面向比特流的協(xié)議幀頭結構分析研究.pdf

1、隨著計算機網(wǎng)絡技術的不斷發(fā)展,特別是Internet的迅速普及,網(wǎng)絡信息安全與對抗已經(jīng)成為了信息時代的一個至關重要的課題。盡管傳統(tǒng)意義上的以數(shù)據(jù)包為單位的協(xié)議解析工具已經(jīng)發(fā)展得較為成熟和穩(wěn)定,但是當遇到以比特為單位的數(shù)據(jù)、并且通信協(xié)議的幀頭結構未知之時,它們都顯得無能為力。因此,如何在從比特的級別上識別協(xié)議、判別幀頭結構,十分具有研究價值。
　　本文在基于對比特流中特征序列的提取尋找和統(tǒng)計計算的基礎上,進行了進一步的研究和優(yōu)化。通

2、過引入了隱式馬爾科夫模型來替代單純的特征序列位置差計算,盡量消除“小幀頭結構”和“大冗余數(shù)據(jù)”對實驗結果造成的影響。
　　對于RFC文檔中已經(jīng)詳細定義的通信協(xié)議,本文提出的協(xié)議識別方案為:利用已知協(xié)議結構特點,對源比特流進行切割量化,并采用自定義規(guī)則實施隱式馬爾科夫模型建模,從而判斷比特流中可能使用的通信協(xié)議類型。本文以IPv6協(xié)議為例對已知協(xié)議識別方案進行詳細的討論和分析。
　　對于RFC文檔中未定義的或用戶自定義的通信協(xié)

3、議,識別方案略有不同。在該方案中,首先對比特流輸入中可能存在的多個模式串進行統(tǒng)計,所得出的數(shù)據(jù)使用數(shù)據(jù)挖掘技術中尋找頻繁集的方法,獲得頻繁序列。這些序列中包含源比特流中所含的協(xié)議幀頭結構關鍵信息,為了進行進一步的幀頭結構定位,還要對這些數(shù)據(jù)進行關聯(lián)規(guī)則的第二次挖掘,以找到具有“有趣”關系的頻繁序列。接著第三次挖掘可以找到與這些頻繁序列具有相同距離,但是具有“次有趣”關系閾值的比特序列,這些序列可以對源比特流進行分割量化,以達到使用其進行