面向比特流的協(xié)議幀頭結(jié)構(gòu)分析研究.pdf

1、隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,特別是Internet的迅速普及,網(wǎng)絡(luò)信息安全與對抗已經(jīng)成為了信息時代的一個至關(guān)重要的課題。盡管傳統(tǒng)意義上的以數(shù)據(jù)包為單位的協(xié)議解析工具已經(jīng)發(fā)展得較為成熟和穩(wěn)定,但是當(dāng)遇到以比特為單位的數(shù)據(jù)、并且通信協(xié)議的幀頭結(jié)構(gòu)未知之時,它們都顯得無能為力。因此,如何在從比特的級別上識別協(xié)議、判別幀頭結(jié)構(gòu),十分具有研究價值。
　　本文在基于對比特流中特征序列的提取尋找和統(tǒng)計計算的基礎(chǔ)上,進(jìn)行了進(jìn)一步的研究和優(yōu)化。通

2、過引入了隱式馬爾科夫模型來替代單純的特征序列位置差計算,盡量消除“小幀頭結(jié)構(gòu)”和“大冗余數(shù)據(jù)”對實驗結(jié)果造成的影響。
　　對于RFC文檔中已經(jīng)詳細(xì)定義的通信協(xié)議,本文提出的協(xié)議識別方案為:利用已知協(xié)議結(jié)構(gòu)特點,對源比特流進(jìn)行切割量化,并采用自定義規(guī)則實施隱式馬爾科夫模型建模,從而判斷比特流中可能使用的通信協(xié)議類型。本文以IPv6協(xié)議為例對已知協(xié)議識別方案進(jìn)行詳細(xì)的討論和分析。
　　對于RFC文檔中未定義的或用戶自定義的通信協(xié)

3、議,識別方案略有不同。在該方案中,首先對比特流輸入中可能存在的多個模式串進(jìn)行統(tǒng)計,所得出的數(shù)據(jù)使用數(shù)據(jù)挖掘技術(shù)中尋找頻繁集的方法,獲得頻繁序列。這些序列中包含源比特流中所含的協(xié)議幀頭結(jié)構(gòu)關(guān)鍵信息,為了進(jìn)行進(jìn)一步的幀頭結(jié)構(gòu)定位,還要對這些數(shù)據(jù)進(jìn)行關(guān)聯(lián)規(guī)則的第二次挖掘,以找到具有“有趣”關(guān)系的頻繁序列。接著第三次挖掘可以找到與這些頻繁序列具有相同距離,但是具有“次有趣”關(guān)系閾值的比特序列,這些序列可以對源比特流進(jìn)行分割量化,以達(dá)到使用其進(jìn)行