论文部分内容阅读
随着互联网的飞速发展和宽带技术的不断涌现,网络安全问题正在成为目前互联网最亟待解决的重要课题,现在有各种各样的网络安全产品应用于市场,如入侵监测系统、软件防火墙、电子邮件监控系统等,这些系统为了能够准确的对网络上的内容进行监控或者还原,就必需要弄清楚网络上传输数据包的协议类型,而在目前TCP/IP协议体系下的网络中要弄清楚数据包的协议类型,就必需要能够准确的识别数据包的应用层协议类型。随着网络服务质量要求的不断提高,将来的网络带宽分配方式已经不再是一个固定的分配方式,而是会根据目前传输协议所需要的网络带宽来进行一个动态的分配,例如可以在传输一般的文字文本信息时可以分配比较少的带宽,而在进行实时的视频信息传输时则分配一个较大的带宽。而这种分配方式实现的前提就是要能够准确的识别数据包的协议类型。在实际网络数据的分析中,对数据的区分度的要求也越来越高,从原来对数据IP层的区分提高到了现在对数据包应用层的区分,对数据的统计也从原来的对不同IP数据量的统计上升为了对不同应用层协议的数据量的统计,而要满足这些新的统计需要也必需要求能够准确的识别数据包的协议类型。当前对应用层协议识别的方式一般分为两种:一种是利用专门的光纤分光设备来镜像光纤网络上的数据,然后将数据送给专门的硬件设备来通过区分数据包传输层端口的方式来识别数据包协议类型;另一种是采用单独的服务器作为协议识别系统,利用服务器的网卡或者通过集线器来收集数据,利用服务器的上层应用软件来对数据包协议进行识别。本文首先介绍了网络协议的基本概念,然后对目前的两种协议识别方式,基于传输层端口的识别和基于一次协议关键字匹配进行分析,指出其中导致漏识别或者误识别的原因。然后根据应用层协议通信的特点,提出了一种基于二次协议关键字匹配的协议识别方式,并对该识别方式中所涉及的多模式匹配技术和规则管理技术进行了研究。本文还对HMM技术进行了讨论,指出了其在协议识别中的应用,接着对多模式匹配方面,本文采用了CAM结构和BloomFilter结构相结合的方式实现了协议识别中的数据分类。最后在对多种典型的和新型的协议实例分析研究的基础上,提出了一种高效的、优化的协议识别算法,设计了一个具有开放性、可扩展性、功能独特的网络协议识别系统。该系统共由5个功能模块组成,从而提供了对已知或未知协议识别和分析的平台,此外还对系统进行了实验,并得出测验结果。