彭文峰，杜中軍

（四川大學(xué)計算機學(xué)院，成都　610065）

應(yīng)用層協(xié)議識別技術(shù)研究

彭文峰，杜中軍

（四川大學(xué)計算機學(xué)院，成都610065）

0　引言

應(yīng)用層協(xié)議識別，也稱為網(wǎng)絡(luò)流量分類或網(wǎng)絡(luò)流量識別，指在基于TCP/IP的網(wǎng)絡(luò)體系中，按照應(yīng)用層協(xié)議類型將網(wǎng)絡(luò)通信過程中產(chǎn)生的TCP流或UDP流進行分類，從而達(dá)到清楚認(rèn)識網(wǎng)絡(luò)傳輸?shù)幕拘畔?、提高網(wǎng)絡(luò)用戶的服務(wù)質(zhì)量、加強網(wǎng)絡(luò)安全設(shè)備對非法入侵和攻擊的檢測能力等目的。能夠準(zhǔn)確地識別Internet上每個流所使用的應(yīng)用層協(xié)議對于網(wǎng)絡(luò)管理員、技術(shù)研究人員、網(wǎng)絡(luò)服務(wù)提供商、政府管理部門以及普通用戶都具有重要的意義,其是研究區(qū)分服務(wù)、QoS、流量監(jiān)控、安全審計、資源調(diào)度、計費管理以及用戶行為分析的重要前提和基礎(chǔ)。

1　應(yīng)用層協(xié)議識別的主要方法

1.1基于端口映射的識別方法

互聯(lián)網(wǎng)發(fā)展初期，對數(shù)據(jù)流的應(yīng)用層協(xié)議識別主要是依據(jù)應(yīng)用層協(xié)議綁定知名端口號的慣例來實現(xiàn)，它通過檢查網(wǎng)絡(luò)數(shù)據(jù)包包頭的源端口號和目的端口號來識別應(yīng)用層協(xié)議類型。例如，DNS協(xié)議對應(yīng)的端口號為53，Telnet協(xié)議對應(yīng)的端口號為23等。

基于端口號的識別方法簡單快捷，計算量小，但隨著網(wǎng)絡(luò)應(yīng)用不斷增加，很多網(wǎng)絡(luò)應(yīng)用都不再強制應(yīng)用程序與端口號綁定，而采用隨機生成的端口號，或者在數(shù)據(jù)傳輸過程中協(xié)商端口號方式來進行。例如FTP協(xié)議（PASV模式）允許通信雙方主動寫上數(shù)據(jù)流參數(shù)，隨機更改端口號以達(dá)到隱藏協(xié)議特征的目的。這些問題導(dǎo)致基于端口號的方法能夠正確識別的協(xié)議數(shù)量逐步減少。有研究表明，基于端口號的識別方法只能獲得小于70%的識別準(zhǔn)確率，該方法已不再適應(yīng)當(dāng)前網(wǎng)絡(luò)的實際狀況。

1.2基于有效載荷特征的識別方法

為了解決基于端口號的識別方法存在的問題，研究者提出了基于數(shù)據(jù)包有效載荷特征的識別方法［1］。這種方法通過深包檢測技術(shù)（DPI）,對網(wǎng)絡(luò)數(shù)據(jù)包的有效載荷中匹配已知的應(yīng)用層協(xié)議特征庫，從而判定該數(shù)據(jù)包所屬網(wǎng)絡(luò)流對應(yīng)的應(yīng)用層協(xié)議。例如，如果一個網(wǎng)絡(luò)數(shù)據(jù)包的有效載荷以字符串“+OK”或“-ERR”開始，那么就可以判斷它是由POP3協(xié)議產(chǎn)生的數(shù)據(jù)包。在不考慮計算效率的情況下，其識別率接近100%。

基于有效載荷特征的識別方法憑借其高準(zhǔn)確率和可識別協(xié)議多的優(yōu)點，經(jīng)常被當(dāng)作判別其他識別方法準(zhǔn)確性和完備性的度量真值。此外，該方法的更新升級（向系統(tǒng)中添加新的協(xié)議特征或修改已有協(xié)議的識別方法或其正則表達(dá)式）很方便，且易于軟硬件實現(xiàn)，是目前網(wǎng)絡(luò)工程界應(yīng)用最廣泛的方法。然而，該方法仍然存在以下不足：一是在有效載荷特征匹配和分析的過程中可能掃描部分或全部有效載荷，需要很大的計算量，系統(tǒng)開銷大；二是若數(shù)據(jù)包在傳輸過程中經(jīng)過了二次封裝或加密，則該方法失效；三是分析數(shù)據(jù)包有效載荷的過程，窺探了用戶隱私，可能涉及法律和道德問題。

1.3基于流動態(tài)行為特征的協(xié)議識別方法

流動態(tài)行為特征識別技術(shù)又稱DFI（深度/動態(tài)流檢測）識別技術(shù)［2～3］或基于機器學(xué)習(xí)的識別技術(shù)［4］。該技術(shù)利用統(tǒng)計學(xué)原理，通過分析協(xié)議流特征如IP地址、端口數(shù)量、報文長度、流生成周期等統(tǒng)計狀態(tài)來達(dá)到協(xié)議識別的目的。例如，F(xiàn)TP協(xié)議進行數(shù)據(jù)傳輸時，平均數(shù)據(jù)包長度都比較大；而使用MSN聊天所產(chǎn)生的網(wǎng)絡(luò)流的平均數(shù)據(jù)包長度都比較小，即不同網(wǎng)絡(luò)應(yīng)用所產(chǎn)生的網(wǎng)絡(luò)流在統(tǒng)計特征上會呈現(xiàn)出不同的規(guī)律。類似的，每個流中數(shù)據(jù)包的平均到達(dá)間隔、數(shù)量和大小、不同所產(chǎn)生的數(shù)據(jù)流的持續(xù)時間等也不盡相同，這些都可以作為區(qū)分不同應(yīng)用層協(xié)議的統(tǒng)計特征。該方法通常使用機器學(xué)習(xí)、特征統(tǒng)計或基于隱式馬爾可夫模型等方法對流進行分類，首先從訓(xùn)練的流量數(shù)據(jù)集（即樣本）中提取協(xié)議特征，然后將這些特征用于訓(xùn)練來產(chǎn)生分類器，最后，用生成的分類器對隨后的未知流量進行識別。

基于流量動態(tài)行為特征的網(wǎng)絡(luò)協(xié)議識別技術(shù)的優(yōu)點在于：一是降低了人工分析的難度，自動化程度較高；二是不依賴于數(shù)據(jù)包有效載荷的內(nèi)容，其識別準(zhǔn)確率主要取決于統(tǒng)計特征、分類模型和訓(xùn)練樣本的選取，在一定程度上可識別加密、異?；蛭粗牧髁俊Ｈ菂f(xié)議的升級更新對此識別技術(shù)的影響不大；四是計算和存儲開銷小，維護工作量低，效率和安全性更高。同時，該識別技術(shù)也具有以下的一些缺陷：一是樣本數(shù)據(jù)采集繁瑣，多數(shù)情況下很難找到與真實情況接近的樣本；二是對算法要求較高，相同的樣本數(shù)據(jù)，相同的流量行為特征，基于不同的算法，協(xié)議識別的效果也不同；三是識別的準(zhǔn)確率不如基于有效載荷特征的識別方法高，且只能識別大概的應(yīng)用類別，很難精確到具體應(yīng)用層協(xié)議。例如，這類方法能夠區(qū)分基于P2P協(xié)議的流量與其他流量，但無法分辨具體是哪種P2P協(xié)議；四是網(wǎng)絡(luò)流特征的采集需要傳輸?shù)木W(wǎng)絡(luò)流量達(dá)到一定程度，因此識別延遲較大，很難達(dá)到在線實時分類和處理的要求。

1.4基于主機行為的識別方法

隨著行為學(xué)在網(wǎng)絡(luò)行為方面的應(yīng)用，研究者開始關(guān)注網(wǎng)絡(luò)行為模式，試圖利用網(wǎng)絡(luò)數(shù)據(jù)包的五元組（源IP、目的IP、源端口號、目的端口號、傳輸層協(xié)議）信息來分析主機之間的交互行為，不同的網(wǎng)絡(luò)應(yīng)用表現(xiàn)出來的交互行為不盡相同。此識別方法通過采取觀測網(wǎng)絡(luò)中單個主機在傳輸層的行為模式、捕捉主機在全網(wǎng)范圍內(nèi)交互行為的流量傳播圖、利用連接同質(zhì)性即公共主機之間所產(chǎn)生的流屬于同一個應(yīng)用的趨向性等為重點來進行應(yīng)用層協(xié)議識別。

基于主機行為的識別方法的優(yōu)點在于不依賴于網(wǎng)絡(luò)數(shù)據(jù)包有效載荷里的內(nèi)容，具有良好的可擴展性，且能很好地保護用戶私隱。然而，這類方法往往需要手動設(shè)定一些閾值，例如BLINC方法需要設(shè)置28個閾值參數(shù)才能達(dá)到最好的識別效果。其次，描述主機之間的交互需要收集許多網(wǎng)絡(luò)流的信息，這使得此類方法的實時性較差。第三，這類方法會因為網(wǎng)絡(luò)環(huán)境的不同而導(dǎo)致識別性能發(fā)生顯著的變化，通用性較差。第四，網(wǎng)絡(luò)地址轉(zhuǎn)換等網(wǎng)絡(luò)安全技術(shù)的干擾很容易令此類方法失效。

2　結(jié)語

應(yīng)用層協(xié)議識別技術(shù)進一步研究可以向三個方向發(fā)展：一是基于有效載荷特征的識別方法如何在保證用戶隱私不受侵犯或少受侵犯的前提下，降低系統(tǒng)消耗并提高識別準(zhǔn)確率。二是基于流量動態(tài)行為特征的協(xié)議識別技術(shù)本質(zhì)上屬于模式識別問題，可以使用支持向量機SVM方法對流量進行分類識別，它在解決小樣本、非線性及高維模式識別中表現(xiàn)出許多其特有的優(yōu)勢。三是進一步研究如何更好地結(jié)合各類算法，使其優(yōu)勢互補，提高協(xié)議識別系統(tǒng)的可擴展性、覆蓋全面性和識別準(zhǔn)確率。

［1］Dreger H,Feldmann A,Mai M,Paxson V,Sommer R.Dynamic Application-Layer Protocol Analysis for Network Intrusion Detection ［C］.USENXI Security Symposium（USENIX Security）,2006

［2］孫海波.基于協(xié)議行為特征的協(xié)議識別方法.全國網(wǎng)絡(luò)與信息安全技術(shù)研討會，2007

［3］王巖，劉乃安.應(yīng)用層協(xié)議識別技術(shù)研究.西安電子科技大學(xué)2012學(xué)位論文

［4］Karagiannis T,Papagiannaki K and Faloutsos M.BLINC:Multilevel Traffic Classification in the Dark.In Proceedings of ACM SIGCOMM,229～240,Philadelphia,Pennsylvania,USA.August 21～26,2005

Protocol Identification；Port Mapping；Payload Characteristic；Flow Dynamic Behavior Characteristics；Host Behavior

Research on the Application Layer Protocol Identification Technology

PENG Wen-feng，DU Zhong-jun
（College of Computer Science,Sichuan University,Chengdu 610065）

1007-1423（2015）08-0068-03

10.3969/j.issn.1007-1423.2015.08.016

彭文峰（1984-），男，重慶南岸人，碩士研究生，研究方向為計算機應(yīng)用

2015-03-01

2015-03-10

應(yīng)用層協(xié)議識別作為當(dāng)前網(wǎng)絡(luò)測量管理與網(wǎng)絡(luò)安全研究領(lǐng)域的熱點問題，其相關(guān)技術(shù)研究對整個互聯(lián)網(wǎng)的可管理性、安全性和規(guī)范性具有重要的理論意義和應(yīng)用價值。重點介紹基于端口映射、基于有效載荷特征、基于流動態(tài)行為特征、基于主機行為等幾種主要的協(xié)議識別方法，總結(jié)分析它們的工作原理和優(yōu)缺點，并對進一步研究學(xué)習(xí)方向提出建議。

協(xié)議識別；端口映射；有效載荷特征；流動態(tài)行為特征；主機行為

As the current network measurement management and hot issues in the field of network security research,the related technology research on application layer protocol identification has important theoretical significance to the entire Internet manageability,security,and normative.Mainly introduces several layer protocol identification methods based on the port mapping,payload characteristic and flow dynamic behavior characteristics,and based on the host behavior identification.Analyzes and summarizes the working principle and advantages,proposes the suggestions for the further research.