专利名称:一种基于净荷特征识别的搜狐天龙八部游戏业务识别方法
技术领域:
本发明是针对当前流行的一款网络游戏天龙八部进行业务识别的研究,主要研究 如何基于DPI净荷深度检测有效识别网络游戏业务,并设计了网络游戏业务的识别模型和 方法,属于网络新业务流量识别的技术领域,并涉及协议分析领域。
背景技术:
随着互联网技术的发展和普及,越来越多的人将业余时间花在互联网上,网络可 以提供新闻、视频、直播、网上购物等各种服务,随着网络技术的发展,网络游戏也很快普 及,如今游戏画很流畅,种类繁多,人们的娱乐方式也发生了变革,传统的实际操作的游戏 已经被网络游戏所取代。大多数流行的游戏是多人协作操作的联机游戏,多个客户端链接 到服务器上同时游戏,多数游戏都是及时的,要求操作立即响应,延时不得超过半秒,所以 对网络部分的设计要求更高,响应速度更快。网络游戏不仅带给人们休闲娱乐,还能锻炼玩家的团队协作能力、还能训练长时 间集中精神、多个事件同时进行的协调能力。但也不排除沉溺游戏的可能。网络游戏的客户 越来越多,也相应带来了一些安全问题,如通过网络游戏散布不健康信息,存在外挂手段, 资源下载时可能附带病毒传播,部分玩家使用盗号和黑客工具等,给网络带来不安全的隐 患,因此正确识别网络游戏业务,监督用户行为显得尤为重要。识别游戏业务还存在着技术的不足,现有的技术缺陷主要有第一游戏的通信协议时私有的,且其中部分信令使用了加密算法。第二游戏的版本多,升级比较频繁,而且与多数软件部同的是,它的客户端的升级 往往伴随着协议相应的改变。第三游戏提供文本、数据等业务,各种业务的会话特征均不同,因此对服务器IP 地址的“野蛮”封堵并不是解决问题的根本方法,这会导致正常游戏的无法使用。
发明内容
技术问题本发明的目的是建立一种基于净荷特征字识别的天龙八部游戏识别 方法,并设计其模型和算法,通过对天龙八部游戏业务的识别,分析用户的IP地址、目的地 址、源端口、目的端口、协议类型,从而进一步分析用户的行为和目的。技术方案本发明提供了有效识别天龙八部游戏业务的技术框架,并且详细设计 了识别算法,如
图1所示。从图中可以看出,从图中可以看出,系统分为四个层面,从上到下 依次为数据采集层、协议分析层、流量识别(业务感知)层和游戏业务表现层。这里明确一个概念,所谓游戏会话泛指用户登录后的所有游戏交互行为,包括用 户登录、身份认证、文本聊天、游戏过程、退出等交互过程。一个游戏账号对应一个游戏会话 业务。本文的关键方法在流量识别层,该层主要方法是天龙八部会话识别方法。通过测 试和数据分析,发现游戏会话具备一定的净荷特征,游戏登录过程或链接请求过程中数据端口为3731,净荷特征分为两种一种净荷长度为20个字节,头部字节为0x9A,0x00,0x04, 0x00,0x00 ;另一种净荷长度为31个字节,头部字节是0x31,0x02,0x19,0x00,0x00)。并且 每个包的packet flag为push | ack,通过DPI净荷深度检测机制识别出游戏会话的分组,再 根据请求登录令牌,识别出数据包中的游戏账号,以标志一个游戏会话。然而游戏版本的改动或者协议的改动均会带来游戏净荷特征的变化,因此也必然 会使得上述识别方法发生一定的变化。如何能够不改动系统而通过简单的配置就完成对游 戏新业务特征的适应是算法的一大挑战,正则表达式正是一个非常好的解决方案,本方法 采用正则表达式来表现游戏的会话特征,因此当游戏版本发生变化或者特征发生变化时, 本算法只需要简单的修改正则表达式的特征配置文件即可,无需重新修改代码和方法即做 到快速高效的更新。以下详细介绍该设计的各个层面及其识别方法。1、数据采集层功能该层面提供对于不同链路的数据采集或者复制技术,如100/1000MFE、ATM、 SDH不同速率的采集或者复制技术,以保障数据完整、可靠地传送至上一层面——协议分析 层。接口 该层面与上一层面的接口为比特流数据,向上层提供各种分组信息。2、协议分析层功能该层面提供对于TCP/IP数据的协议解析,目的是为了向上层提供足够的IP 分组头部和TCP/UDP的头部信息及其必要的分组净荷信息,以满足上一层面流量识别层对 业务的识别和感知。接口 该层面的协议分析深度应当分析至TCP/IP协议栈的第四层,即传输层。其 上层提供的接口为流(flow)。流应当由一个五元组来确定,即flow =(源IP、目的IP、源 端口、目的端口、协议类型)。此处的协议类型指代TCP或者UDP。如果有必要,该流中还可 存放部分净荷,捕获的净荷大小可配置。3、流量识别(业务感知)层功能该层面是整个架构的核心层面,主要根据提供下层即协议分析层提供的IP 分组头部和TCP/UDP的头部信息及其净荷信息等特征有效识别出游戏业务,匹配失败的分 组则丢弃。 接口 向应用层面提供的接口应当是五元组,即源IP、目的IP、源端口、目的端口、 协议类型。4、游戏业务应用层以及表现层对于游戏业务的识别具有很广泛的意义和应用价值。主要可以应用在★游戏业务流量统计以及分析;★游戏业务性能分析;★游戏流量控制和信息跟踪;★游戏流量异常检测;★网络和信息安全监控。
具体实施例方式系统采用分光方式将IOG流量负载均衡分流至若干台业务识别处理机上,业务识别处理机完成核心算法的实现,从纷繁复杂的分组中提取、分析、识别和关联出的游戏业务。游戏业务监控系统分为分光设备、游戏业务监控设备、核心数据库服务器和应用 服务器等实体。IOG流量由分光设备分往若干台游戏监控服务器设备,每台游戏监控服务器 设备承载千兆的流量,识别出业务流量之后,将业务信息实时传送至核心数据库,并由应用 服务器发布,接入拓扑。系统接入方式分为两种一种为串联模式,即将游戏监控系统串联入骨干网中实 施检测和控制;另一种为并联模式,即采用监听的方式完成检测和控制。串联模式会影响整 体的网络拓扑,且多多少少会为原有网络带来隐患,因此更推荐对原有网络无任何影响的 并联式接入。系统的分光设备从IOG链路上实时的分光下来之后,将其分为若干路流量指向若 干台监控设备,监控设备采用高性能的流量采集技术接收所有的流量,并自动调用游戏业 务识别引擎对流量进行实时的识别,并根据用户自定义的策略进行控制,如封堵、干扰或者 放行等。
权利要求
一种基于净荷特征识别的天龙八部游戏业务识别方法,其特征在于该方法用天龙八部游戏数据包独具的特征数据进行校验,具体步骤为1)初始化哈希表该哈希表用于存储天龙八部游戏会话标志,即游戏会话ID,该标志用游戏注册账号和其IP地址元组来表示,一个游戏账号只能对应一个IP地址,哈希表所有的元素初始化为0,即所有游戏账号对应的IP地址初始化为0;2)接收所要检测的游戏TCP数据包;3)根据天龙八部游戏净荷特征进行DPI检测,以判断该数据包是否为天龙八部游戏数据包,再判断该分组是否为天龙八部游戏的请求登录令牌数据包;如是,则获取游戏账号,转步骤4);如果匹配失败,丢弃数据包,转步骤2);4)判断该会话是否存在于哈希表中,如是,则丢弃数据包转步骤2);如不是,转步骤5);5)保存该游戏媒体流数据包标志,该标识是由天龙八部游戏账号和登录IP地址两元组组成;6)天龙八部游戏识别成功,结束。
全文摘要
基于净荷特征识别的天龙八部游戏业务识别方法是通过验证游戏数据包的特征字来识别该业务的,首先使用软件接收游戏数据,提取数据包中具有代表性的值,再运用天龙八部游戏的特征值去验证,从而识别出该业务是否是天龙八部游戏业务。如果验证结果是该游戏业务,那么后面的数据包均是天龙八部游戏数据包,该方法具有良好的可扩展性和准确性,且易于与运营商相关的应用接口对接。
文档编号H04L29/06GK101924769SQ20101026051
公开日2010年12月22日 申请日期2010年8月24日 优先权日2010年8月24日
发明者孙磊, 朱凌云, 王攀, 邢彦 申请人:无锡开创信息技术有限公司