè)務(wù)數(shù)據(jù)信息，主要包含和服務(wù)器進行交互的控制流信息，其具有較為明顯的協(xié)議指紋特征。因此提取網(wǎng)絡(luò)應(yīng)用協(xié)議指紋特征一般從傳輸過程中抓取網(wǎng)絡(luò)通信初期的協(xié)議報文數(shù)據(jù)流作為協(xié)議類型樣本進行解析。通過使用抓包工具抓取網(wǎng)絡(luò)協(xié)議報文數(shù)據(jù)包，以源端口號、源IP地址、協(xié)議類型(TCP/UDP)、目的端口號、目的IP地址的五元組信息數(shù)據(jù)流為單位解析形成數(shù)據(jù)報文集合[10]。網(wǎng)絡(luò)應(yīng)用協(xié)議報文數(shù)據(jù)包解析過程如圖5所示。

圖5 網(wǎng)絡(luò)應(yīng)用協(xié)議報文數(shù)據(jù)包解析過程

通過對多種網(wǎng)絡(luò)應(yīng)用協(xié)議五元組數(shù)據(jù)流進行分析，提取可以唯一標(biāo)識各種網(wǎng)絡(luò)應(yīng)用協(xié)議的指紋特征，通過這些信息建立和更新協(xié)議指紋特征庫，該過程包括協(xié)議指紋特征提取、協(xié)議指紋特征庫管理以及外部控制這3個子模塊。其過程如圖6所示。

圖6 網(wǎng)絡(luò)應(yīng)用協(xié)議指紋特征庫建立與更新過程

通過網(wǎng)絡(luò)協(xié)議報文數(shù)據(jù)包解析過程，將獲取的五元組信息作為輸入流發(fā)送給指紋特征提取模塊。指紋特征提取模塊分為以下3種提取方法：1)協(xié)議樣本報頭是固定報頭類型的報頭字段分為動態(tài)字段和靜態(tài)字段，組合定義應(yīng)用協(xié)議報頭中的多個連續(xù)靜態(tài)類型字段作為該類型協(xié)議的特征指紋；2)協(xié)議樣本報頭是文本命令類型的描述格式為[狀態(tài)碼+參數(shù)]或[指令+參數(shù)]，提取其中的狀態(tài)碼或指令作為該類型協(xié)議的特征指紋；3)協(xié)議樣本報頭是其他無固定格式類型，找出可以表示該應(yīng)用協(xié)議特征的單詞作為該類型協(xié)議的特征指紋[11]。協(xié)議指紋特征庫管理運用指紋特征提取模塊提取出的指紋特征和由外部控制模塊反饋的匹配結(jié)果信息創(chuàng)建并維護網(wǎng)絡(luò)協(xié)議指紋特征庫。

多種網(wǎng)絡(luò)應(yīng)用可以歸為一個協(xié)議類型分組，提取網(wǎng)絡(luò)應(yīng)用協(xié)議樣本中可以進一步標(biāo)識協(xié)議樣本類型的字段或者協(xié)議消息傳輸需要滿足的規(guī)則等作為該網(wǎng)絡(luò)應(yīng)用協(xié)議類型除協(xié)議指紋特征之外的協(xié)議驗證規(guī)則。圖7為協(xié)議識別結(jié)果驗證規(guī)則庫中協(xié)議類型驗證規(guī)則分組的結(jié)構(gòu)圖。

圖7 協(xié)議類型驗證規(guī)則分組的結(jié)構(gòu)圖

2)協(xié)議指紋匹配自識別。

協(xié)議指紋匹配自識別對未知協(xié)議報文流進行報文數(shù)據(jù)包解析，通過協(xié)議指紋特征匹配識別引擎匹配出在網(wǎng)絡(luò)協(xié)議指紋特征庫中的所屬協(xié)議類型，將協(xié)議識別結(jié)果發(fā)送給快速驗證引擎進行結(jié)果驗證，同時也要發(fā)送給網(wǎng)絡(luò)協(xié)議指紋特征庫的外部控制子模塊，網(wǎng)絡(luò)協(xié)議指紋特征庫根據(jù)識別結(jié)果更新網(wǎng)絡(luò)協(xié)議指紋特征庫信息。

協(xié)議指紋特征匹配識別引擎使用多報文疊加匹配算法對數(shù)據(jù)包進行正則表達(dá)式匹配，當(dāng)?shù)谝粋€網(wǎng)絡(luò)協(xié)議報文數(shù)據(jù)包的解析完成時，提取其指紋特征進行匹配，若沒有匹配成功，則等待下一個數(shù)據(jù)包到來并解析完成后，把已經(jīng)解析的2個協(xié)議報文數(shù)據(jù)包和五元組信息合起來完成指紋提取再去匹配，若還沒有匹配成功，繼續(xù)等待下一個數(shù)據(jù)包并合起來，如此反復(fù)進行下去，直到匹配成功或匹配報文數(shù)據(jù)包個數(shù)達(dá)到上限為止[12]。協(xié)議指紋特征匹配識別引擎匹配過程如圖8所示。

圖8 協(xié)議指紋特征匹配識別引擎匹配過程

3)協(xié)議識別結(jié)果的快速驗證。

圖9 協(xié)議識別結(jié)果的快速驗證過程流程圖

采用多模匹配算法來實現(xiàn)協(xié)議識別結(jié)果的快速驗證，過程流程如圖9所示。先提取出協(xié)議識別結(jié)果驗證規(guī)則集中的所有規(guī)則進行編號，通過模式匹配算法在協(xié)議報文數(shù)據(jù)包解析出的五元組信息中查找規(guī)則，找到一個規(guī)則之后遍歷此五元組信息包含的所有規(guī)則，如果某條五元組信息包含的所有規(guī)則都與對應(yīng)的協(xié)議識別結(jié)果類型分組的規(guī)則對應(yīng)，則表明該條協(xié)議識別結(jié)果正確。

3 高性能協(xié)議分析優(yōu)化技術(shù)

協(xié)議識別和分析技術(shù)即使再成熟、再準(zhǔn)確，在高速網(wǎng)絡(luò)環(huán)境下，要能夠線速處理，仍然需相應(yīng)的優(yōu)化和匹配技術(shù)。為了滿足線速處理，業(yè)內(nèi)采用TCAM或者專用加速芯片。但是TCAM本身是為了網(wǎng)絡(luò)協(xié)議層轉(zhuǎn)發(fā)而設(shè)計的，通過把包的部分內(nèi)容輸入TCAM中，TCAM能在一個指令cycle中完成匹配并返回結(jié)果。TCAM本身受到容量的限制，分析的內(nèi)容不會太多，滿足協(xié)議層分析是足夠的，但是應(yīng)用到數(shù)據(jù)包內(nèi)容分析方面，顯得有些不足[13]。基于ASIC技術(shù)，即使采用即時編譯技術(shù)提高適應(yīng)性，也存在使用靈活性問題，數(shù)據(jù)包整個交給ASIC芯片，完成處理后再交給平臺處理，導(dǎo)致處理流程復(fù)雜，并且數(shù)據(jù)不能及時更新到處理流程中，硬件接口也變得非常復(fù)雜，開發(fā)難度增大[14]。

應(yīng)用系統(tǒng)眾多且發(fā)展快，新的功能要求需要頻繁地改動系統(tǒng)，研究完全采用軟件的方法，高速分析網(wǎng)絡(luò)協(xié)議，充分利用處理器平臺Cache，采用流狀態(tài)機和查收結(jié)合的方法提高處理性能，縮小查找表，是一種可行的方法，而且在安全領(lǐng)域也有成功的先例。

DFA不能有效支持通配符，而在協(xié)議分析中不可避免地遇到通配符。通配符會導(dǎo)致狀態(tài)躍遷表膨脹，極端情況下，會達(dá)到數(shù)十GB的規(guī)模，這種理論上可行的方案在實際應(yīng)用中是難以實現(xiàn)的[15]。一方面需要的存儲空間巨大，給軟硬件設(shè)計帶來困難；另一方面高內(nèi)存消耗使得查收頻繁的內(nèi)容訪問速度嚴(yán)重下降。所以采用多級匹配的模式，結(jié)合流狀態(tài)機進行分析是可行的方案。通過多級DFA分析，結(jié)合流狀態(tài)表綜合處理，是解決DFA狀態(tài)躍遷表膨脹的有效途徑。

高效率協(xié)議分析和內(nèi)容分析檢查是網(wǎng)絡(luò)處理的關(guān)鍵，在網(wǎng)絡(luò)安全領(lǐng)域，多模式查找AC算法(Aho-Corasick algorithm)是一個經(jīng)典算法，也是被廣泛采用的算法，對于單個正則表達(dá)式多采用Boyer-Moore算法。AC算法采用狀態(tài)機的方式對多個模式一次掃描匹配，AC算法提供了將NFA轉(zhuǎn)換成DFA的算法，最終結(jié)果是狀態(tài)躍遷表。如果將所有的模式制成一個表，會引起狀態(tài)躍遷表的膨脹，表空間巨大且呈現(xiàn)稀疏矩陣的特點[16]。巨大的表空間會導(dǎo)致處理器Cache的頻繁失效，嚴(yán)重影響處理效率。AC算法還存在致命的問題，對于通配符的支撐不足，特別是長度不限定的通配符會導(dǎo)致狀態(tài)表數(shù)倍的增長。通過研究基于流狀態(tài)機的處理機制，結(jié)合網(wǎng)絡(luò)層、應(yīng)用層協(xié)議判斷對模式進行劃分，減少每個狀態(tài)躍遷表的狀態(tài)數(shù)。

4 實驗結(jié)果分析

本章利用真實鏈路上捕獲的報文進行協(xié)議指紋識別測試分析。用Etherreal捕獲HTTP(Web訪問)、QQ(文本聊天)、SMTP(發(fā)送郵件)、BT(長文件下載)、Edonkey(長文件下載)、POP3(接收郵件)這6種應(yīng)用的流量[17]，流量情況如表1所示。

測試環(huán)境如圖10所示。

圖10 測試環(huán)境

在測試時,設(shè)置每個流上的檢測報文個數(shù)為8個,寄存器超時設(shè)置為35 s，測試結(jié)果如表2所示。

從協(xié)議指紋識別結(jié)果中可以發(fā)現(xiàn)：基于報文流的平均識別率大約為94.3%，基于字節(jié)流的平均識別率大約為90.1%。對比發(fā)現(xiàn)，基于內(nèi)容的協(xié)議指紋自識別處理能力強，并且能夠在線處理以及精確區(qū)分各協(xié)議類型，具有很大優(yōu)勢。

表1 協(xié)議指紋識別準(zhǔn)確性測試采樣流量

網(wǎng)絡(luò)協(xié)議類別報文數(shù)采樣時間/s存儲空間/MB平均包長/B備注BT2976920024.223702SMTP65401004.882832成功QQ19951002.112603含有文件傳輸HTTP2658820015.112659成功POP340661003.112745成功Edonkey4689220027.876633

表2 協(xié)議指紋識別結(jié)果 單位：%

5 結(jié)束語

網(wǎng)絡(luò)協(xié)議識別是網(wǎng)絡(luò)管理、網(wǎng)絡(luò)測量和網(wǎng)絡(luò)安全等領(lǐng)域的基礎(chǔ)，本文首先介紹了現(xiàn)有識別方法，在對網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)協(xié)議識別相關(guān)概念進行概述的基礎(chǔ)上，分析了各種識別方法所使用的協(xié)議指紋存在的基礎(chǔ)、局限性和匹配的難易程度等。鑒于現(xiàn)有研究對協(xié)議指紋識別關(guān)注較少，提出了一種基于內(nèi)容分析，并采用統(tǒng)計和行為模型分析的具有自學(xué)習(xí)功能的協(xié)議識別方法，既能對已知的協(xié)議進行正確的識別，又能夠通過自學(xué)習(xí)方式對未知的協(xié)議從內(nèi)容進行協(xié)議指紋提取與模型建立，實現(xiàn)對未知協(xié)議快速、準(zhǔn)確的識別。通過實驗驗證了該方法及特征的有效性。高速網(wǎng)絡(luò)環(huán)境下實現(xiàn)協(xié)議解析和內(nèi)容分析需要高效能的算法支撐，進一步完善高性能協(xié)議分析優(yōu)化技術(shù)是下一步的研究內(nèi)容。

參考文獻：

[1] 楊陽,趙洪宋,岳雨儉,等. 基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J]. 計算機與現(xiàn)代化, 2014(2):201-204.

[2] 鄭生軍,夏業(yè)超,李建華,等. 基于多種檢測技術(shù)融合的入侵檢測系統(tǒng)[J]. 計算機與現(xiàn)代化, 2016(5):116-121.

[3] 李斌,常樂,楊寶琦. 一種網(wǎng)絡(luò)協(xié)議高效自動識別方法的研究[J]. 電信科學(xué), 2014,30(9):139-144.

[4] 胡衛(wèi)華,班曉芳,孟祥杰,等. 面向下一代威脅的安全框架[J]. 信息安全與通信保密, 2014(6):100-104.

[5] 宋勇,秦拯. 網(wǎng)絡(luò)入侵檢測系統(tǒng)安全通信協(xié)議的設(shè)計及驗證[J]. 計算機與現(xiàn)代化, 2010(7):51-55.

[6] 郭恩陽. DPI在移動分組域中的應(yīng)用與展望[J]. 移動通信, 2012,36(18):85-89.

[7] 黃益彬,金倩倩,紀(jì)元. 網(wǎng)絡(luò)數(shù)據(jù)包高性能并行處理技術(shù)研究[J]. 計算機與現(xiàn)代化, 2016(12):57-61.

[8] 蔡洪民,伍乃騏,滕少華. 分布式木馬檢測系統(tǒng)設(shè)計實現(xiàn)[J]. 計算機應(yīng)用與軟件, 2012,29(5):278-280.

[9] 俞皓,黃益彬. 網(wǎng)絡(luò)協(xié)議通用型解析引擎描述語言研究[J]. 計算機與現(xiàn)代化, 2014(4):157-161.

[10] 王紹輝. 流數(shù)據(jù)協(xié)議特征分析[D]. 成都：電子科技大學(xué)， 2016.

[11] 王勇,吳艷梅,李芬,等. 面向比特流數(shù)據(jù)的未知協(xié)議關(guān)聯(lián)分析與識別[J]. 計算機應(yīng)用研究, 2015，32(1)：243-248.

[12] 田艷飛. Linux下基于網(wǎng)絡(luò)協(xié)議分析和竊取識別的網(wǎng)絡(luò)取證的研究[D]. 北京：北京工業(yè)大學(xué), 2015.

[13] 丁斌. 網(wǎng)絡(luò)協(xié)議分析與網(wǎng)絡(luò)異常流量識別技術(shù)的研究[D]. 長春：長春工業(yè)大學(xué), 2015.

[14] 周東旭. Ares協(xié)議分析與流量檢測機制研究[D]. 南京：南京郵電大學(xué), 2012.

[15] 朱映映,吳錦鋒,明仲. 基于網(wǎng)絡(luò)事件和深度協(xié)議分析的入侵檢測研究[J]. 通信學(xué)報, 2011，32(8):171-178.

[16] 朱賀軍,萬月亮. 網(wǎng)絡(luò)內(nèi)容審計系統(tǒng)構(gòu)建[J]. 信息網(wǎng)絡(luò)安全, 2010(4):48-50.

[17] 萬兵,楊陽. VoIP流量監(jiān)測技術(shù)的研究與應(yīng)用[J]. 電信快報, 2010(2):32-35.

[18] 朱錢廣. 基于深度包過濾的網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[D]. 上海：東華大學(xué), 2010.