基于关键字的单协议分类

网络协议是网络通信中一系列标准的集合,未知协议的识别和分析对网络监管、保障网络安全具有重大意义。协议识别技术多种多样,但大都不适用于二进制的协议识别。在此针对现有的协议识别技术的局限性,提出了一种在双方单协议通信环境下的多种类型二进制数据帧的协议识别方法。该方法首先利用n-gram技术对数据帧进行分割,然后利用无监督的特征选择算法提取特征串集合,从而利用聚类算法实现协议消息的识别。最后在ICMP上对该方法进行评估,消息识别的准确率和召回率均可达到90%以上。     

网络协议帧切分优化过程研究与仿真

为保障信息网络的安全,对网络协议帧进行合理的切分是准确掌握未知网络协议信息,挖掘协议特征,保证通信安全的重要步骤.在未知协议的识别与分析过程中,无法掌握所有网络通信协议规范,也难以准确获得数据特征,导致传统的网络协议帧切分方法面对大数据量时,在可行性与有效性方面存在较大的局限性.提出一种面向比特流的协议帧切分算法.详细分析了协议下比特流数据的特性;通过树结构存储统计比特流数据,并进行预挖掘以预测支持度和确定次数权值,进而判定获得频繁序列;运用位置差关联规则推断可能的帧头位置及帧长,从而实现协议帧的切分.通过对真实数据的仿真对提出的方法进行了验证,结果表明上述方法能够对未知协议进行准确帧长分段切分,使效率和准确度都有提高.     

基于改进凝聚层次聚类的协议分类算法

在比特流未知协议识别过程中,针对如何将得到的多协议数据帧分为单协议数据帧这一问题,提出了一种改进的凝聚型层次聚类算法。该算法以传统的凝聚型层次聚类算法思想为基础,结合比特流数据帧的特征,定义了数据帧之间及类簇之间的相似度,采用边聚类边提取符合要求类簇的方式,能快速有效地对数据帧进行聚类;并且该算法能自动地确定聚类的个数,所得的类簇含有相似度评价指标。利用林肯实验室公布的数据集进行测试,说明该算法能以较高的正确率对协议数据帧进行聚类。     

面向比特流的未知短波协议识别技术

协议识别技术在信息对抗中发挥着极其重要的作用,它是对信号进行解码的前提条件,是通信对抗由信号层对抗,转变为信号层与信息层对抗互相结合,以信息层对抗为主的关键一步.从海量比特流数据中识别未知协议的基本方法是对比特流数据进行挖掘,寻找其中的特征序列,在没有先验知识的情况下,则需要对其中的频繁序列进行提取.为适应比特流环境,本文在BNDM算法的基础上做出改进,进行前置编码,极大地提高了二进制环境下搜寻频繁序列的效率.实验表明,上述方法能够实现海量比特流数据中对未知短波协议的识别以及对协议数据帧的定界和切分.     

面向比特流数据的未知协议关联分析与识别

针对移动无线网络比特流数据特征,提出了一种基于关联规则识别特定环境下未知协议的方法。该方法改进了传统协议识别技术,如通过端口号、协议已知固定特征等,避免了传统技术存在的局限性。通过截获无线环境中传输的比特流数据,利用机器学习机制,提取特征信息,挖掘关联规则来识别和标志未知协议,标志协议指纹信息,实现特定环境下未知协议的发现与分析识别。最后在两种协议上对提出的方法进行了评估,协议的平均识别率高于99%,而平均的错误识别率低于0.6%。     

自适应聚类的未知应用层协议识别方法

应用层协议识别是指从承载应用层协议数据的网络流量中提取出可以标识应用层协议的关键特征,并以这些关键特征为基础,将同种类型的应用层协议数据划分在一起。针对现有网络流量识别方法对未知应用层协议识别率低的问题,提出了一种自适应聚类的未知应用层协议识别方法。该方法以传统的AGNES层次聚类算法为基础,依据网络流应用层协议数据的负载特征,基于相似度对应用层协议进行聚类。方法将聚类算法中相似度计算划分为聚类前应用层协议数据间的相似度计算和聚类中簇间的相似度计算两部分,避免了重复性地计算应用层协议数据间的相似度,提升了算法的聚类效率。实验结果表明所提出的方法能够高效准确地对未知协议的网络流量进行识别。     

面向比特流的未知协议识别与分析技术综述

在日益严峻的网络安全形势下,为确保信息的安全性,大量的网络应用开始采用未知的私有协议进行数据传输,尤其是在军事对抗中的战场无线通信网络下,通信所采用的协议不仅未知,还有可能被加密。要从截获的通信比特流中提取可用信息并加以利用,推断出以比特流形式存在的未知协议的报文格式是首要前提。首先从整体上介绍了现有面向比特流的协议识别研究领域所涉及的主要内容,重点分析了现有未知协议格式推断方法,包括频繁模式挖掘、关联规则挖掘、比特流帧切分以及协议格式推断,最后总结其优缺点及下一步研究方向。     

面向二进制数据帧的聚类系统

为了分离复杂无线网络环境下获取到的二进制数据帧,为后续协议逆向解析提供前提条件,实现了对复杂协议簇协议的聚类系统.首先使用AC算法挖掘出二进制数据帧中的频繁序列特征;然后创新地使用了Apriori算法搜索分析这些特征的关联关系,并且结合二进制流数据帧的特点对结果进行了四步剪枝处理;最后利用筛选出的特征通过改进的K-means算法进行聚类.实验表明,该系统可以对二进制协议数据帧的聚类起到很好的效果,同时对存在TYPE字段的多层协议簇,还能进一步区分出多种协议间的层次关系.     

基于帧时隙ALOHA的RFID标签集合检测协议框架

大规模RFID应用需要高效的检测协议对RFID标签集合进行管理,而现有的高效检测协议大都基于帧时隙ALOHA方法。为此在总结已有文献中对于标签集合检测协议的不同描述的基础上,提出了基于帧时隙ALOHA的RFID标签集合检测协议框架：分析了协议时间度量、丢失率估算、已识别标签处理和最优检测效率问题等协议框架中的基本问题,总结了迭代识别、短响应时隙和随机响应三种典型的优化方法。针对基本的帧时隙ALOHA检测协议,本文进一步利用上述三种方法进行优化,并通过仿真实验对其效率进行了分析对比。实验结果表明,综合利用三种优化方法的协议检测效率高于已知最高检测效率的IIPS-CM协议。     

基于SMTP协议解析的垃圾邮件防治技术

针对当前垃圾邮件的防治技术不足的问题,考虑到协议分析技术检测效率更高,检测准确度更高,并能对一些未知的攻击特征进行识别,因此结合对SMTP协议的分析来识别垃圾邮件,同时进行阻截,可有效防治垃圾邮件。介绍了SMTP的工作模式和协议分析过程,及对SMTP协议命令的解释。从协议分析的角度出发,实现SMTP协议分析程序——snifferSMTP。该程序分析从网络中捕获邮件数据包,还原出邮件信息,依据规则进行模式匹配,检测出入侵邮件。     

The Research of Address Message of an Unknown Single Protocol Data Frame

Network protocols are sets of standards for certain network communications. The identification and analysis of network protocol are of significance to network management and security. There are various technologies of protocol identification, but in the process of identification protocols, in order to simplify the identification process and improve the efficiency of protocol identification, unknown mixed multi-protocol needs to be separated into single protocol so as to make further identification. This paper presents an efficient method to determine the single protocol address message based on the previous research of separating unknown mixed data frame into single protocol. By this way, the data frames of single protocol are split into point-to-point data frame according to the address; consequently, the final identification of unknown protocol can be realized. Moreover, the method was evaluated by analysis of the ARP and TCP data; this method is able to find the more than 2/3 of address information.     

Asynchronous reservation protocol for variable-sized messages in a WDM-based local network

In this paper, we propose and analyse an asynchronous reservation protocol for a very high-speed optical LAN using a passive star topology. Each node is equipped with a single tunable transmitter and a single tunable receiver, both of which are tunable over a range of wavelengths. A separate channel, called the control channel, is used to coordinate message transmissions on the other channels, called data channels. We consider random and idle selection schemes for the data channel selection strategy. The proposed protocol can efficiently support variable-sized messages. It is operated asynchronously, i.e. data channels are not slotted and the control channel is slotted with the size of a control packet. Also, the protocol is scalable, hence the network can accommodate a variable number of nodes. Any new node can join the network without network reinitialization. Moreover, with the protocol one can avoid destination conflicts. We analyse its performance by using the equilibrium point analysis (EPA) method, and validate the results by simulation. According to the numerical results, the asynchronous protocol achieves higher throughput than the synchronous one.     

融合自动化逆向和聚类分析的协议识别方法

网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA)。该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测。该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题。通过对多个加密协议(如迅雷、BT、QQ和GTalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可。因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别。     

基于字符距离聚类的未知工控协议分类方法

未知工控协议分类是实现多类型混合工控协议识别的前提。利用工控协议报文格式精简且广泛采用二进制序列的特点,提出基于字符距离聚类的未知工控协议分类方法。该方法打破传统方法计算文本协议报文的欧氏距离而难以准确反映工控协议报文相似性的问题,通过构建二进制特征序列,计算字符距离,并开展基于字符距离K-means聚类,实现了未知工控协议分类。其中,为确保分类的准确性,提出基于最大平均字符距离的最佳聚类K值确定方法。半物理仿真结果表明,所提方法对未知工控协议分类的准确率可达96.80%,协议类型判别的正确率可达97.07%。     

应用层协议识别算法综述

能够标识出Internet上每个流所使用的应用层协议是一系列网络应用的前提和基础。然而随着网络的高速化和协议的复杂化,传统的基于端口识别应用层协议的算法已经不够准确,因此各种新的协议识别算法成为研究热点。本文介绍了协议识别问题的几个基本概念,将目前正在使用或研究的协议识别算法总结为三类并分析了各自的优缺点及关键技术和难点,最后指出了两个进一步研究的方向。     

未知协议的逆向分析与自动化测试

在工业控制、军事通信、金融信息等创新型网络中,大量未知(私有或半私有)协议被广泛采用.对通信协议及其实现进行严格的测试是确保网络系统安全性的重要手段,现有测试手段与方法大多只能针对已知协议进行,未知协议的广泛采用对协议测试提出了挑战.本文提出了针对未知协议的逆向分析与自动化测试方法,其基本思想是基于对协议流量的逆向分析,识别出协议特征,动态生成多维测试数据,自动监控被测系统的运行状态,获得准确的测试结果,为系统安全可靠运行提供依据.具体贡献包括:(1)自动化模糊测试框架;(2)基于协议特征库的逆向分析方法;(3)基于多维变异的测试数据生成方法;(4)基于主动探测的测试执行与异常定位方法.本文设计实现了自动化测试工具UPAFuzz,试验结果表明,UPAFuzz能够基于网络流量实现协议特征的自动识别,并自动生成海量模糊测试数据,对被测系统进行测试;在生成的测试数据量达到千万级时,UPAFuzz的内存占用率为现有模糊测试工具Boofuzz的50%,且其耗时仅为Boofuzz的10%,大大提升了测试执行效率.