專利名稱::一種基于阿瑞斯報(bào)文特征字的協(xié)議識(shí)別方法
技術(shù)領(lǐng)域:
:本發(fā)明是一種對(duì)網(wǎng)絡(luò)流量中的ARES(阿瑞斯)協(xié)議特定報(bào)文進(jìn)行識(shí)別的解決方案����。主要用于解決對(duì)ARES協(xié)議特定報(bào)文進(jìn)行識(shí)別的問題�����,進(jìn)而服務(wù)于ARES協(xié)議分析系統(tǒng)���,屬于計(jì)算機(jī)網(wǎng)絡(luò)流量識(shí)別和監(jiān)控領(lǐng)域�����。
背景技術(shù):
:當(dāng)今P2P的應(yīng)用已經(jīng)是非常普遍的事情,然而P2P的廣泛應(yīng)用也著實(shí)讓寬帶運(yùn)營(yíng)商感到十分為難�����。伴隨著P2P應(yīng)用的不斷增加�����,普通互聯(lián)網(wǎng)應(yīng)用將和大量P2P應(yīng)用共享有限的帶寬資源�,這進(jìn)一步加劇了帶寬的瓶頸,同時(shí)P2P應(yīng)用對(duì)帶寬資源的無休止搶占也必將導(dǎo)致建設(shè)者的投入和收入不能成正比增加�����,從而影響產(chǎn)業(yè)鏈上建設(shè)環(huán)節(jié)的積極性,導(dǎo)致整個(gè)產(chǎn)業(yè)環(huán)境不能夠健康良性地發(fā)展����。如果仍然延續(xù)目前的“盡力而為”模式,必將導(dǎo)致普通互聯(lián)網(wǎng)應(yīng)用服務(wù)質(zhì)量的下降��,同時(shí)損害了ISP的利益��。另一方面�,P2P環(huán)境下文件共享的方便和選路機(jī)制的快速,為網(wǎng)絡(luò)病毒和不健康信息等也提供了更好的入侵機(jī)會(huì)���。目前����,根據(jù)幾個(gè)大型ISP的最近測(cè)量顯示�,P2P流量已經(jīng)占據(jù)了互聯(lián)網(wǎng)流量的60%甚至70%以上的帶寬,這就迫切要求我們建立一個(gè)緩存系統(tǒng)來對(duì)P2P網(wǎng)絡(luò)進(jìn)行優(yōu)化���。要實(shí)現(xiàn)這樣一個(gè)緩存系統(tǒng)���,關(guān)鍵是解決對(duì)Internet中P2P協(xié)議進(jìn)行識(shí)別的問題����。實(shí)現(xiàn)P2P流量的準(zhǔn)確識(shí)別��,對(duì)于有效管理網(wǎng)絡(luò)和合理利用網(wǎng)絡(luò)資源都具有非常重要的意義���。DPI(深層數(shù)據(jù)包掃描)是通過對(duì)數(shù)據(jù)包應(yīng)用層協(xié)議的檢測(cè)解析發(fā)現(xiàn)P2P應(yīng)用���。通過掃描數(shù)據(jù)包中應(yīng)用層數(shù)據(jù),若發(fā)現(xiàn)已知P2P協(xié)議的典型特征串����,則可認(rèn)為該數(shù)據(jù)流屬于P2P應(yīng)用�。這種技術(shù)使用一個(gè)載荷特征庫(kù)存儲(chǔ)載荷特征串,符合載荷特征串的數(shù)據(jù)包即視為P2P數(shù)據(jù)包����。例如在一個(gè)數(shù)據(jù)包中若發(fā)現(xiàn)“BitTorrentprotocol”字符串,則可以認(rèn)為該數(shù)據(jù)流屬于BitTorrent應(yīng)用����。IPP2P是通過應(yīng)用層深層掃描來識(shí)別P2P的一個(gè)開源項(xiàng)目,它的目標(biāo)就是在IP流量中識(shí)別出P2P數(shù)據(jù)。實(shí)現(xiàn)方式是通過一個(gè)新的規(guī)則匹配模塊來擴(kuò)展Netfilter/iptables框架���,因此能很容易的集成到現(xiàn)有的Linux防火墻中去�,并通過一定的過濾規(guī)則來使用它����。IPP2P通過合適的匹配模式,對(duì)數(shù)據(jù)包進(jìn)行深層掃描��,來識(shí)別P2P流量�。在識(shí)別的基礎(chǔ)上可將該P(yáng)2P流丟棄、降低優(yōu)先級(jí)���、限制帶寬����,從而改善網(wǎng)絡(luò)性能�。Ares的發(fā)展始于2002年,原本在Gnutella網(wǎng)絡(luò)上運(yùn)營(yíng)�。6個(gè)月后,轉(zhuǎn)換成葉節(jié)點(diǎn)和超級(jí)節(jié)點(diǎn)的網(wǎng)絡(luò)和架構(gòu)�����。AreS(AreSGalaxy)是一個(gè)免費(fèi)的帶聊天室和共享文件功能的P2P軟件。支持多種格式�����,幾乎所有的音樂����、影片、圖片���、文件�����、軟件等它都下載得到�。ARES的協(xié)議特征及其識(shí)別比當(dāng)前流行其它P2P協(xié)議更加難以確定���。目前����,國(guó)內(nèi)外對(duì)Kazaa��、Gnutella���、eDonkey���、eMule和BitTorrent等協(xié)議的特征及其識(shí)別都有一定的研究,而對(duì)于ARES協(xié)議的研究甚少��,在當(dāng)前的搜索引擎中幾乎搜不到對(duì)于ARES協(xié)議的研究資料��。這一點(diǎn)值得國(guó)內(nèi)外P2P方面的科研人員引起重視����,需要大家共同來做好對(duì)ARES協(xié)議的研究����。
發(fā)明內(nèi)容技術(shù)問題本發(fā)明的目的是在自主分析ARES協(xié)議特征的基礎(chǔ)上����,提供了一種基于3阿瑞斯報(bào)文特征字的協(xié)議識(shí)別方法���,用于解決當(dāng)前國(guó)內(nèi)外對(duì)ARES協(xié)議研究甚少以及對(duì)其識(shí)別困難等問題。本發(fā)明可高效地識(shí)別出ARES協(xié)議的各類報(bào)文流量�,進(jìn)而服務(wù)于ARES協(xié)議分析系統(tǒng)�����。技術(shù)方案本發(fā)明首先對(duì)網(wǎng)絡(luò)中的流量進(jìn)行大類的區(qū)分�,然后通過對(duì)具體的ARES協(xié)議及其對(duì)應(yīng)的ARES系統(tǒng)的載荷進(jìn)行特征提取�����,建立特征庫(kù)。對(duì)于流經(jīng)的實(shí)時(shí)網(wǎng)絡(luò)流��,采用模式匹配算法,判斷其中是否包含ARES協(xié)議特征庫(kù)中的特征串����。如果特征匹配成功����,該網(wǎng)絡(luò)流就是ARES數(shù)據(jù)�����。本發(fā)明的識(shí)別功能部分采用DPI掃描技術(shù)�,根據(jù)固定位特征字來協(xié)議識(shí)別ARES特定網(wǎng)絡(luò)服務(wù)中一系列報(bào)文。本發(fā)明充分利用了Linux系統(tǒng)中的Netfilter對(duì)網(wǎng)絡(luò)流量的實(shí)時(shí)處理以及可擴(kuò)展性���,來實(shí)現(xiàn)ARES流量的實(shí)時(shí)識(shí)別和測(cè)量。為了實(shí)現(xiàn)實(shí)時(shí)的ARES協(xié)議識(shí)別系統(tǒng),必須實(shí)時(shí)地統(tǒng)計(jì)流量信息,并對(duì)統(tǒng)計(jì)的流量信息按照網(wǎng)絡(luò)流量測(cè)量指標(biāo)進(jìn)行數(shù)據(jù)處理�。Netfilter是Linux內(nèi)核里面一套封包過濾框架,能夠?qū)α鹘?jīng)網(wǎng)絡(luò)接口的所有封包進(jìn)行實(shí)時(shí)檢測(cè)��,保證系統(tǒng)的安全。Linux系統(tǒng)良好的開放性和可擴(kuò)展性也為利用它來實(shí)施流量測(cè)量提供了便利�。基于ARES協(xié)議特征字的協(xié)議識(shí)別的實(shí)現(xiàn)方法為步驟1).進(jìn)行需求分析��,對(duì)ARES協(xié)議識(shí)別系統(tǒng)需要完成的功能進(jìn)行分析,并生成需求分析文檔;步驟2).按照步驟1的分析文檔設(shè)計(jì)模塊����,對(duì)各模塊的功能進(jìn)行詳細(xì)分析,生成各個(gè)模塊之間的邏輯關(guān)系和功能說明文檔����;步驟3).按照步驟1的分析文檔,確定使用Linux系統(tǒng)下的Netfilter機(jī)制實(shí)時(shí)處理流經(jīng)的網(wǎng)絡(luò)流量,保證ARES協(xié)議識(shí)別系統(tǒng)的實(shí)時(shí)性��、安全性和可擴(kuò)展性��;步驟4).通過對(duì)具體的ARES協(xié)議進(jìn)行研究及其對(duì)應(yīng)的ARES系統(tǒng)的載荷進(jìn)行特征提取,建立ARES協(xié)議特征庫(kù);步驟5).按照步驟2的文檔和步驟3確定的關(guān)鍵技術(shù)以及步驟4建立的ARES協(xié)議特征庫(kù)�����,設(shè)計(jì)與實(shí)現(xiàn)ARES協(xié)議識(shí)別系統(tǒng)的識(shí)別報(bào)文模塊����,在協(xié)議分析系統(tǒng)中識(shí)別效率���,影響著整個(gè)系統(tǒng)的工作效率��,系統(tǒng)根據(jù)報(bào)文長(zhǎng)度以及固定位特征字來協(xié)議識(shí)別對(duì)等網(wǎng)絡(luò)中特定的ARES協(xié)議報(bào)文;步驟6).按照步驟2的文檔�,設(shè)計(jì)與實(shí)現(xiàn)ARES協(xié)議識(shí)別系統(tǒng)對(duì)識(shí)別后的報(bào)文提取相關(guān)信息,將其打印到系統(tǒng)日志中保存����;步驟7).按照步驟2的功能說明文檔,設(shè)計(jì)與實(shí)現(xiàn)用戶界面��。在PC端可以使用MFC實(shí)現(xiàn)更為美觀�����、易操作的界面����,將系統(tǒng)日志中的識(shí)別信息打印到界面中的對(duì)話框中。有益效果本發(fā)明對(duì)ARES協(xié)議特征進(jìn)行研究分析�,建立了ARES協(xié)議特征庫(kù),解決了當(dāng)前國(guó)內(nèi)外對(duì)ARES協(xié)議研究甚少的問題�����。同時(shí)����,利用Linux系統(tǒng)下的Netfilter機(jī)制���,采用DPI技術(shù)實(shí)現(xiàn)了對(duì)ARES協(xié)議特定報(bào)文的識(shí)別,進(jìn)而可以服務(wù)于ARES協(xié)議分析系統(tǒng)���。使用該方案有如下優(yōu)點(diǎn)1��、良好的實(shí)時(shí)性ARES協(xié)議識(shí)別系統(tǒng)具有較高的實(shí)時(shí)性要求�����。實(shí)時(shí)性是要求系統(tǒng)能夠在規(guī)定的時(shí)間內(nèi)對(duì)外部事件給予響應(yīng)����。因此�����,為了提高本系統(tǒng)的實(shí)時(shí)性�,我們采用了基于Linux系統(tǒng)下的Netfilter機(jī)制。Netfilter是Linux內(nèi)核里面一套封包過濾框架���,能夠?qū)α鹘?jīng)網(wǎng)絡(luò)接口的所有封包進(jìn)行實(shí)時(shí)檢測(cè),保證系統(tǒng)的實(shí)時(shí)性和安全性�。2�、高度的穩(wěn)定性ARES協(xié)議識(shí)別系統(tǒng)要求在SuseLinux10.0環(huán)境下達(dá)到7*24小時(shí)無故障�����。通過模塊化設(shè)計(jì)和成熟的DPI技術(shù)�����,對(duì)代碼進(jìn)行不斷地優(yōu)化�,使得系統(tǒng)具有很好的穩(wěn)定性。3����、高效的識(shí)別率本發(fā)明在網(wǎng)絡(luò)層進(jìn)行報(bào)文識(shí)別,縮短報(bào)文識(shí)別路徑��,同時(shí)本發(fā)明只識(shí)別上行流量���,對(duì)下行流量不進(jìn)行處理��,減輕CPU的處理壓力��,提高報(bào)文的識(shí)別效率��。報(bào)文的識(shí)別準(zhǔn)確率達(dá)到100%�,不會(huì)出現(xiàn)漏判、誤判等情況�����,而傳統(tǒng)的在路由器上進(jìn)行識(shí)別的方式一般僅能達(dá)到90%95%的識(shí)別命中率�����。4�、模塊化設(shè)計(jì)整個(gè)協(xié)議識(shí)別系統(tǒng)按照功能模塊進(jìn)行劃分,報(bào)文識(shí)別功能采用深層掃描DPI技術(shù)��,根據(jù)ARES報(bào)文的特征字來協(xié)議識(shí)別相關(guān)報(bào)文����。5、良好的系統(tǒng)擴(kuò)展性由于系統(tǒng)模塊之間采用的是獨(dú)立模塊化���,功能并行層次化設(shè)計(jì)�����,系統(tǒng)模塊之間的通信機(jī)制完全采用層次化的結(jié)構(gòu)�����,因此可以方便地添加新的功能���,服務(wù)于ARES協(xié)議分析系統(tǒng),同時(shí)也可以很容易地升級(jí)現(xiàn)有的功能��。圖1是ARES協(xié)議識(shí)別系統(tǒng)結(jié)構(gòu)圖�。圖2是Netfilter系統(tǒng)框架圖。圖3是HOOK函數(shù)流程圖�����。具體實(shí)施例方式一����、體系結(jié)構(gòu)如圖1中ARES協(xié)議識(shí)別系統(tǒng)結(jié)構(gòu)圖所示,本發(fā)明系統(tǒng)主要有異常檢測(cè)功能�����、DPI數(shù)據(jù)包掃描功能和打印識(shí)別信息功能����。1、異常檢測(cè)功能在進(jìn)行P2P流量識(shí)別前,需要對(duì)流量進(jìn)行異常檢測(cè)����,為P2P流量的識(shí)別和協(xié)議分析創(chuàng)造一個(gè)比較安全的環(huán)境。防止存在某些具有安全隱含的數(shù)據(jù)流影響到檢測(cè)結(jié)果�����、甚至破壞網(wǎng)絡(luò)上正常數(shù)據(jù)的傳輸����。由于我們的檢測(cè)重點(diǎn)在于P2P流量的識(shí)別,因此��,這里我們要排除所有P2P流以外的非正常流���。其實(shí)質(zhì)可以認(rèn)為是一種簡(jiǎn)單的過濾��。根據(jù)網(wǎng)絡(luò)當(dāng)時(shí)的具體環(huán)境��,如時(shí)段�、流量數(shù)�����、或網(wǎng)絡(luò)流量的總體特征按照檢測(cè)的不同需求,設(shè)置不同的過濾條件���,我們將此條件稱為過濾規(guī)則��。2、DPI數(shù)據(jù)包掃描功能根據(jù)對(duì)已知ARES協(xié)議包的特征字的分析����,提取出具有代表性的特征,以此來匹配檢測(cè)包�����??傮w過程可以分為特征庫(kù)的建立、數(shù)據(jù)包的獲取�����、預(yù)處理�、數(shù)據(jù)包的匹配和數(shù)據(jù)包的分析四個(gè)過程。根據(jù)分析匹配的結(jié)果���,可以識(shí)別特定的ARES協(xié)議報(bào)文�����,并且可以補(bǔ)充數(shù)據(jù)包的特征庫(kù)��。3����、打印識(shí)別信息功能利用Linux下的syslog-ng日志功能,將上述識(shí)別出ARES協(xié)議報(bào)文的信息記錄到系統(tǒng)日志文件ares,log文件中���。二�、方法流程該部分詳細(xì)說明
發(fā)明內(nèi)容中各個(gè)部分的設(shè)計(jì)與實(shí)現(xiàn)�����。1��、異常檢測(cè)功能異常檢測(cè)功能是根據(jù)網(wǎng)絡(luò)當(dāng)時(shí)的具體環(huán)境�����,如時(shí)段����、流量數(shù)�、或網(wǎng)絡(luò)流量的總體特征按照檢測(cè)的不同需求����,設(shè)置不同的過濾條件,即過濾規(guī)則�。借助這些規(guī)則排除P2P以外的非正常流,防止存在某些具有安全隱含的數(shù)據(jù)流影響到檢測(cè)結(jié)果���、甚至破壞網(wǎng)絡(luò)上正常數(shù)據(jù)的傳輸。異常檢測(cè)可以為下一步的ARES協(xié)議報(bào)文識(shí)別創(chuàng)造一個(gè)安全的環(huán)境��。2�、DPI數(shù)據(jù)包掃描功能DPI數(shù)據(jù)包掃描功能是報(bào)文識(shí)別的核心部分。該部分主要涉及到Netfilter機(jī)制的利用和HOOK函數(shù)的設(shè)計(jì)�,函數(shù)流程圖如圖3所示。Netfilter機(jī)制的利用=Netfilter處理流經(jīng)網(wǎng)絡(luò)接口的數(shù)據(jù)包過程如圖2所示��。圖2還顯示了Netfilter框架為IPv4定義的5個(gè)鉤點(diǎn)NF_IP_PRE_ROUTING���、NF_IP_FORWARD���、NF_IP_P0ST_R0UTING、NF_IP_L0CAL_IN和NF_IP_L0CAL_0UT�����。每個(gè)鉤點(diǎn)都是安排在網(wǎng)絡(luò)協(xié)議棧的某個(gè)確定的位置上,當(dāng)前的Netfilter已經(jīng)在每個(gè)鉤點(diǎn)都布置了相關(guān)的處理函數(shù)��,具體如下NF_IP_PRE_ROUTING在ip_input.c文件中的ip_rcv函數(shù)中調(diào)用�����,ip_rev函數(shù)主要用來檢查Skb�、ip頭的正確性和ip校驗(yàn)和。該點(diǎn)目前已經(jīng)設(shè)置的鉤點(diǎn)函數(shù)有連接跟蹤(Cormtrack)��、地址轉(zhuǎn)換(DNAT)和數(shù)據(jù)報(bào)文改變�。NF_IP_L0CAL_IN在ip_input.c文件中的ip_local_deliver函數(shù)中調(diào)用,ip_localdeliver函數(shù)首先把分片的包合成一個(gè)報(bào)文��,然后調(diào)用鉤子函數(shù)來處理該報(bào)文��。該點(diǎn)目前已經(jīng)設(shè)置的鉤點(diǎn)函數(shù)有數(shù)據(jù)報(bào)文過濾����、連接跟蹤。NF_IP_F0RWARD在ip_forward.c文件中的ip_forward函數(shù)中調(diào)用����。經(jīng)過路由策略之后�,要轉(zhuǎn)發(fā)的分組經(jīng)過此鉤子函數(shù)�����。該點(diǎn)目前已經(jīng)設(shè)置的鉤點(diǎn)函數(shù)有數(shù)據(jù)報(bào)文過濾(Filter)�。NF_IP_P0ST_R0UTING在ip_output.c文件中的ip_finish_output函數(shù)中調(diào)用。該點(diǎn)目前已經(jīng)設(shè)置的鉤點(diǎn)函數(shù)有地址轉(zhuǎn)換(SNAT)���、連接跟蹤���。NF_IP_L0CAL_0UT在ip_output.c文件中的ip_build_xmit、ip_build_xmit_slow�、ip_build_and_send_pkt����、ip_queue_xmit函數(shù)中都調(diào)用,在這些函數(shù)中同時(shí)還實(shí)現(xiàn)了對(duì)于輸出包路由的功能���,本地進(jìn)程發(fā)出的包都經(jīng)過該鉤子函數(shù)�。該點(diǎn)目前已經(jīng)設(shè)置的鉤點(diǎn)函數(shù)有連接跟蹤(Cormtrack)����、數(shù)據(jù)報(bào)文改變(mangle)�、數(shù)據(jù)報(bào)文過濾(Filter)�、地址轉(zhuǎn)換(DNAT)。HOOK函數(shù)流程設(shè)計(jì)利用LinuxNetfilter里的TCP/IP協(xié)議棧的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)SocketBuffer(sk_buff)����,來操作流經(jīng)的數(shù)據(jù)。Skb_iS_nonlinear函數(shù)用于測(cè)試一個(gè)緩沖區(qū)是否是分片的���,而skbjinearize可以把分片組合成一個(gè)單一的緩沖區(qū)�。如果是分片的�,或是無連接數(shù),則返回?zé)o操作�����。識(shí)別報(bào)文當(dāng)一個(gè)報(bào)文流經(jīng)第一個(gè)鉤子函數(shù)NF_IP_PRE_R0UTING�,會(huì)被送到內(nèi)存的控制結(jié)構(gòu)sk_buff中暫時(shí)存儲(chǔ)。在這個(gè)控制結(jié)構(gòu)里��,有個(gè)指向網(wǎng)絡(luò)報(bào)文的指針(如Skb->nh)��,首先識(shí)別報(bào)文是否為TCP報(bào)文�����,再根據(jù)sk_bufT結(jié)構(gòu)提供的網(wǎng)絡(luò)層和傳輸層頭部的大小,skb->nh加上之前兩者的頭部長(zhǎng)度���,指針就指向了應(yīng)用層數(shù)據(jù)的頭部(如Appdata指針)����。sk_bufT里還提供數(shù)據(jù)包的總長(zhǎng)度����,通過減去網(wǎng)絡(luò)層和傳輸層頭部的大小,就能得到應(yīng)用層數(shù)據(jù)的長(zhǎng)度����。上述準(zhǔn)備工作完成后,就可以通過Appdata指針來比對(duì)需要識(shí)別的ARES報(bào)文����,也就是通過對(duì)報(bào)文長(zhǎng)度和固定位進(jìn)行匹配對(duì)來確定�。sk_bufT里存儲(chǔ)的是網(wǎng)絡(luò)字節(jié)序,所以比對(duì)時(shí)需要用到_constant_htons()或_constant_htonl()來統(tǒng)一主機(jī)字節(jié)序和網(wǎng)絡(luò)字節(jié)序���。3����、打印識(shí)別信息功能syslog-ng作為syslog的替代工具,可以完全替代syslog的服務(wù)����,并且通過定義規(guī)則,實(shí)現(xiàn)更好的過濾功能���。日志輸出設(shè)置步驟1)以root身份進(jìn)入Suse系統(tǒng)��,打開/etc/syslog-ng/syslog-ng.conf步驟2)加上識(shí)別ares的過濾規(guī)則filterf_ares{facility(kern)andmatch(〃ares:")��;}�����;步驟3)加上具體的匹配規(guī)則以及日志的存放路徑語句destinationares{file(“/root/Desktop/P2P/ares.log“)�����;}����;log{source(src)����;filter(f_ares)���;destination(ares);}�����;步驟4)打開終端��,進(jìn)入指定的目錄jcd/etc/syslog-ng�����,再用命令#rcsyslogrestart重啟syslog-ng步驟5)ARES識(shí)別系統(tǒng)會(huì)將識(shí)別出的報(bào)文信息打印到系統(tǒng)日志ares,log文件中����。權(quán)利要求1.一種基于阿瑞斯報(bào)文特征字的協(xié)議識(shí)別方法,其特征在于該方法包括的步驟為步驟1).進(jìn)行需求分析�����,對(duì)阿瑞斯ARES協(xié)議識(shí)別系統(tǒng)需要完成的功能進(jìn)行分析����,并生成需求分析文檔;步驟2).按照步驟1的分析文檔設(shè)計(jì)模塊�����,對(duì)各模塊的功能進(jìn)行詳細(xì)分析����,生成各個(gè)模塊之間的邏輯關(guān)系和功能說明文檔;步驟3).按照步驟1的分析文檔���,確定使用Linux系統(tǒng)下的Netfilter機(jī)制實(shí)時(shí)處理流經(jīng)的網(wǎng)絡(luò)流量這一關(guān)鍵技術(shù)�����,保證ARES協(xié)議識(shí)別系統(tǒng)的實(shí)時(shí)性����、安全性和可擴(kuò)展性�����;步驟4).通過對(duì)具體的ARES協(xié)議進(jìn)行研究及其對(duì)應(yīng)的ARES系統(tǒng)的載荷進(jìn)行特征提取�����,建立ARES協(xié)議特征庫(kù);步驟5).按照步驟2的功能說明文檔和步驟3確定的關(guān)鍵技術(shù)以及步驟4建立的ARES協(xié)議特征庫(kù)����,設(shè)計(jì)與實(shí)現(xiàn)ARES協(xié)議識(shí)別系統(tǒng)的識(shí)別報(bào)文模塊;在協(xié)議分析系統(tǒng)中識(shí)別效率影響著整個(gè)系統(tǒng)的工作效率����,系統(tǒng)根據(jù)報(bào)文長(zhǎng)度以及固定位特征字來協(xié)議識(shí)別對(duì)等網(wǎng)絡(luò)中特定的ARES協(xié)議報(bào)文;步驟6).按照步驟2的功能說明文檔�,設(shè)計(jì)與實(shí)現(xiàn)ARES協(xié)議識(shí)別系統(tǒng)對(duì)識(shí)別后的報(bào)文提取相關(guān)信息,將其打印到系統(tǒng)日志中保存����;步驟7).按照步驟2的功能說明文檔,設(shè)計(jì)與實(shí)現(xiàn)用戶界面����,在PC端可以使用微軟VisualC++編程實(shí)現(xiàn)更為美觀、易操作的界面��,將系統(tǒng)日志中的識(shí)別信息打印到界面中的對(duì)話框中���。全文摘要一種基于ARES協(xié)議報(bào)文特征字的協(xié)議識(shí)別方法提供了ARES協(xié)議報(bào)文的特征庫(kù)��,同時(shí)提出了一種基于ARES協(xié)議特征字的協(xié)議識(shí)別方法�����,用于解決當(dāng)前國(guó)內(nèi)外對(duì)ARES協(xié)議研究甚少以及對(duì)其識(shí)別困難等問題����。ARES協(xié)議識(shí)別系統(tǒng)包括異常檢測(cè)���、DPI數(shù)據(jù)包掃描和打印日志三個(gè)功能模塊��。其中核心的識(shí)別模塊采用了Linux下的Netfilter機(jī)制和DPI技術(shù)��,保證了識(shí)別系統(tǒng)的實(shí)時(shí)性和可靠性�����。本發(fā)明可以高效地識(shí)別出ARES協(xié)議的各類報(bào)文流量����,進(jìn)而服務(wù)于ARES協(xié)議分析系統(tǒng)����。具有很好的通用性和可擴(kuò)展性。文檔編號(hào)H04L12/56GK102185758SQ20111008999公開日2011年9月14日申請(qǐng)日期2011年4月8日優(yōu)先權(quán)日2011年4月8日發(fā)明者張俊清,李致遠(yuǎn),林巧民,王汝傳,邵星,韓志杰申請(qǐng)人:南京郵電大學(xué)