5,用于分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
[0066]网络协议识别模块306,用于根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
[0067]如图3所示,在一个具体示例中,所述网络协议识别模块306包括:
[0068]判断单元3061,用于当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
[0069]识别单元3062,用于根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
[0070]当对进行正则表达式匹配后的用户信息类报文进行过滤时,如果此时在游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确,即在对进行正则表达式匹配后的用户信息类报文进行过滤时限制了游戏中与用户信息类报文对应的相应操作,无法在游戏中完成相应操作;进行与所述用户信息类报文对应的操作成功,判定所述用户信息类报文错误,即在对进行正则表达式匹配后的用户信息类报文进行过滤时还能进行与用户信息类报文对应的相应操作,说明找到的用户信息类报文错误,需要重新查找所述游戏的用户信息类报文;
[0071]同理当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确,进行与所述游戏控制类报文对应的操作成功,判定所述游戏控制类报文错误;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确,进行与所述图像传输类报文对应的操作成功,判定所述图像传输类报文错误。
[0072]如图3所示,在一个具体示例中,所述正则表达式匹配模块304包括:
[0073]第一匹配单元3041,用于根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
[0074]第二匹配单元3042,用于根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
[0075]第三匹配单元3043,用于根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。
[0076]为了提高过过滤的识别率,降低误识别率,可采用报文内容与关键字相结合的方法进行双重匹配,例如QQ游戏的报文为Oxfe xx xx xx xx xx xx 0x4e 0x6e 0x10 0x190x71,其报文内容显示中有关键词qqminigame,则该报文匹配的正则表达式为~(.\xfe+\\+\x4e\x6e\x0c\xl0)+\name~qqminigame(此为双重过滤)其中xx xx xx xx xx xx为变化报文也就是随机报文,因此用\\将其随机匹配掉。
[0077]此外,在一个具体示例中,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。
[0078]游戏的特殊性在于其人机交互,或者说人与人之间的互动性。因此,对于游戏协议的分析,需要从动态的角度进行,它的方法是在游戏内进行相应的互动操作,找出隐藏的游戏协议特性(如购买物品、切换地图场景)等等。一般来说,当游戏内进行购买物品时,报文的若干位置会发生明显变化,也就是游戏控制类报文会发生显著变化。另外,在交互类游戏进行地图转换时,由于进行传图操作,因此在各图片结束时会有一部分固定报文拖尾,不同游戏都存在这个现象,即游戏中的图像传输类报文发生变化,因此这也是游戏协议的一个明显特性。
[0079]此外,在一个具体示例中,所述游戏抓包模块301在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
[0080]登陆一种游戏并运行(对于客户端类),通过wireshark网络抓包工具将通过的网络数据包截下,从中找出含有游戏名的网络数据包并留存,满足实际需要,适合应用。
[0081]基于图3所示的本实施例的系统,一个具体的工作过程可以是如下所述:
[0082]首先游戏抓包模块301在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存;第一报文比对模块302分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;第二报文比对模块303分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;正则表达式匹配模块304中的第一匹配单元3041根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;第二匹配单元3042根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;第三匹配单元3043根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配;正则表达式过滤模块305分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,网络协议识别模块306中的判断单元3061判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判断单元3061判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判断单元3061判定所述图像传输类报文正确;识别单元3062根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
[0083]从以上描述可知,本发明区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性,适合应用。
[0084]以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技