共查询到16条相似文献,搜索用时 218 毫秒
1.
网络协议是网络通信中一系列标准的集合,未知协议的识别和分析对网络监管、保障网络安全具有重大意义。协议识别技术多种多样,但大都不适用于二进制的协议识别。在此针对现有的协议识别技术的局限性,提出了一种在双方单协议通信环境下的多种类型二进制数据帧的协议识别方法。该方法首先利用n-gram技术对数据帧进行分割,然后利用无监督的特征选择算法提取特征串集合,从而利用聚类算法实现协议消息的识别。最后在ICMP上对该方法进行评估,消息识别的准确率和召回率均可达到90%以上。 相似文献
2.
为保障信息网络的安全,对网络协议帧进行合理的切分是准确掌握未知网络协议信息,挖掘协议特征,保证通信安全的重要步骤.在未知协议的识别与分析过程中,无法掌握所有网络通信协议规范,也难以准确获得数据特征,导致传统的网络协议帧切分方法面对大数据量时,在可行性与有效性方面存在较大的局限性.提出一种面向比特流的协议帧切分算法.详细分析了协议下比特流数据的特性;通过树结构存储统计比特流数据,并进行预挖掘以预测支持度和确定次数权值,进而判定获得频繁序列;运用位置差关联规则推断可能的帧头位置及帧长,从而实现协议帧的切分.通过对真实数据的仿真对提出的方法进行了验证,结果表明上述方法能够对未知协议进行准确帧长分段切分,使效率和准确度都有提高. 相似文献
3.
在比特流未知协议识别过程中,针对如何将得到的多协议数据帧分为单协议数据帧这一问题,提出了一种改进的凝聚型层次聚类算法。该算法以传统的凝聚型层次聚类算法思想为基础,结合比特流数据帧的特征,定义了数据帧之间及类簇之间的相似度,采用边聚类边提取符合要求类簇的方式,能快速有效地对数据帧进行聚类;并且该算法能自动地确定聚类的个数,所得的类簇含有相似度评价指标。利用林肯实验室公布的数据集进行测试,说明该算法能以较高的正确率对协议数据帧进行聚类。 相似文献
4.
协议识别技术在信息对抗中发挥着极其重要的作用,它是对信号进行解码的前提条件,是通信对抗由信号层对抗,转变为信号层与信息层对抗互相结合,以信息层对抗为主的关键一步.从海量比特流数据中识别未知协议的基本方法是对比特流数据进行挖掘,寻找其中的特征序列,在没有先验知识的情况下,则需要对其中的频繁序列进行提取.为适应比特流环境,本文在BNDM算法的基础上做出改进,进行前置编码,极大地提高了二进制环境下搜寻频繁序列的效率.实验表明,上述方法能够实现海量比特流数据中对未知短波协议的识别以及对协议数据帧的定界和切分. 相似文献
5.
6.
应用层协议识别是指从承载应用层协议数据的网络流量中提取出可以标识应用层协议的关键特征,并以这些关键特征为基础,将同种类型的应用层协议数据划分在一起。针对现有网络流量识别方法对未知应用层协议识别率低的问题,提出了一种自适应聚类的未知应用层协议识别方法。该方法以传统的AGNES层次聚类算法为基础,依据网络流应用层协议数据的负载特征,基于相似度对应用层协议进行聚类。方法将聚类算法中相似度计算划分为聚类前应用层协议数据间的相似度计算和聚类中簇间的相似度计算两部分,避免了重复性地计算应用层协议数据间的相似度,提升了算法的聚类效率。实验结果表明所提出的方法能够高效准确地对未知协议的网络流量进行识别。 相似文献
7.
8.
9.
大规模RFID应用需要高效的检测协议对RFID标签集合进行管理,而现有的高效检测协议大都基于帧时隙ALOHA方法。为此在总结已有文献中对于标签集合检测协议的不同描述的基础上,提出了基于帧时隙ALOHA的RFID标签集合检测协议框架:分析了协议时间度量、丢失率估算、已识别标签处理和最优检测效率问题等协议框架中的基本问题,总结了迭代识别、短响应时隙和随机响应三种典型的优化方法。针对基本的帧时隙ALOHA检测协议,本文进一步利用上述三种方法进行优化,并通过仿真实验对其效率进行了分析对比。实验结果表明,综合利用三种优化方法的协议检测效率高于已知最高检测效率的IIPS-CM协议。 相似文献
10.
11.
Network protocols are sets of standards for certain network communications. The identification and
analysis of network protocol are of significance to network management and security. There are
various technologies of protocol identification, but in the process of identification protocols, in order
to simplify the identification process and improve the efficiency of protocol identification, unknown
mixed multi-protocol needs to be separated into single protocol so as to make further identification.
This paper presents an efficient method to determine the single protocol address message based
on the previous research of separating unknown mixed data frame into single protocol. By this way,
the data frames of single protocol are split into point-to-point data frame according to the address;
consequently, the final identification of unknown protocol can be realized. Moreover, the method was
evaluated by analysis of the ARP and TCP data; this method is able to find the more than 2/3 of address
information. 相似文献
12.
In this paper, we propose and analyse an asynchronous reservation protocol for a very high-speed optical LAN using a passive star topology. Each node is equipped with a single tunable transmitter and a single tunable receiver, both of which are tunable over a range of wavelengths. A separate channel, called the control channel, is used to coordinate message transmissions on the other channels, called data channels. We consider random and idle selection schemes for the data channel selection strategy. The proposed protocol can efficiently support variable-sized messages. It is operated asynchronously, i.e. data channels are not slotted and the control channel is slotted with the size of a control packet. Also, the protocol is scalable, hence the network can accommodate a variable number of nodes. Any new node can join the network without network reinitialization. Moreover, with the protocol one can avoid destination conflicts. We analyse its performance by using the equilibrium point analysis (EPA) method, and validate the results by simulation. According to the numerical results, the asynchronous protocol achieves higher throughput than the synchronous one. 相似文献
13.
网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA)。该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测。该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题。通过对多个加密协议(如迅雷、BT、QQ和GTalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可。因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别。 相似文献
14.
未知工控协议分类是实现多类型混合工控协议识别的前提。利用工控协议报文格式精简且广泛采用二进制序列的特点,提出基于字符距离聚类的未知工控协议分类方法。该方法打破传统方法计算文本协议报文的欧氏距离而难以准确反映工控协议报文相似性的问题,通过构建二进制特征序列,计算字符距离,并开展基于字符距离K-means聚类,实现了未知工控协议分类。其中,为确保分类的准确性,提出基于最大平均字符距离的最佳聚类K值确定方法。半物理仿真结果表明,所提方法对未知工控协议分类的准确率可达96.80%,协议类型判别的正确率可达97.07%。 相似文献
15.
16.
未知协议的逆向分析与自动化测试 总被引:1,自引:0,他引:1
在工业控制、军事通信、金融信息等创新型网络中,大量未知(私有或半私有)协议被广泛采用.对通信协议及其实现进行严格的测试是确保网络系统安全性的重要手段,现有测试手段与方法大多只能针对已知协议进行,未知协议的广泛采用对协议测试提出了挑战.本文提出了针对未知协议的逆向分析与自动化测试方法,其基本思想是基于对协议流量的逆向分析,识别出协议特征,动态生成多维测试数据,自动监控被测系统的运行状态,获得准确的测试结果,为系统安全可靠运行提供依据.具体贡献包括:(1)自动化模糊测试框架;(2)基于协议特征库的逆向分析方法;(3)基于多维变异的测试数据生成方法;(4)基于主动探测的测试执行与异常定位方法.本文设计实现了自动化测试工具UPAFuzz,试验结果表明,UPAFuzz能够基于网络流量实现协议特征的自动识别,并自动生成海量模糊测试数据,对被测系统进行测试;在生成的测试数据量达到千万级时,UPAFuzz的内存占用率为现有模糊测试工具Boofuzz的50%,且其耗时仅为Boofuzz的10%,大大提升了测试执行效率. 相似文献