飛信協議識別與多元通聯關系提取方法

游翔+葛衛麗

摘 要： 針對飛信協議尚未公開與復雜互聯網環境帶來的飛信各類應用相關協議識別困難以及單包通聯關系缺失等問題，基于SIP協議的基本框架，從文本聊天、文件傳輸以及音/視頻通信三方面解析了飛信常用業務的協議交互過程；提出了端口與正則表達式相結合的飛信協議識別方法和基于會話還原的飛信通聯關系提取方法，能夠從大量混雜的數據包中快速定位飛信業務報文，獲得飛信多種通信行為的通聯關系。實驗結果證明了本文方法的有效性。

關鍵字： 協議解析； 多元通聯關系； 正則表達式； 飛信協議識別

中圖分類號： TN91?34； TP393.01 文獻標識碼： A 文章編號： 1004?373X（2014）21?0019?05

Protocol identification and multi?conversation relationship extraction in Fetion

YOU Xiang， GE Wei?li

（Department of Information Engineering， Engineering University of Armed Police Force， Xian 710078， China）

Abstract： As the protocols of Fetion are not public， it is difficult to recognize the Fetion application protocals caused by complex Internet environment and single?package conversation relationship is deficient， three common business protocol procedures （text messaging， file transfer and audio/video communication） are parsed on the basis of the basic framework of SIP protocol. The Fetion conversation relationship extraction method based on conversation revivification and protocol identification method of combining port and regular expressions are proposed for quickly locating Fetion service packets in promiscuous raw packets to achieve variety business relationships. Experimental results demonstratd the effectiveness of the method.

Keywords： protocol analysis； conversation relationship； regular expression； Fetion； protocol identification

0 引 言

飛信是中國移動通信集團面向中國移動的手機用戶推出的一款即時通信軟件。從被動截取分析的角度對飛信軟件通信協議進行研究，并提取基于飛信軟件通信的通聯關系，能夠對飛信用戶的通信行為進行監控，獲得大量的敏感信息。這將對構建社會關系網絡、動態尋找和跟蹤目標人群提供有力依據，對預防和打擊網絡團伙犯罪有著重要的意義。

盡管飛信的通信框架比較明確，且通信內容非加密，但是對飛信軟件的通聯關系進行高效準確地識別和提取還存在諸多難點，如：未知協議導致對飛信各業務相關協議的交互過程不清晰，復雜的互聯網環境導致飛信各類應用相關協議識別困難，以服務器中轉方式為主的通信過程導致單包提取會缺失大量通聯關系。……