基于協議指紋匹配和協議規則驗證的協議自識別技術研究報告

(華北電力大學 北京 102206)

一、課題研究背景及意義

(一)課題研究背景

國家電網公司采用了“安全分區、網絡專用、橫向隔離、縱向認證”的總體防護策略；2006年起，在國家電網公司信息化“SG186”工程安全防護工作中，提出了“雙網雙機、分區分域、等級保護、多層防御”的安全策略，2010年，智能電網信息安全防護方案中，突出“分區分域、安全接入、動態感知、精益管理、全面防護”的安全策略，提出建立以智能防護為主的主動防御體系。總體演進路線從單一的邊界防護推進到全面防護，同時輔以安全管理手段提升防護效果，各種防護技術和措施起到一定的防護效果。

對網絡協議進行匹配，分析協議內容，深入了解網絡業務的變化，并進行適當的網絡關聯與控制，對網絡業務設計、運營和評估具有重要意義，也是網絡流量監控的一個高級目標。網絡流量識別技術，是分析網絡流量特征和增強網絡可控性的基本手段之一，廣泛運用于流量監控、網絡安全檢測、用戶行為分析、計費管理或其他網絡活動中。從整體看，互聯網上的主要業務可以劃分為：數據下載、網頁訪問、流媒體、即時通信和游戲等。

(二)課題研究意義

隨著高速網絡技術的迅速發展以及信息化進程的不斷推進，互聯網己經成為重要的基礎設施，支撐著商業、金融、教育、政府以及娛樂等各個方面的應用。因此，為了有效管理因特網協議資源，保障關鍵業務，解決網絡協議的匹配和識別驗證問題，協議指紋匹配和協議規則驗證的協議自識別技術逐漸成為了國內外的研究熱點和關鍵問題。

從技術角度來看，網絡的安全與管理需要協議識別與匹配技術。在互聯網時代，網絡安全與我們的生活息息相關。協議識別系統部署在安全防護系統的最前端，是最為重要、最為基礎的部分。只有對協議做到快速有效識別，才能進一步有效地對流量進行管理。因此，只有能夠對加密協議進行快速且精確的識別，才能從大規模的網絡協議中識別目標協議，并辨別其真偽，避免網絡攻擊等網絡惡意事件的發生。

從社會角度來看，隨著信息時代的到來，互聯網已經成為全球信息發布、傳播和共享的主要平臺。但由于其開放性和自由性，一些不良信息也可以利用加密協議進行傳播。因此，協議指紋匹配和協議驗證的自識別技術可隔離色情、恐怖、暴力信息，對青少年的身體健康，社會的和諧穩定發展具有著重要的意義。

綜上所述，協議指紋匹配和協議規則驗證的自識別技術是網絡安全領域中迫切需要突破的關鍵技術，因此，對于協議識別技術的研究，不僅拓展了協議識別領域的研究深度，又為網絡的管理和優化問題帶來新的解決之道。總之，本文對于協議指紋匹配和協議規則驗證的自識別技術的研究極具現實意義和理論價值，不但可以為國家和企業的實踐提供參考，還可以拓展協議識別領域的研究深度和寬度。

二、課題研究現狀

(一)國內外研究現狀

為了解決協議識別問題，國內外做了大量的的研究工作。最早研究的協議識別技術是基于端口的協議識別技術，該技術所能識別的協議為在IANA中注冊端口號的協議。但是由于新出現的協議都不在IANA中注冊端口號，算法所能識別的協議在總協議數量中所占的比重越來越少。正是由于這些原因，基于端口識別協議的準確性已經低于50%，算法的錯誤率高于正確率。

為了提高協議識別的準確性，2002年至2004年間有很多研究利用基于靜態特征匹配的算法來識別應用層協議，并且目前絕大部分廠商所研發的協議識別的設備也均采用此類技術。基于靜態特征的協議識別技術的準確性是目前所有算法中最高的。Subhabrata Sen使用基于協議簽名的方法識別應用層協議，但是其特征串定義僅限于P2P協議的范圍，并且往往要檢查全報文以匹配多個特征串。總體來講，該類算法的時空復雜度比較高，識別效率較低。它需要不斷地跟蹤待識別協議的發展，當協議規范發生變化或者新協議出現時，尋找特征的工作必須重新進行，更新具有一定的滯后性。

所以隨著現代化網絡中動態端口、數據加密以及隱私保護措施的出現，這些技術將面臨巨大的問題。

三、總結

網絡協議分類是信息安全領域的經典問題。各類型網絡應用的不斷涌現，使得該問題一直為研究者持續關注。本文綜述了網絡協議分類領域的研究方法及研究成果，對基于包頭的協議特征匹配方法、基于有效載荷的協議特征匹配方法、基于機器學習的指紋匹配方法以及未知協議指紋特征匹配進行了研究，分別指出它們的優勢和不足，及適用的場景。本文還分析了協議分類識別面臨的四大挑戰與技術手段。高速網絡環境中的流量實時分類成果較少，應用價值很大，在這方面還有很大的研究空間。

協議樣本特征提取階段提取的協議指紋和相應協議驗證規則集用配置文件描述，系統工作時，將基于該配置文件構建協議指紋哈希表，將相應協議驗證規則集翻譯成虛擬機程序供協議驗證引擎執行。

綜上所述，該方法可以滿足實時性要求：一旦識別成功，可以智能記憶識別結果，對后繼的通信可以起到“協議導航”的作用，既提高了效率，又避免了因識別時機滯后所帶來的漏報；識別規則可以靈活配置，可以像升級事件特征庫一樣定期對協議指紋庫進行遠程在線升級，以增加新的協議識別規則；效率高，并可基于配置文件在協議識別結果準確率和算法效率之間進行調整，模塊靈活性和可操作性強，可滿足各種應用場景。