网络应用层会话分析系统设计和实现.docVIP

网络应用层会话分析系统设计和实现 　　摘 要：应用层会话分析可以用来反应网络状态、掌握用户习惯以及发现潜在的安全威胁。该文提出了一种网络应用层会话分析系统的设计和实现方法，给出了应用层协议包括固定端口和可变端口协议的分析算法。实验表明，该文的方法能够有效地在对局域网内的会话进行识别和统计。 　　关键字：计算机网络 协议分析 端口 数据库 　　中图分类字：TP319 文献标识码：A 文章编号：1674-098X（2012）12（a）-00-03 　　当前政府、银行、企业等机构纷纷连接到互联网中，越来越多的核心业务在互联网上完成。网络为人们提供了极大的便利，已经逐渐成为很多用户完成相关业务的非常重要的、不可或缺的手段。然而，网络的不断普及也带来了其安全问题。各种各样的后门、代码攻击、蠕虫等无时无刻不在对用户的网络进行着攻击，造成网络用户的服务被拒绝、企业或个人机密信息被窃取等等一系列损失。因此对网络的监测和管理成为一个急需解决的问题。 　　应用层会话分析是网络状态监测和管理的一个重要组成部分。应用层会话分析具有如下的意义。 　　（1）应用层会话分析的结果能够反映网络的状态。根据应用层会话的统计信息，能够得知传输中断、VoIP语音质量及应用服务的响应时间等，从而提供更好的网络服务； 　　（2）应用层会话分析的结果可以用来掌握用户的爱好和习惯，进而进行网络的监控等管理； 　　（3）应用层会话分析能够发现潜在的安全威胁，比如蠕虫和网络入侵，在没有造成更大的危害之前进行响应。 　　目前，网络的监测和管理有多种方式可以实现，主要分为简单网络管理SNMP，FLOW和Sniffing。简单网络管理协议（SNMP）是应用最广泛的网关协议。SNMP构架中包含若干个被管理的网络接点设备以及至少一个管理工作站。工作站通过轮询或者中断的方法从被管理的网络设备中收集数据信息。Flow技术采用集中式的管理，由核心交换机或路由器提供信息。Sniffer技术可以截取完整的数据包，因此得到的信息最为完整，甚至可以还原和重现原始的网络通信内容。 　　该文在Sniffer技术的基础上，提出了网络应用层会话分析系统的设计和实现方法。该方法给出了应用层会话分析的工作流程，以及在应用层会话分析中各种关键问题的算法。基于这些算法，该文实现了一个网络应用层会话分析系统，并给出使用该系统在真实的网络中进行实验的结果和分析。 　　1 网络应用层会话分析系统的设计 　　根据TCP/IP模型，网络协议可以分为链路层、网络层、传输层和应用层。为了实现应用层会话分析，需要程序能够获得链路层的报文，并对链路层、网络层和传输层的协议进行解析，并在此基础上识别应用层协议类型并确定会话的建立和结束；同时为了方便用户查询，需要建立会话信息的数据库表。对应于以上的四个功能，将网络应用层会话分析系统设计为如下四个模块：数据包捕获模块，基本协议解码模块，应用层协议分析模块和数据库管理模块。下面分别给出这些模块的设计： 　　1.1 数据包捕获模块 　　数据包捕获库模块实现链路层数据帧获取，从网卡中直接获取数据链路层数据包，对数据包进行一定的解析，提供一套自己的内存管理机制，并向上层应用提供一套接口，使上层应用程序可以很简便的完成数据包获取。在实现数据包捕获的时候，还应该考虑到效率的问题，尽量减少丢包情况的发生。 　　1.2 基本协议解码模块 　　基本协议将数据包捕获模块监听到的数据包进行协议解码，并将标志了各个字段的数据包上传给应用层协议分析模块。基本协议解析模块模拟操作系统中的协议栈处理过程，按照链路层、网络层、传输层的顺序以此将数据包的包头各字段进行标记，同时对数据进行校验和检查。 　　1.3 会话分析模块 　　会话分析在基本协议解析的基础上，以会话为单位进行网络流量的分析。该文利用网络报文中的如下字段来判定它所属于的会话：源IP地址、目的IP地址、源端口、目的端口和应用层协议的类型。即同一个会话中的数据报文具有的以上字段具有相同 　　的值。 　　因此，分析一个网络报文的应用层协议的类型，是进行会话分析的基础。应用层的协议种类繁多，在进行分析的时候要针对不同的协议采用不同的方法。例如对于固定端口的协议，如http协议等，可以根据服务的端口80或8080来识别；对于一些服务端口需要经过协商确定的协议，如bittorrent协议和skype协议等，端口匹配的方法不再适用。 　　这时需要根据报文数据的某些特征，例如包含一些特殊的字符串来进行识别。例如在bittorrent协议的报文数据中通常包含一个长度为19字节的字符串“bittorrent protocol”。 　　因此需要适当的方法对可变端口的协议特征进行描述，使用并行模式匹配算法，对报文数据进行匹配。应用层