基于分類與特征匹配的應用層協議識別方法

劉秋菊，劉書倫，馮艷茹

（1.重慶大學 自動化學院，重慶400044；2.濟源職業技術學院 信息工程系，河南 濟源459000）

0 引 言

網絡的迅速發展和應用使得信息交流更加便捷，但同時也帶來了日益嚴重的網絡安全問題，越來越多的用戶對信息的安全性提出了更高的要求，人們也越來越關注內網的安全。傳統的防火墻、入侵檢測等技術，只能抵御網絡外部的攻擊，內部網絡安全成為了一個亟待解決的問題，網絡安全監控就是在這種情況下應運而生的。網絡安全監控通過對網絡流量的應用層數據進行監測與分析，識別出各種不同的應用層數據，根據不同的數據采取不同的安全策略，從而在不影響網絡開放性和靈活性的同時，保證網絡內部敏感數據信息的安全。

在實施網絡安全監控過程中，只有首先確認目標網絡流量所采用的應用層協議，然后才能對數據流進行分析，進而獲取協議存在的漏洞或協議傳輸的內容［1］。因此，應用層協議的識別是網絡安全監控的基礎技術，也是實現安全監控的前提條件。正是由于協議識別在安全監控中的重要地位，應用層協議識別法得到不斷的開發和研究，本文在對傳統協議識別分析的基礎上，結合安全監控中對于識別效率要求比較高的特點，提出了一種基于分類和特征匹配的應用層協議識別法。

1 傳統的應用層協議識別法

1.1 基于端口協議識別法

基于端口協議識別法是指根據每個應用層協議在IANA中注冊的端口號來對協議進行標識的一種算法［2］。應用層協議識別的對象是流而不是單個報文，如果網絡中的某個數據流使用的端口號為25或110，則根據基于端口協議識別就將其標記為郵件傳輸流，若端口號為80或8080則為Web流。該方法實現簡單，消耗系統資源少，對于一些使用固定端口的協議識別率比較高，但對于采用隨機端口通信的應用層協議則無能為力［3］。隨著研究人員對應用層協議的不斷研究與探索，新的應用層協議不斷出現，這些新的應用層協議不在IANA中注冊，導致基于端口協議識別法失效。正因如此，基于端口協議識別算法的正確率逐漸降低，其錯誤率高于正確率。該算法計算簡單，所需信息量較少，其時間復雜度和空間復雜度是所有應用層協議識別算法中最低的。

1.2 基于負載協議識別法

基于負載協議識別法主要是通過檢查數據流中每個報文TCP首部之后的負載數據，將負載數據與事先分析的應用層協議特征相匹配，如果匹配成功，則標記為相應的協議［4－6］。因此，從理論上說，只要能夠分析協議規范足夠多，并且能夠提取到參與交互的報文的足夠多協議的特征，通過該類算法就可以識別所有的應用層協議。基于負載協議識別法對協議的識別準確率比較高，但是其識別是建立在對整個數據流應用層數據負載的匹配基礎之上的，其時空復雜度是目前所有應用層協議識別算法中最高的。

1.3 基于關鍵字協議識別法

基于關鍵字協議識別法是指對檢測到的每一個數據包按照關鍵字進行搜索，搜索到的關鍵字需要與在應用層協議中出現的關鍵字進行精確匹配，具有很高的檢測率和很低的誤報率［7］。但是該方法對關鍵字匹配算法的效率要求很高，而且為了識別后續的數據流需要持續保持網絡連接。

2 基于分類與特征匹配的應用層協議識別法

由于應用層協議種類繁多，并且隨著互聯網的不斷發展，新的應用層協議不斷地加入進來，采用傳統的識別技術已經很難滿足實際應用的需要，為了更加快速的識別現有應用層協議［8］，本文提出了一個基于分類與特征匹配的應用層協議識別方案。

2.1 識別方案

基于分類與特征匹配的應用層協議識別系統主要包括分類器和識別器兩大組件。該協議識別流程為：數據流首先經過分類器的粗粒度分類，然后進入識別器，識別器針對不同的數據流采取不同的協議特征進行匹配，從而實現應用層協議的識別。具體來說，分類器是依據數據流的一些基本特征和端口對應表來對其進行分類；識別器是在數據流分類之后，結合協議特征庫進行匹配查詢，對不同種類的數據流進行不同協議特征的識別。其中，協議特征的選取首先要對待識別協議進行詳細的分析，然后選取其在交互過程中不同于其他任何協議的字段作為該協議的特征。基于分類與特征匹配的應用層協議識別流程圖如圖1所示。

圖1 協議識別流程

2.2 數據流分類

對網絡數據流進行分類可以通過使用分類器來實現，由于本次網絡安全監控的重點是對網絡傳輸文件內容的監控，所以只需要識別用于文件傳輸的協議，通過對幾十種應用層協議的分析，本文將目前能用于文件傳輸的應用層協議，大致分為3類，見表1。

表1 協議類型與應用層協議對應

在分類中要考慮的問題是：對某個數據流來說，從獲得其中第一段數據到該流所承載的協議過程全部結束這段時間內，分類器應抽取哪些相關信息來進行處理，然后才可以對數據流進行抽象，這些抽象就決定了一個數據流所歸屬的類別。為此，我們定義如下基本元素：

·M＝ ｛m0，m1，m2｝—數據流類別集合，m0為傳統經典類，m1表示P2P類，m2為其他類。

·SrcIP＝ ｛srcip1，srcip2，…srcipn｝表 示 源 IP集合。

·DstIP＝ ｛dstip1，dstip2，…dstipn｝為 目 的 IP集合。

·SrcPort＝ ｛srcportn｜1≦srcportn≦65535｝表示源端口集合。

·DstPort＝ ｛dstportn｜1≦dstportn≦65535｝為目的端口集合。

·P＝ ｛SrcIP×DstIP×SrcPort×DstPort｝表示數據包集合，以Pi＝ ｛srcipi，dstipi，srcporti，dstporti｝表示IP地址為srcipi的主機使用其srcporti端口將數據包Pi傳遞給IP地址為dstipi的dstporti端口。

·PT＝ ｛25，110，21，80…｝為傳統經典協議端口集合。

·F＝ ｛fsrc（srcipn，srcportn），fdst（dstipn，dstportn）｝為函數集合，fsrc（srcipn，srcportn）表示源IP地址和源端口分別為srcipn和srcportn的數據包的個數，fdst（dstipn，dstportn）表示表示目的IP地址和目的端口分別為dstipn和dstportn的數據包的個數。

·數據流S是一段長度為有限整字節數的二進制數據，它由有限個長度一定的數據包P構成。

以上是一些基本變量與函數的定義，下面討論分類的過程。

對于大部分P2P主機來說，當其利用P2P進行下載時，它是從多個資源主機中去下載所需要的數據，即采用一個端口與多個主機的端口進行通信和數據傳輸。因此數據流中會出現單個 ｛dstipn，dstportn｝對應多個 ｛srcipn，srcportn｝的現象［9］，而對于大部分協議來講，則沒有這樣的特征，因此當數據流中出現這樣的特征時，就基本可以判定該流為P2P數據流，因此有以下判定規則。

規則1：當數據流S中的數據包Pi，fdst（dstipn，dstportn）與fsrc（srcipn，srcportn）兩值之差大于一個所規定的閾值，該數據流是 P2P數據流［10－12］。

通過實驗驗證，當閾值大于10時，利用規則1進行分類的準確率可以達到90%。

對于傳統經典類協議的分類，雖然目前出現的很多應用層協議都已經不在IANA中注冊其端口，但是仍然有很多協議采用固定的端口通信。對于這一部分協議，本文仍然可以采用一定的技術手段找出其通信端口，因此有以下判定規則：

規則2：數據流S是傳統經典數據流，指數據流S不是P2P數據流，但對于其數據包Pi，有srcporti∈PT或者dstporti∈PT。

由規則2得知，通過端口對應表的匹配可以實現對端口固定協議數據流的分流，同時本文也將這一類協議歸結為傳統經典類協議，與HTTP、FTP等協議一起在后續的特征匹配中進行更細粒度的識別。

規則3：數據流S是其他類數據流，當數據流既不是P2P數據流又不是傳統經典數據流時，則S為其他數據流。

由以上3個判定規則可知，可以在只分析傳輸層協議頭的前提下，將數據流進行一個粗粒度的分類，從而為后續的特征識別減少工作量。

2.3 基于特征的識別

特征識別的實現主要是在提取待識別協議的特征之后，將這些特征歸結為相應的特征類。因此，當數據流經過分類后，基于特征的識別就可以根據不同的數據流采取不同的特征類進行匹配，對于傳統的特征匹配與經過分類后的特征匹配，其流程分別如圖2所示。由圖可知，經過分類后再進行協議特征的匹配，由于縮小了特征匹配的范圍，因此可以提高特征識別的速度。在特征串的選取方面，本文在文獻 ［4］的基礎上進行了改進，使得識別更加精確。

圖2 分類特征匹配與傳統特征匹配流程

本文主要增加了對Gnutella協議的識別，雖然Gnutella協議完全使用HTTP規范進行文件的傳輸，但是通過對Gnutella協議流的分析與監測，發現如果待檢測數據流為Gnutella流，那么：

（1）緊跟在TCP文件頭之后的負載數據中的第一個字符串為 ‘GNUTELLA’、‘GET’或者是 ‘HTTP’；

（2）如果 （1）中所描述的字符串不是 ‘GNUTELLA’，那么在后面的負載數據中肯定會有如下的字符串出現：

User－Agent：＜Name＞

UserAgent：＜Name＞

Server：＜Name＞

其中＜Name＞為如下字符集中的一個成員：

｛LimeWire， BearShare， Gnucleus， MorpheusOS，XoloX，MorpheusPE，gtkgnutella，Acquistion， Mutella－0.4.1， Qtella， AquaLime， NapShare，Comeback， Go，PHEX， SwapNut， Mutella－0.4.0， Shareaza， Mutella－0.3.9b，Morpheus，FreeWire，Openext， Mutella－0.3.3，Phex｝

因此只要將該字符集加入到協議特征庫中作為P2P類的特征即可以識別出Gnutella協議。

3 實驗設計及分析

3.1 實驗設計

利用以上分析方法，進行對比實驗來驗證方法的性能。本次實驗采用的協議為8種國內常用的應用層協議，用來進行算法識別，實驗分別從準確率和執行效率兩方面進行驗證，分別與基于端口識別法和文獻 ［4］中所提方法進行比較，實驗采用的數據為校園網上的數據采集器獲取的網絡流量數據，比較的總報文數為11.0G。

3.2 結果分析

從對8種常用的應用層協議的識別正確率上比較，結果如圖3所示。從圖中可以明確地看到，基于端口識別法對BT、eDonkey和Gnutella這3種P2P協議幾乎一個都沒有識別出來，識別正確率幾乎為零，說明端口識別法對于P2P協議的識別不能僅僅依賴于端口進行判定。而特征串匹配的方法對于HTTP流量的識別要高于本文所提出的識別法。

圖3 識別的正確率比較結果

根據分析比較，特征串匹配法對HTTP流量的識別與本文所提方法對HTTP流量的識別數量的差，與本文所提方法對Gnutella協議的識別比較接近，可以由此推斷出文獻 ［4］中所提的特征串匹配方法是把Gnutella協議流歸結為HTTP流量，而文中所提方法是先進行分類，然后把Gnutella協議劃分為P2P類，再結合特征庫對Gnutella協議進行識別，由此可以看出文中所提方法在對Gnutella協議的識別上明顯優于文獻 ［4］的特征串匹配法。

從識別效率上進行比較，結果見表2。從表中可以看出，特征串匹配法及本文所提方法在空間及時間消耗上均高于端口識別法，而本文所提方法要高于特征串匹配法。因為本次設置的實驗環境是在局域網環境中進行的，并且協議的數量以及協議流的特征串在負載中的位置基本是固定的，因此不管是本文所提方法還是直接進行文獻 ［4］中所提的特征串匹配，其所消耗的時間都不會太大。但是，如果在廣域網中進行實驗，隨著協議特征串的不斷增加，本文提出的這種識別方法在時間復雜度上會越來越小。

表2 識別效率的比較結果

4 結束語

本文通過對傳統應用層協議優缺點的分析，同時結合數據流分類思想提出了一種新型的協議識別方法。該方法首先對待識別數據流進行一個粗粒度的分類，然后再針對不同的分類采取不同的特征匹配。經過實驗測試證明，本文提出的方法在識別的準確率上要高于基于端口識別法，而在執行效率上則要高于基于特征串匹配識別法。但該識別法的不足之處在于沒有涵蓋所有的應用層協議，如何盡可能多的涵蓋應用層協議，以便更準確地獲取應用層協議的特征數據，進而提高應用層協議識別的正確率和效率，這也是下一步需要重點解決的問題所在。

［1］Network ICE.Protocol analysis and command parsing vs.pattern matching in intrusion detection systems ［EB/OL］.http：//www.chineselinuxuniversity.net/courses/netsec/articles/3114.shtml，2011.

［2］IANA ［S］.http：//www.iana.org/assignments/port－numbers（RFC 6335），2011.

［3］WANG Jie，SHI Chenghui.Dynamic application layer protocol identification program based on regular expressions ［J］.Computer Engineering and Applications，2010，46 （18）：103－106（in Chinese）.［王杰，石成輝.基于正則表達式的動態應用層協議識別方案 ［J］.計算機工程與應用，2010，46 （18）：103－106.］

［4］CHEN Liang，GONG Jian，XU Xuan.Identification of application－level protocols using characteristic ［J］.Computer Engineering and Applications，2006，42 （24）：16－19 （in Chinese）. ［陳亮，龔儉，徐選.基于特征串的應用層協議識別［J］.計算機工程與應用，2006，42 （24）：16－19.］

［5］GE Yusen.Study and implementation of IDS based on application layer protocol identification ［D］.Chongqing：Thesis for Master Degree of Chongqing University，2008：30－32 （in Chinese）. ［葛玉森.基于應用層協議識別的IDS研究與實現［D］.重慶：重慶大學碩士論文，2008：30－32.］

［6］LIU Yuanxun，XU Qiuliang，YUN Xiaochun.Research on IDS－faced general－purpose application－level protocol identification technology ［J］.Journal of Shandong University （Engineering Science），2007，37 （1）：65－69 （in Chinese）. ［劉元勛，徐秋亮，云曉春.面向入侵檢測系統的通用應用層協議識別技術研究 ［J］.山東大學學報 （工學版），2007，37 （1）：65－69.］

［7］XIE Bolin，YU Shunzheng.Application layer anomaly detection based on application layer protocols’keyword sequences［J］.Journal of Computer Research and Development，2011，48 （1）：159－168 （in Chinese）. ［謝柏林，余順爭.基于應用層協議關鍵詞序列的應用層異常檢測方法 ［J］.計算機研究與發展，2011，48 （1）：159－168.］

［8］MU Qiao.A suite of precise and efficient analyzing techniques for application protocols ［J］.Computer Engineering and Science，2010，32 （8）：39－45 （in Chinese）. ［牟喬.準確高效的應用層協議分析識別方法 ［J］.計算機工程與科學，2010，32 （8）：39－45.］

［9］LIN Zhenbiao.Research on key technologies of file networkleakage prevention based on data stream analysis ［D］.Zhengzhou：Thesis for Master Degree of The PLA Information Engineering University，2009：20－23 （in Chinese）. ［林臻彪.基于數據流分析的防文件網絡泄露關鍵技術研究 ［D］.鄭州：解放軍信息工程大學碩士論文，2009：20－23.］

［10］TAN Wei，WU Jian.P2Pclassification using semi－supervised learning ［J］.Computer Engineering and Design，2009，30（2）：291－293 （in Chinese）. ［譚煒，吳健.基于半監督學習的P2P協議識別 ［J］.計算機工程與設計，2009，30 （2）：291－293.］

［11］ZHANG Shun，CHEN Xingshu，DU Min，et al.Method of P2Ptraffic identification based on immune－PSO ［J］.Computer Engineering and Design，2011，32 （10）：3301－3304（in Chinese）.［張順，陳興蜀，杜敏，等.基于免疫粒子群的P2P協議識別方法 ［J］.計算機工程與設計，2011，32（10）：3301－3304.］

［12］SEN S，Spatscheck O，Wang D.Accurate，Scalable in－network identification of P2Ptraffic using application signatures［C］.Proceedings of the 13th International Conference on World Wide Web.NY：ACM Press，2007：512－521.