2010年08期《计算机工程与科学》准确高效的应用层协议分析识别方法.docVIP

准确高效的应用层协议分析识别方法 牟 乔 北京德星电子科技公司BSP Dept.，北京市海淀区理想国际大厦9层，100080 摘 要: 对现行应用层协议分析方法进行总结概述，并介绍一套全新的、模块化的、分为低、中、高、补等四个级别十二大类的协议分析识别方法，可准确高效地将网络上的各种通讯数据分门别类，以便于随后进行网络流量监控与管理。尤其针对加密或伪装类数据包，可不经过解密等需要深入进行数据剖析或产生过多计算量的复杂途径进行分析。即使是不能分析的未知流量，亦有相关特殊方法进行强制性或使用者控制的非强制性操作而将其纳入可控范围进行管理。列举了利用模块化特性，在Linux平台上实现本方法并进行实验后得到的数据的比较，以及整套系统在真实应用环境中的分析效果。 关键词: 准确，高效，应用层，协议分析，协议识别 中图法分类号: TP　　　 文献标识码: A 文章编号：290142 A suite of Precise and Efficient Analyzing Technique for Application Protocols MU Qiao （BSP ept., Beijing Destiny Electronic Technology Co. Ltd., Beijing 100080） Abstract: summarize the protocol analysis method currently, and introduce a new suite of analyzing technique divided into 4 levels and 12 sorts. We can assort the application data including the unrecognizable data running on the internet into different kinds of protocols efficiently and precisely using this technique. For those encrypted or masked packets, it may finish the analysis task without decrypt or any other complicated calculation. Once they have been classified as protocols, Network Traffic Control could be done easily. Key words: Precise, Efficient, Application Layer, Protocol Analysis, Data Distinguishing 近年来，随着人们对信息量需求的增长，P2P和流媒体等非关键性应用不断抢占网络带宽，如何禁止或控制非核心应用从而保障关键业务应用已成为热门话题。 根据美国Ellacoya网络研究公司发布的调查一百万宽带用户的网络流量状况的统计报告，结果表明基于HTTP协议的互联网流量已占据全部流量的46％；排名第二的是P2P应用的流量，其占据37%的比例。排在后面的流量分别属于新闻组（9%）、非HTTP协议的视频流媒体（3%）、网络游戏（2%），以及VOIP网络电话（1%）。网络中的数据是呈现多元化，复杂化的，而对其加以控制管理的前提是分析出各种类型数据的所属，因此，协议分析识别是网络带宽管理与分配的必要前提条件。 1.现行识别方法 随着网络通讯技术的日新月异，许多现行识别方法均已过时甚至失效，不能作为准确的识别标准来使用。目前最典型的方法为纯端口判定识别与L7filter对比识别。但由于协议的端口，特别是新协议的运行端口变得不可预期，从而使得纯端口判定识别开始走出人们的视野；而L7filter对比识别因为在识别过程中会造成不可预估的延时并大大影响整体管理系统的运行效率也在逐步地被淘汰。另外，在真实的网络中，无法识别的流量一般会占到总流量的30%以上，而鉴于这些未知流量的不确定性和大数据量等原因，对其进行控制就显得尤为重要。但遗憾的是现行绝大多数方法均不能做到对其进行管理。所以，对于新识别方法的需求就显得尤为迫切。 2. 新的识别方法 经过深入分析大量数据包后，在实践中总结出以下新的识别方法，并分为初、中、高、补四个级别、十二类，限于篇幅每类方法仅作简单叙述。 2.1 新识别方法的理论依据 分析的实现过程是基于链表遍历和字符对比，识别匹配所需时间、准确率与整体识别引擎的规模大小均成正比。另外，哈希表的效率也是一个非常重要的参数。将协议大致分为N类，基于HTTP协议的