本发明属于网络信息安全技术领域,特别涉及一种移动互联网中音视频类协议识别方法。
背景技术:
随着移动互联网时代的到来,移动终端在人们生活中的地位逐步加重。其中音视频类的应用正是用户使用的热点,在总体应用使用量中占有很大比重。通过对此类应用识别,运营商可以收集用户在线观看音视频等行为习惯,进而为用户提供用户差异化服务,也可以服务于对移动互联网音视频应用的安全审计,构建规范的网络环境。目前针对传统互联网的音视频协议识别技术已经相对成熟,但由于移动互联网、移动终端爆发式的发展以及app开发的简单化,对于移动互联网中应用协议的识别会更加困难,进而对于移动网络中对于数据流的审计、用户行为的统计以及网络管理等带来了更大的困难。
技术实现要素:
本发明所要解决的技术问题是为了适应移动互联网音视频应用协议的版本多、数量多、增长快以及识别准确率要求高等特点,提供一种移动互联网中音视频类协议识别方法。
本发明的技术方案是,一种移动互联网中音视频类协议识别方法,其特征在于,包括如下步骤:
(1)移动互联网数据捕获;
所采用的捕获装置包括,两部以上智能手机、一台安装网络数据采集分析工具tcpdump的服务器、一台路由器及一台安装网络封包分析软件wireshark的计算机;具体捕获方法包括:
a.利用手机通过wi-fi链接路由器访问internet,模拟绝大多数用户接入移动互联网的方式,进行请求音视频应用服务的上网行为,服务器连接于手机所接入的局域网;
b.利用网络数据采集分析工具tcpdump将手机利用app观看视频时产生的pacp数据流进行捕获;
c.将采集的pcap数据包传输到安装有wireshark软件的计算机中,利用wireshark软件解析pcap包结构及内容,之后对捕获数据进行整理、分析;
(2)基于特征的音视频应用协议识别方法;
对捕获的移动互联网数据流,提取特征字符串,作为识别音视频应用协议的关键字;具体包括:
a.对每条数据流的数据包进行初始化,为了区分请求包和应答包,会为数据包添加一个偏移量的变量,请求包的偏移量值为0,应答包的偏移量为1;
b.数据包进入动态库进行匹配,首先,进行请求包特征匹配,若匹配成功,表示此数据包是该数据流的第一个请求包,给这个数据包所在的数据流的标识重新赋值为请求,并且该数据包所属数据流的标识都会获得新的标识值。;
c.当有新的数据包进入动态库,会先判断是否为新的数据流的第一请求包,如果不是就继续判断其标识值是否为应答,为真即确认为数据流第一个应答包,进行应答包特征匹配,若两次匹配都为真,则判断该数据流为符合该特征的应用协议,识别完成,并将其信息写入数据库进行后续统计。
本发明的有益效果在于:能够适应移动互联网音视频应用协议的版本多、数量多、增长快以及识别准确率要求高的特点。
附图说明
图1为本发明的方法流程图
具体实施方式
下面,结合附图对于本发明进行如下详细说明:
为了适应移动互联网音视频应用协议的版本多、数量多、增长快以及识别准确率要求高等特点,本发明提出了一种移动互联网中音视频类协议识别方法。
本发明主要包括以下几个部分:
一是移动互联网数据捕获。本发明的数据捕获部署为,智能手机(两部以上),一台安装网络数据采集分析工具tcpdump的服务器,一台路由器,一台安装网络封包分析软件wireshark的计算机。首先,利用手机通过wi-fi链接路由器访问internet,模拟绝大多数用户接入移动互联网的方式,进行请求音视频应用服务的上网行为,服务器连接于手机所接入的局域网;第二步利用网络数据采集分析工具tcpdump将手机利用app观看视频时产生的pacp数据流进行捕获;第三步将采集的pcap数据包传输到安装有wireshark软件的计算机中,利用wireshark软件解析pcap包结构及内容,之后对捕获数据进行整理、分析。
二是基于特征的音视频应用协议识别方法。通过对抓取的大量的应用数据包进行分析、整理发现一种相对通用的特征字符串提取,作为识别音视频应用协议的关键字。流程图如图1所示。具体步骤如下数据进入到系统,系统将对每条数据流的stage进行初始化。并且为了区分请求包和应答包,会为应用数据包添加一个偏移量(direction)的变量,请求包的偏移量值为0,应答包的偏移量为1。当数据包进入动态库进行匹配,将会进行请求包特征匹配,如果匹 配成功,表示此数据包是该数据流的第一个请求包,将会给这个数据包所在的数据流的标识重新赋值为mark+direction(请求),并且该数据包所属数据流的标识都会获得新的标识值。当新的数据包进入动态库,会先判断是否为新的数据流的第一请求包,如果不是就继续判断其标识值是否为mark+direction(应答),为真即确认为数据流第一个应答包,进行应答包特征匹配。两次匹配都为真,则判断该数据流为符合该特征的应用协议,识别完成,并将其信息写入数据库方便后续统计。
所述仅是本发明的具体实例,任何基于本发明方法基础的等效变换,均属于本发明保护范围之内。