术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
[0085]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种网络协议识别方法,其特征在于,包括以下步骤: 对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包; 分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文; 分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文; 分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配; 分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤; 根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。2.根据权利要求1所述的网络协议识别方法,其特征在于,根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议的步骤包括: 当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确; 根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。3.根据权利要求1或2所述的网络协议识别方法,其特征在于,分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配的步骤包括: 根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配; 根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配; 根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。4.根据权利要求1所述的网络协议识别方法,其特征在于,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。5.根据权利要求1所述的网络协议识别方法,其特征在于,所述对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包的步骤包括: 在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包; 在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。6.一种网络协议识别系统,其特征在于,包括: 游戏抓包模块,用于对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包; 第一报文比对模块,用于分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文; 第二报文比对模块,用于分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文; 正则表达式匹配模块,用于分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配; 正则表达式过滤模块,用于分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤; 网络协议识别模块,用于根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。7.根据权利要求6所述的网络协议识别系统,其特征在于,所述网络协议识别模块包括: 判断单元,用于当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确; 识别单元,用于根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。8.根据权利要求6或7所述的网络协议识别系统,其特征在于,所述正则表达式匹配模块包括: 第一匹配单元,用于根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配; 第二匹配单元,用于根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配; 第三匹配单元,用于根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。9.根据权利要求6所述的网络协议识别系统,其特征在于,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。10.根据权利要求6所述的网络协议识别系统,其特征在于,所述游戏抓包模块在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
【专利摘要】本发明公开了一种网络协议识别方法和系统,所述方法包括:对游戏进行抓包操作得到预设个数个包含游戏名字的网络数据包;分别将各个网络数据包中预设长度的报文进行比对,找到游戏的用户信息类报文;分别对游戏进行游戏控制操作和图像传输操作,找到游戏的游戏控制类报文和图像传输类报文;分别对用户信息类报文、游戏控制类报文和图像传输类报文进行正则表达式匹配;分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;根据过滤结果,结合用户信息类报文、游戏控制类报文和图像传输类报文确定游戏的网络协议。本发明区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性。
【IPC分类】H04L12/26
【公开号】CN105721250
【申请号】CN201610121782
【发明人】涂卓, 余顺争
【申请人】广东顺德中山大学卡内基梅隆大学国际联合研究院, 中山大学
【公开日】2016年6月29日
【申请日】2016年3月3日