一種自動識別網(wǎng)絡(luò)協(xié)議的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)協(xié)議識別領(lǐng)域,尤其是Internet網(wǎng)絡(luò)協(xié)議的識別領(lǐng)域。
【背景技術(shù)】
[0002]自從計(jì)算機(jī)網(wǎng)絡(luò)誕生以來,尤其是互聯(lián)網(wǎng)的問世,網(wǎng)絡(luò),正以改變一切的力量,在全球范圍掀起一場影響人類所有層面的深刻變革,極大地拓展了人們活動的空間、交互方式,是IT領(lǐng)域的一場革命,使傳統(tǒng)IT行業(yè)中以主機(jī)為中心的模式,轉(zhuǎn)向了以網(wǎng)絡(luò)為中心的模式。
[0003]然而,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,涉及的領(lǐng)域越來越多,復(fù)雜性也越來越高,互聯(lián)網(wǎng)的去中心化、扁平化、自組織等特性,增加了互聯(lián)網(wǎng)潛在的風(fēng)險(xiǎn),對互聯(lián)網(wǎng)加強(qiáng)管理的要求逐漸提向日程。而對網(wǎng)絡(luò)進(jìn)行管理的一項(xiàng)基礎(chǔ)性的工作就是識別出網(wǎng)絡(luò)上傳輸?shù)母鞣N數(shù)據(jù)包的身份,傳統(tǒng)的識別方法是針對每種不同的協(xié)議,分析特定的數(shù)據(jù)包,提取其中的特征碼,將特征碼轉(zhuǎn)化為某種特定的文件進(jìn)行加載。隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,協(xié)議種類數(shù)越來越多,這樣一來,使用傳統(tǒng)方式的弱點(diǎn)則開始暴露出來,主要表現(xiàn)在以下幾點(diǎn):
[0004](I)對于新出現(xiàn)的協(xié)議,不能立即發(fā)現(xiàn),有一個滯后的時(shí)間;
[0005](2)當(dāng)新協(xié)議出現(xiàn)時(shí),需要針對該新協(xié)議進(jìn)行數(shù)據(jù)包的分析、協(xié)議特征的提取,有時(shí)還需要編寫專用的代碼,所以新協(xié)議開發(fā)的效率低下;
[0006](3)靈活性差:針對新協(xié)議,往往需要調(diào)整原有系統(tǒng)的配置、部署,甚至對原有的功能產(chǎn)生影響,給系統(tǒng)的穩(wěn)定性帶來一定的風(fēng)險(xiǎn);
[0007](4)可維護(hù)性差:針對每種協(xié)議,使用不同的特征串,當(dāng)特征串?dāng)?shù)量增多時(shí),各協(xié)議間可能會產(chǎn)生干擾,影響協(xié)議識別的準(zhǔn)確性。
【發(fā)明內(nèi)容】
[0008]針對現(xiàn)有網(wǎng)絡(luò)識別出現(xiàn)的問題,本發(fā)明提出了一種自動識別網(wǎng)絡(luò)協(xié)議的方法,通過對數(shù)據(jù)包進(jìn)行多個特征值提取,構(gòu)造出對應(yīng)的一個特征向量,通過比較特征向量之間的距離,對應(yīng)用進(jìn)行分類,從而達(dá)到識別協(xié)議的目的。
[0009]本發(fā)明提供的自動識別網(wǎng)絡(luò)協(xié)議的方法,實(shí)現(xiàn)步驟為:
[0010]步驟I,設(shè)計(jì)協(xié)議的特征向量,獲取規(guī)則如下:
[0011](1.1)設(shè)置特征向量中的特征值種類;
[0012]特征向量中的特征值種類包括其中至少兩種以上:數(shù)據(jù)包的長度、數(shù)據(jù)包的收發(fā)間隔、上下行數(shù)據(jù)包的比率、數(shù)據(jù)包中可打印字符的比例、以及特殊字符出現(xiàn)的位置和次數(shù)。
[0013](1.2)將每個特征值表示為長度M的向量,并選定各特征值的M個數(shù)值的獲取方法;
[0014](1.3)針對不同協(xié)議,為特征向量中的特征值設(shè)置權(quán)重。
[0015]步驟2,針對各已知協(xié)議,抓取協(xié)議的數(shù)據(jù)包,根據(jù)步驟I特征向量的獲取規(guī)則來確定已知協(xié)議的特征向量。
[0016]步驟3,對抓取的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議判斷,具體如下:
[0017](3.1)抓取網(wǎng)絡(luò)數(shù)據(jù)流,根據(jù)步驟I特征向量的獲取規(guī)則,來確定各網(wǎng)絡(luò)數(shù)據(jù)包的特征值,構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)流的特征向量;
[0018](3.2)將網(wǎng)絡(luò)數(shù)據(jù)流的特征向量與協(xié)議特征向量庫中的特征向量進(jìn)行比對,根據(jù)比對結(jié)果判斷網(wǎng)絡(luò)數(shù)據(jù)流的協(xié)議類型。
[0019]相對于現(xiàn)有技術(shù),本發(fā)明的優(yōu)點(diǎn)和積極效果在于:利用本發(fā)明方法,將協(xié)議識別的過程轉(zhuǎn)化為特征值的計(jì)算及特征向量的比對過程,這樣不同的協(xié)議處理過程都是一樣的,對于已知的協(xié)議,只需要根據(jù)特征向量的比對結(jié)果,即可確定數(shù)據(jù)流協(xié)議的類型,對于新出現(xiàn)的協(xié)議,也可以自動進(jìn)行標(biāo)識、歸類,并可以很快發(fā)現(xiàn)新協(xié)議的出現(xiàn),并提供數(shù)據(jù)以便后續(xù)的人工分析,從而大大提高了新協(xié)議的識別速度,同時(shí)也提高了協(xié)議識別的靈活性和穩(wěn)定性。
【附圖說明】
[0020]圖1是本發(fā)明的自動識別網(wǎng)絡(luò)協(xié)議的方法圖。
【具體實(shí)施方式】
[0021]下面將結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)說明。
[0022]互聯(lián)網(wǎng)上的應(yīng)用紛繁復(fù)雜,差異萬千,每種不同的協(xié)議攜帶的數(shù)據(jù)包,都有著各自獨(dú)特的特征,就像每個人都有不同的指紋一樣,因此本發(fā)明方法的實(shí)現(xiàn)原理是:先根據(jù)已知的協(xié)議,設(shè)置好需要計(jì)算的特征值,對每個收到的數(shù)據(jù)包進(jìn)行特征值的計(jì)算,將特征值組成特征向量;將數(shù)據(jù)包的特征向量與標(biāo)準(zhǔn)協(xié)議的特征向量比對,從而判斷數(shù)據(jù)包的協(xié)議類型。
[0023]如圖1所示,本發(fā)明提供的自動識別網(wǎng)絡(luò)協(xié)議的方法,實(shí)現(xiàn)步驟為:
[0024]步驟1,設(shè)計(jì)協(xié)議的特征向量。
[0025]特征向量中特征值的選擇,是采用離線方式完成,通過對大量互聯(lián)網(wǎng)上報(bào)文的分析,多種應(yīng)用報(bào)文的對比,選擇一組有代表性的特征值。特征值的選擇要求滿足:同種協(xié)議每個包的特征值接近,不同種協(xié)議之間數(shù)據(jù)包的特征值相差較大。特征值的選擇對協(xié)議識別的結(jié)果緊密相關(guān),需要經(jīng)過大量的分析后再確定。特征值一旦確定,將保持相對穩(wěn)定。
[0026]本發(fā)明實(shí)施例中,選擇特征向量中的特征值種類包括:數(shù)據(jù)包的長度、數(shù)據(jù)包的收發(fā)間隔、上下行數(shù)據(jù)包的比率、數(shù)據(jù)包中可打印字符的比例、以及特殊字符出現(xiàn)的位置和次數(shù)。通過大量的實(shí)際網(wǎng)絡(luò)包的統(tǒng)計(jì),比如在網(wǎng)絡(luò)視頻流應(yīng)用中,下行數(shù)據(jù)包的長度、下行數(shù)據(jù)包的時(shí)間間隔具有較強(qiáng)的規(guī)律性,大致是在一個較小的范圍波動,而網(wǎng)頁瀏覽時(shí)產(chǎn)生的數(shù)據(jù)包,則明顯不同,其下行的數(shù)據(jù)包、時(shí)間間隔則帶有明顯的突發(fā)性的特征,變化范圍較大。再比如可打印字符的比例,在視頻應(yīng)用中沒有明顯的規(guī)律,雜亂無章,且位置不連續(xù),但對于瀏覽類業(yè)務(wù)則明顯比例較高,且分布連續(xù),因此通過這些特征,可以比較容易地區(qū)分出不同的應(yīng)用,這樣的值就可選擇作為識別時(shí)使用的特征值。
[0027]選擇好特征值之后,還需要確定每個協(xié)議中,特征值的權(quán)重。不同的協(xié)議,它的網(wǎng)絡(luò)流特征是不同的,不同的特征值,對其意義也是不一樣的,如視頻類應(yīng)用,數(shù)據(jù)包的長度、數(shù)據(jù)包的收發(fā)間隔這兩個特征值對其意義較大,而可打印字符分布這個特征值對其基本沒有意義,因此可以對不同的協(xié)議,確定每個特征值的權(quán)重,以更好地反應(yīng)出協(xié)議的特點(diǎn)。
[0028]本發(fā)明實(shí)施例中設(shè)計(jì)的特征向量中的每個特征值都表示為一個具有相同長度M的向量