无线网络通信在军事上的广泛运用,使得传统的基于射频信号特征侦察分析与功率压制的通信对抗模式面临着严峻的挑战。通过对物理层、链路层和网络层协议分析识别,以较小的射频功率实现对战场无线网络的灵巧式干扰与攻击,对于实现网电一体对抗具有重要的军事意义。依据OSI七层网络体系结构划分,链路层协议是其不可或缺的一部分,起着承上启下的作用,所以针对链路层协议的解析受到越来越多的关注。然而对于战场无线网络而言,链路层协议帧格式定义一般是非公开的,因此如何对链路层比特流序列进行帧切分并在此基础上实现链路层未知协议的解析是战场无线网络协议分析的难点问题。本课题拟开展面向比特流的链路层未知协议分析技术研究,现有的网络协议分析方法主要存在以下三个方面的问题:(1)协议分析方法多是针对已知协议或具有固定格式以及特殊特征的协议,且主要面向应用层协议,这些方法很难适用于链路层未知协议的分析识别。(2)少数链路层未知协议分析方法的性能过分依赖于对频繁序列的统计准确程度,然而当前一些频繁序列统计方法计算复杂度高,正确率不高,且对二进制比特流数据适用性不强。(3)现有的链路层未知协议帧切分算法捕获的同步字段一般有冗余或者残缺,无法进行有效唯一的切分,只能给出多种切分的可能。本课题开展面向比特流的链路层未知协议分析技术研究,首先简要介绍链路层协议的相关概念和基本知识,链路层协议分析的国内外研究现状及存在的主要问题。然后在此基础上,从比特流数据频繁序列统计、链路层比特流数据帧切分、链路层未知协议帧地址解析三个方面展开研究,提出了三种算法,并通过实际采集的无线WiFi网络链路层比特流数据集和Pathmaker网络电台组成的Ad Hoc网络链路层比特流数据集验证了三种算法的可行性和有效性。最后将三种算法用于协议分析功能平台的工程实现。主要研究工作总结如下:(1)针对经典多模式匹配算法存在计算复杂度高、不适用具有二元性的比特流数据等问题,提出一种基于AC-IM(Improved Aho-Corasick,AC-IM)算法的链路层比特流频繁序列统计,用于统计链路层比特流数据的频繁序列。根据比特流数据频繁序列的特点,在经典AC多模式匹配算法的基础上,通过构建一个字符串最大跳跃距离表和两个哈希表度量模式匹配的不相似性,代替了原始AC算法基于有限状态机和字典树两种手段度量模式匹配的不相似性。通过实际采集的无线WiFi网络链路层比特流数据集和Pathmaker网络电台组成的Ad Hoc网络链路层比特流数据集实验验证表明,同其他改进的AC算法相比,AC-IM算法具有时间开销低、模式匹配效率高、适用于二进制比特流数据频繁序列统计等优点。(2)针对现有的链路层未知协议帧切分算法无法进行有效唯一切分的问题,提出一种基于有向图表示的链路层比特流数据帧切分算法。在频繁序列统计的基础上,首先挖掘序列间的二重关联规则,然后将得到的所有二重关联规则按一定方式组织生成二重关联规则有向图,再为有向图的序列节点分配坐标,整合参与形成有向图的所有二重关联规则,构造多重关联规则,最后根据多重关联规则合理性判别方法判断其合理性,根据判断结果调整最小置信度,确保输出结果正确唯一可信,实现链路层比特流数据帧的有效切分。通过实际采集的无线WiFi网络链路层比特流数据集和Pathmaker网络电台组成的Ad Hoc网络链路层比特流数据集验证了算法的性能。(3)提出一种面向比特流的链路层未知协议帧地址解析算法。首先将分帧后的单帧数据流构造成矩阵,再利用链路层数据帧地址字段信息倒序和地址字段信息固定位置顺序的特点,分别以1字节、2字节、3字节为最小处理单元,结合统计理论按列循环遍历搜索频繁地址对。然后进行地址对拼接,确认寻找到的协议地址准确性。最后通过实际采集的无线WiFi网络链路层比特流数据集和Pathmaker网络电台组成的Ad Hoc网络链路层比特流数据集进行实验验证,结果表明该算法在分帧情况不理想时帧地址信息识别率可达到80%以上。