一种网络协议高效自动识别方法的研究.pdfVIP

运营技术广角 一 种网络协议高效自动识别方法的研究 李 斌 ，常 乐，杨宝琦 (中国移动通信集团山西有限公司 太原 030032) 摘 要 ：通过分析和探讨特征树和模式匹配的结合技术 ，对 网络协议 的识别进行创新 ，在高效识别协议 的基础 上扩展 了对未知协议 的识别，提高了协议识别技术 的顽健性和有效性 ，适应未来大数据发展 的方 向。 关键词 ：特征树 ；模式匹配 ；协议识别 doi：10．3969／j．issn．1000-0801．2014．09．020 Research onEfficientAutomaticRecognition M ethodforNetworkProtocol LiBin，ChangLe，YangBaoqi (ChinaMobileGroupShanxiCo．，Ltd．，Taiyuan030032，China) Abstract：Thecharacteristicsofthecombinationoffeaturetreeandpattern matchingtechniqueswereanalyzedand discussed．Th eidentificationofthenetworkprotocolhasanew innovation，andbasedonhteefficientidentification protocol，hte identfiication ofunknown prot4)colwas extended．Th e effectofon-line application showsthathte mehtodcan improvehterobustnessand effectivenessofhteprotocolidentfiicationtechnology，anditadaptstothe futuredirectionofbigdatadevelopment． Keywords：featuretree，pattern matching，protocolidentfiication ． 动态匹配：先提取网络协议的特征。通过定义正则 1 引言 表达式对协议特征进行动态匹配。一个正则表达式 深度分组检测 (deeppacketinspection，DPI)技术是网 由一系列规则和大量的状态数组组成。 络安全审计、入侵检测、数据防泄露等网络信息安全产品 · 树型匹配：将网络协议分组，通过树型结构组织协 的关键技术之一，DPI技术的核心是应用层协议识别，即 议库．通过树结构的遍历进行协议匹配。 鉴别网络链路上传输的数据所采用的应用层协议，并对这 随着新应用的不断涌现和网络带宽的飞速增长，电信 些协议进行还原和分析。具体实现机制是通过深入读取IP 运营商在使用现有协议识别方法进行网络流量DP1分析 分组载荷的内容，对OSI7层协议中的应用层信息进行重 时．面临如下三大挑战。 组，从而识别出IP分组的应用层协议内容，并将其作为后 (1)大数据量下分析性能有限 续业务处理的依据。应用层协议识别的关键是进行协议特 现有的DPI算法中，对协议的识别以静态匹配技术为 征匹配，现有技术主要通过以下方式进行协议特征匹配。 基础，即定义标准的协议库。当发现网络流量数据时用采 · 静态匹配：通过定义协议库。将抓取到的网络协议 集的数据分组与协议库内容进行遍历匹配。如果存在上千 与协议库中每个协议的内容进行各个字段的匹配。 种协议．那么对每个数据分组遍历近千次。大大影响实际 遮营锼米广鹤