《基于二次协议关键字匹配识别方式的研究》由会员分享,可在线阅读,更多相关《基于二次协议关键字匹配识别方式的研究(73页珍藏版)》请在金锄头文库上搜索。
1、成都理工大学硕士学位论文基于二次协议关键字匹配识别方式的研究姓名:赵哲文申请学位级别:硕士专业:通信与信息系统指导教师:李灿平20100601摘 要 I 基于二次协议关键字匹配识别方式的研究基于二次协议关键字匹配识别方式的研究 作者简介:赵哲文,男,1983 年 10 月生,师从成都理工大学李灿平副教授,2010 年 6 月毕业于成都理工大学通信与信息系统专业,获得工学硕士学位。 摘摘 要要 随着互联网的飞速发展和宽带技术的不断涌现, 网络安全问题正在成为目前互联网最亟待解决的重要课题,现在有各种各样的网络安全产品应用于市场,如入侵监测系统、软件防火墙、电子邮件监控系统等,这些系统为了能够准确
2、的对网络上的内容进行监控或者还原,就必需要弄清楚网络上传输数据包的协议类型,而在目前 TCP/IP 协议体系下的网络中要弄清楚数据包的协议类型,就必需要能够准确的识别数据包的应用层协议类型。 随着网络服务质量要求的不断提高, 将来的网络带宽分配方式已经不再是一个固定的分配方式, 而是会根据目前传输协议所需要的网络带宽来进行一个动态的分配,例如可以在传输一般的文字文本信息时可以分配比较少的带宽,而在进行实时的视频信息传输时则分配一个较大的带宽。 而这种分配方式实现的前提就是要能够准确的识别数据包的协议类型。在实际网络数据的分析中,对数据的区分度的要求也越来越高,从原来对数据 IP 层的区分提高到
3、了现在对数据包应用层的区分,对数据的统计也从原来的对不同 IP 数据量的统计上升为了对不同应用层协议的数据量的统计, 而要满足这些新的统计需要也必需要求能够准确的识别数据包的协议类型。 当前对应用层协议识别的方式一般分为两种: 一种是利用专门的光纤分光设备来镜像光纤网络上的数据, 然后将数据送给专门的硬件设备来通过区分数据包传输层端口的方式来识别数据包协议类型; 另一种是采用单独的服务器作为协议识别系统,利用服务器的网卡或者通过集线器来收集数据,利用服务器的上层应用软件来对数据包协议进行识别。本文首先介绍了网络协议的基本概念,然后对目前的两种协议识别方式, 基于传输层端口的识别和基于一次协议关
4、键字匹配进行分析,指出其中导致漏识别或者误识别的原因。然后根据应用层协议通信的特点, 提出了一种基于二次协议关键字匹配的协议识别方式,并对该识别方式中所涉及的多模式匹配技术和规则管理技术进行了研究。 本文还对 HMM 技术进行了讨论,指出了其在协议识别中的应用,接着对多模式匹配方面,本文采用了 CAM结构和 BloomFilter 结构相结合的方式实现了协议识别中的数据分类。 最后在对多种典型的和新型的协议实例分析研究的基础上, 提出了一种高效成都理工大学硕士学位论文 II 的、优化的协议识别算法,设计了一个具有开放性、可扩展性、功能独特的网络协议识别系统。该系统共由5个功能模块组成,从而提供
5、了对已知或未知协议识别和分析的平台,此外还对系统进行了实验,并得出测验结果。 关键词:协议识别,数据包,应用层Abstract III Secondary protocol based on keyword matching methods of identification Introduction of the author: ZhaoZhewen, male, was born in October, 1983 whose tutor was Professor LiCanping . He graduated from Chengdu University of Technology
6、in Communication and message system major and was granted the Master Degree in June, 2010. Abstract The rapid development of Internet and broadband technologies continue to emerge.Network security is becoming a important issue of current internet programs.There are a variety of network security prod
7、ucts used in the market,such as Intrusion Detection system,Software Firewalls etc.These systems can be accurated to the content on the network monitor and it will need to figure out the network transmission protocol type packets. To clarify the type of packet in the current TCP/IP protocol architect
8、ure you should accurately identify the application layer protocol packet types. As the network quality of service requirements continue to increase the future allocation of network bandwidth is no longer a fixed distribution but based on the current network bandwidth needed to carry out a dynamic di
9、stribution.For example, the text in the general text message transmission can be assigned less bandwidth while conducting real- time transmission of video information is assigned more bandwidth. Prerequisite for the realization of this distribution is able to accurately identify the protocol type of
10、 packet.It requires higher and higher demand in distinguishing between degrees of the data for the actual network data analysis. There are two methods generally in the application layer protocol identification:One is using specialized equipment to mirror optical spectral data on fiber- optic network
11、.Another is agreeing with a separate server as a recognition system. Using the server to collect data hub and server software to the upper protocol packets to identify.This paper introduced the basic concepts of network protocols,and then present two protocols means of identification,based on transp
12、ort layer port identification and a protocol based on keyword matching analysis which led to leakage identification or false identification reasons.Then depending on the application layer protocol communication features,a second protocol based on 成都理工大学硕士学位论文 IV keyword matching agreement of identif
13、ication.The means of identification involved in the multi- pattern matching techniques and rules of management techniques are studied.This article also discussed the HMM technology,its recognition in the agreement and multi- pattern matching context.The CAM structure and BloomFilter structure combin
14、ation to achieve an agreement on recognition of data classification in this paper. Finally a highly efficient, optimized protocol identification algorithm is built based on the variety of classic and new instances of the agreement.Then designed an open, scalable, feature a unique identification syst
15、em network protocol.The system was composed of five functional modules.Providing known or unknown protocol identification and analysis of the platform.Then test the system of the experiment and the results which obtained. Keywords:protocol identification,data packet,application layer独创性声明 本人声明所呈交的学位
16、论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果, 也不包含为获得 成都理工大学 或其他教育机构的学位或证书而使用过的材料。 与我一同工作的人员对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名: 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解 成都理工大学 有关保留、 使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘, 允许论文被查阅和借阅。本人授权 成都理工大学 可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 (保密的学位论文在解密后适用本授权书) 学位论文作者签名: 学位论文作者导师签名: 年 月 日 第 1 章 前言 1 第第 1 章章 前言前言 1.1 网络基础及网络协议的概念网络基础及网络协议的概念 简单的说,网络是由两台以上计算机借助于协议连在一起组
