基于數(shù)據(jù)報指紋關(guān)系的互聯(lián)網(wǎng)協(xié)議識別技術(shù)研究.pdf

1、網(wǎng)絡(luò)的發(fā)展日趨復(fù)雜，保障信息網(wǎng)絡(luò)的安全已成為國家信息化戰(zhàn)略的核心內(nèi)容。在特定的網(wǎng)絡(luò)環(huán)境下，通過特殊手段進行竊密的威脅日趨嚴峻。此類竊密途徑通常是通過無線通信的方式發(fā)送涉密信息，且這種通信采用的協(xié)議均為非常規(guī)的專用未知協(xié)議?，F(xiàn)有的防范措施基本只針對已知協(xié)議，大多采用基于端口映射或靜態(tài)特征匹配等方法，無法對該類竊密渠道機型進行監(jiān)測和檢測。為了保證網(wǎng)絡(luò)的安全運行以及對攻擊與危害行為進行預(yù)警，迫切需要在當(dāng)前結(jié)構(gòu)復(fù)雜網(wǎng)絡(luò)環(huán)境下為決策者提供一種高效

2、的對未知協(xié)議的識別方法。
　　在面對基于比特流數(shù)據(jù)的未知協(xié)議時，現(xiàn)有的網(wǎng)絡(luò)安全檢測手段和協(xié)議識別方法在實際應(yīng)用時存在以下問題：
　　現(xiàn)有的協(xié)議識別主要針對已知協(xié)議，但是大多協(xié)議基于端口映射或者靜態(tài)特征匹配，對于未知協(xié)議的識別和發(fā)現(xiàn)中靈活性不夠。
　　在電子對抗的環(huán)境下，從截獲的通信比特流序列中進一步識別未知協(xié)議是一個重要的階段，但是在比特流數(shù)據(jù)中識別未知協(xié)議的技術(shù)沒有現(xiàn)成的研究成果。
　　針對這些問題，本文將在整

3、合已有網(wǎng)絡(luò)安全技術(shù)和數(shù)據(jù)挖掘技術(shù)的基礎(chǔ)上，設(shè)計基于數(shù)據(jù)報指紋關(guān)系的未知協(xié)議發(fā)現(xiàn)的解決方案，滿足國家網(wǎng)絡(luò)安全等多方面的需求，對保障網(wǎng)絡(luò)的安全運行和宏觀預(yù)警方面有著重要的現(xiàn)實意義，并且促進和提高我國網(wǎng)絡(luò)安全等方面各項關(guān)鍵技術(shù)的自主創(chuàng)新能力。
　　本論文面向數(shù)據(jù)報指紋關(guān)系的互聯(lián)網(wǎng)協(xié)議識別展開研究，主要工作和創(chuàng)新點主要包括以下幾方面：
　　（1）實現(xiàn)比特流數(shù)據(jù)特征位和前導(dǎo)碼的識別，對數(shù)據(jù)流進行有效地切幀：本系統(tǒng)處理挖掘的數(shù)據(jù)均為比特

4、流數(shù)據(jù)，不同于文本數(shù)據(jù)，比特流數(shù)據(jù)具有單一性和順序性。針對比特流數(shù)據(jù)非0即1的原始特征，現(xiàn)有的基于語義分析的研究方法失效。本系統(tǒng)提出基于模式匹配中，多模式匹配的方法實現(xiàn)未知協(xié)議的比特流數(shù)據(jù)特征位的統(tǒng)計挖掘，并對傳統(tǒng)AC算法進行改進，使之更適用于本文研究環(huán)境下的比特流數(shù)據(jù)模式匹配。通過對特征位以及前導(dǎo)碼的識別，使用前導(dǎo)碼作為協(xié)議消息的唯一標示，實現(xiàn)比特流數(shù)據(jù)的準確高效的分幀。
　?。?）提出關(guān)鍵詞的概念，使用關(guān)鍵詞抽象表征協(xié)議消息，

5、使后續(xù)的協(xié)議模式識別效率顯著提高：本文提出了協(xié)議關(guān)鍵詞的概念，將協(xié)議特征位和提取的頻繁序列進一步篩選甄別，并將協(xié)議相關(guān)的比特序列進行拼接以及再篩選。生成的關(guān)鍵詞是與協(xié)議格式深層相關(guān)的一組比特流序列，關(guān)鍵詞可以用于標示協(xié)議消息， 為協(xié)議消息提供屬性值。使用關(guān)鍵詞作為屬性抽象表征協(xié)議消息，使得后期的距離和相似性的計算更為直觀，并大大簡化計算量。使本系統(tǒng)比同類系統(tǒng)具有更高的效率。
　?。?）實現(xiàn)不同協(xié)議模式的區(qū)分，分別提取協(xié)議