一种基于基函数的网络协议分析方法
【专利摘要】本发明公开了基于基函数的网络协议分析方法,包括:建立基函数库和已知结构协议的基函数模式组合方式库;当接收到目标网络发过来的数据,利用该数据和已有的基函数模式组合方式表征该目标网络对应的目标协议的结构;根据目标协议的结构进行判断:如果该数据为已知结构的协议数据,采用分层的方法对该目标协议进行分析;如果该数据位未知结构的协议数据,利用已有基函数或新的基函数生成该目标协议对应的基函数模式组合方式。本发明可以解决协议快速识别、精确分析处理的问题。
【专利说明】一种基于基函数的网络协议分析方法
【技术领域】
[0001]本发明涉及计算机【技术领域】,尤其涉及一种基于基函数的网络协议分析方法。
【背景技术】
[0002]网络协议分析是在网络管理和网络安全研究领域中众多学者关注的核心问题。网络协议分析通过捕获网络中的数据包,分析数据包的首部和数据字段给出协议的详细信息和统计结果,进而将数据归类和分析,从而进一步帮助发现网络潜在安全隐患,并可在网络发生故障时提供故障分析信息。网络协议分析可以使网络管理人员可以快速准确地定位故障原因,找出引起故障的网络节点、网络协议和网络链路,以最快的速度恢复网络的正常运行。此外,网络协议分析还可以通过分析网络通信情况以及网络连接状况,对网络性能和资源的合理分配,为规划及调整网络提供可靠依据。 [0003]但是由于现有网络协议呈现多样化、私有化的特点,协议分析人员面临着协议种类越来越多、协议状态空间越来越复杂的问题。
[0004]已有的很多协议分析方法大多使用字符串匹配的方法,由于这种方法使用了大量的匹配方法,所以速度较慢。而其他基于统计学的协议分析方法又存在精确度不高的缺点。此外这些方法都不能对各家网络公司的私有协议进行分析。
【发明内容】
[0005]鉴于上述的分析,本发明旨在提供一种基于基函数的网络协议分析方法,用以解决目前网络分析领域中存在的协议种类繁多、协议状态空间复杂、私有协议不公开等所带来的协议识别速度慢和精确度不高的问题。
[0006]本发明的目的主要是通过以下技术方案实现的:
[0007]本发明提供了一种基于基函数的网络协议分析方法,包括:
[0008]建立基函数库和已知结构协议的基函数模式组合方式库;
[0009]当接收到目标网络发过来的数据作为输入数据,利用该数据和已有的基函数模式组合方式表征该目标网络对应的目标协议的结构;
[0010]根据该目标协议的结构进行判断:如果该目标协议为已知结构的协议,采用分层的方法对该目标协议进行分析;如果该目标协议为未知结构的协议,利用已有基函数或新的基函数生成该目标协议对应的基函数模式组合方式。
[0011]进一步地,利用沃尔什函数建立基函数库和已知结构协议的基函数模式组合方式库。具体包括:
[0012]沃尔什函数定义如下:
[0013]若用wal (k, t) (k=0, I,…)来表示区间t G [0,I)上的沃尔什函数,则其定义为下式:
[0014]wal (2k, t) =wal (k, 2t) + (-1) kwal (k, 2t_l), k=l, 2,...[0015]wal (2k+l, t) =wal (k, 2t) + (-1) k+1wal (k, 2t_l), k=0, 1,...
【权利要求】
1.一种基于基函数的网络协议分析方法,其特征在于,包括: 建立基函数库和已知结构协议的基函数模式组合方式库; 当接收到目标网络发过来的数据作为输入数据,利用该数据和已有的基函数模式组合方式表征该目标网络对应的目标协议的结构; 根据该目标协议的结构进行判断:如果该目标协议为已知结构的协议,采用分层的方法对该目标协议进行分析;如果该目标协议为未知结构的协议,利用已有基函数或新的基函数生成该目标协议对应的基函数模式组合方式。
2.根据权利要求1所述的方法,其特征在于,利用沃尔什函数建立基函数库和已知结构协议的基函数模式组合方式库。
3.根据权利要求2所述的方法,其特征在于,具体包括: 沃尔什函数定义如下:
4.根据权利要求1所述的方法,其特征在于,所述利用已有的基函数模式组合方式表征目标协议的结构的步骤具体包括: 利用已有的基函数模式组合方式和接收到的目标网络的数据,采用时间滑动的方式描绘该目标协议的时间一结构分布图; 根据目标协议的时间一结构分布图进行描述得到基函数模式组合-匹配率分布图,通过该基函数模式组合-匹配率分部关系来表征目标协议的结构。
5.根据权利要求4所述的方法,其特征在于,根据如下方法得到上述时间-结构分布图: 假设C为基函数组合模式集合,对每一种已有的基函数组合模式Cl,C2,…,ccn e C,采用时间滑动的方式与接收到的数据进行异或加操作,得到每种组合模式下的结构值,即对于某一组合模式C和输入数据
6.根据权利要求5所述的方法,其特征在于,根据如下方法得到上述基函数模式组合-匹配率分布图: 对不同的基函数组合模式Ci,将输入数据的时间一结构分布图的所有数据相加,得到每个基函数组合模式的结构匹配数值(ci,mi,? ∈ {1,2,…,cn}; 利用所有已知基函数组合模式的结构匹配数值绘制基函数组合模式一匹配率分布图,其中横坐标为已知基函数组合模式,纵坐标为结构匹配数值。
7.根据权利要求4所述的方法,其特征在于,根据目标协议的结构进行判断的步骤具体包括:对基函数模式组合一匹配率分布图中的最大匹配率数值m与第一预定阈值tl进行比较: 若m大于等于tl,则认为该目标协议为已知结构的协议,采用分层的方法对该目标协议进行分析; 若m小于tl,则认为该目标协议为私有协议,利用已有基函数或新的基函数生成该目标协议对应的基函数模式组合方式。
8.根据权利要求1到7中任意一项所述的方法,其特征在于,采用分层的方法对该目标协议进行分析的步骤具体包括: (O)将目标网络发过来的数据作为输入数据d ; (O对于输入数据d,利用其基函数组合模式抽取输入数据d的最外层协议特征字段f1; f2,…,ffn,将接收到的输入协议信息分割为协议首部字段H和上层协议数据supD ; (2)解析首部字段H所包含的所有特征字段; (3)判断上层协议数据supD长度是否为O,是则停止; (4)对分割后得到的上层协议数据supD进行协议结构表征; (5)将已被结构表征的上层协议数据作为输入数据,转(I); 直到该数据全部被处理完。
9.根据权利要求1到7中任意一项所述的方法,其特征在于,利用已有基函数或新的基函数生成该目标协议对应的基函数模式组合方式的步骤具体包括: 设F为基函数集合,C为基函数组合模式集合 O首先利用已有的基函数f\,f2,…,frf e F,采用不同于组合模式库中的新的组合模
Cf
^_ V ' |_ Jt i *..............................1r式^’即随机取新的匕值,使得新的C不属于C,描绘目标协议的结构分布图; 2)利用所有新的基函数组合模式C的结构匹配数值绘制基函数模式组合一匹配率分布图; 3)比较最大的匹配率数值m与第二预定阈值t2: 如果m大于等于t2,则将此协议对应的新的基函数模式组合模式Cn加入基函数组合模式库C,停止; 如果m小于t2,则将基函数的维度加1,把得到新的基函数f;f+1加入基函数库F,转步骤I)。
【文档编号】H04L29/06GK103746867SQ201310718896
【公开日】2014年4月23日 申请日期:2013年12月23日 优先权日:2013年12月23日
【发明者】王巍, 曹春杰, 许小丰, 杨红娃 申请人:中国电子科技集团公司第三十六研究所