基于有限自动机和特征码的协议识别方法研究

摘要

随着互联网技术的发展，针对网络协议识别的需要是越来越大。许多行业需要根据网络协议对用户流量进行分类处理。另外网络协议识别的准确与否也关系到系统的网络安全。传统的基于特征码的协议识别方法在协议识别的过程中，有的只判断网络连接的一个报文是否含某个特定的特征码，还有的识别方法将若干报文缓存下来进行匹配。这些识别方法在不同场合下都存在缺点。
　　将有限自动机和特征码相结合的协议识别模型，可以在协议的识别的过程中记录状态。这种协议识别方法是用有限自动机来描述协议通信过程中的一些状态及其转换关系，将协议的特征码作为有限自动机中当前状态的输入符号，与捕获的网络报文进行匹配。在有些协议的网络报文中，往往存在一些很容易获取但数据量很小的特征码，但因为数据量很小，使得单个小片段的特征码一般不足以判定协议。根据乘法原理，对这些小数据量特征码进行联合分析，可以大大地提高判定协议的可信度。然而构建的自动机可能存在冗余的状态。为了减少多余状态，提出一种算法进行优化。将自动机和特征码相结合的协议识别与netfilter框架组合，实现了一个零拷贝，零缓存的高效的流量管理系统。
　　有限自动机和特征码相结合的识别方法利用了小数据量的特征码，降低了对特征码的筛选难度，可以零缓存地对多个网络报文进行特征码匹配。结合netfilter框架可以提供高速链路环境下的网络协议识别与监控，这对网络安全具有重要意义。

目录

封面

声明

中文摘要

英文摘要

目录

1 绪论

1.1 研究背景

1.2 现有协议识别的研究现状及不足

1.3 课题内容及意义

1.4 论文结构及安排

2 基于有限自动机和特征码的协议识别

2.1 传统基于特征码的识别原理

2.2 传统的基于报文内容的识别方法存在不足

2.3 有限状态自动机的介绍

2.4 基于有限自动机和特征码的识别方法

2.5 有限自动机的优化

2.6 协议交互细节与连接复用

2.7 基于有限状态机和特征码的识别方法的不足

2.8 本章小结

3 基于有限状态自动机协议识别的网络流量监控系统

3.1 设计的环境和部署

3.2 系统设计的总体框架

3.3 捕获网络报文的选择方案

3.4 网络连接管理

3.5 协议识别模块

3.6 数据处理和发送模块

3.7 本章小结

4 实验结果与分析

4.1 实验环境

4.2 实验内容

4.3 实验结果

4.4 实验结果分析

4.5 实验不足之处

4.6 本章小结

5 总结与展望

5.1 总结

5.2 本文创新点

5.3 研究展望

致谢

参考文献