论文部分内容阅读
应用层协议识别和还原技术广泛应用在网络安全监控系统、入侵检测及其他网络控制系统中。然而,网络应用的不断发展和新的应用层协议不断产生,对协议的识别和还原技术提出了更高的挑战。如何准确的识别并快速的还原出应用层协议内容,成为目前的一个研究热点。本文在研究应用层协议识别和还原技术的基础上,设计并实行了一个面向内容的协议识别和还原系统。首先,本文利用少量的标记数据和大量的未标记数据,采用半监督的学习方法研究应用层协议的识别问题。通过Affinity Propagation (AP)聚类算法对包含少量标记的数据及大量未标记的数据集进行聚类,然后利用标记的数据将聚类结果映射到具体的网络应用。实验证明,该方法能有效的识别出具体的网络应用,并且可以很好的适应新协议的加入。其次,本文通过对多种应用层协议的分析,在Linux Netfilter框架下,利用IPQueue技术,构建一个通用协议解析处理模型。该模型通过采用多线程、多缓冲的设计思想,以提高系统的实时性和并行性,利用接口槽技术增强系统的扩展性。最后,本文利用协议识别与还原技术,构建了IPCG网络安全审计系统的并行协议栈,并具体实现了对三种即时通信软件(QQ、MSN、Feton)以及Web网页的实时还原和监控。实验验证,本系统可以安全、高效的用于中小型局域网的网页实时监控中。