返回
基于特征串的应用层协议识别

基于特征串的应用层协议识别

ID:33326974

大小:174.59 KB

页数:5页

时间:2019-02-24

基于特征串的应用层协议识别_第1页
基于特征串的应用层协议识别_第2页
基于特征串的应用层协议识别_第3页
基于特征串的应用层协议识别_第4页
基于特征串的应用层协议识别_第5页
资源描述:

《基于特征串的应用层协议识别》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、基于特征串的应用层协议识别陈亮龚俭徐选(东南大学计算机系江苏省计算机网络技术重点实验室,南京210096)E-mail:lchen@njnet.edu.cn摘要随着各种P2P协议的广泛应用以及逃避防火墙检测的需要,传统的基于常用端口识别应用层协议的方法已经出现问题。文章通过分析可用的文档和实际报文TRACE,分别为七种应用层协议找出其实际交互过程中必须出现且出现频率最高的固定字段,并将这些固定字段作为协议的特征串来识别这七种协议。实验结果表明,相较于端口方法,使用特征串方法识别这七种应用层协议具有更高的准确

2、性,并且时间消耗的增长不会超过2%。关键词网络流量应用层协议识别特征串文章编号1002-8331-(2006)24-0016-04文献标识码A中图分类号TP393.08IdentificationofApplication-LevelProtocolsUsingCharacteristicChenLiangGongJianXuXuan(JiangsuProvinceKeyLaboratoryofComputerNetworkingTechnology,DepartmentofComputerScience,

3、SoutheastUniversity,Nanjing210096)Abstract:AlongwiththeemergenceofmanyP2Pprotocolsandtheneedofcircumventingfirewalls,traditionalmethodsofapplication-levelprotocolidentificationsuchasusingdefaultserverportbecomemoreandmoreinaccurate.Thecharacteristicforeach

4、ofsevenapplication-levelprotocolsisdefinedbyanalyzingsomeavailabledocumentationsandpacket-leveltracesinthispaper.Thecharacteristicofaprotocolisanecessarypartofactualcommunication,anditismorefrequenttobeusedthananyothernecessaryparts.Thesecharacteristicsthe

5、nareutilizedtoidentifythesevenprotocols.Themeasurementsshowthattheapproachhashigheraccuracythantraditionalport-basedapproach,andthetimeconsumptionincrementdonotexceed2%.Keywords:networktraffic,application-levelprotocolidentification,characteristicstring1引言

6、端口被很多非Web应用程序所使用以绕开那些不过滤80端无论是对网络规划、网络问题检测、网络使用情况报告,还口流量的防火墙。实际上,以隧道方式在HTTP协议上使用IP是对提高网络服务质量、检测异常流量来说,流量的识别都是协议可以允许所有的应用程序通过TCP的80端口。最基本的前提。近年来,网络流量在形式与种类上都较过去更(6)木马和其它的网络攻击(如DoS)所产生的大量流量也加复杂,新的应用协议不断涌现[1]。虽然原则上可以使用在不能归结为其使用的端口所代表的协议。IANA[2]中注册的端口号识别各种应用层协

7、议,但是由于下述原为了解决端口识别协议的方法所出现的问题,近年来很多因的存在,端口识别协议的方法正在越来越多的受到限制:的研究工作都致力于开发新的方法来识别应用层协议。2004年,Myung-SupKim等人提出一种启发式方法识别应用层协议[3],(1)不是所有的协议都在IANA中注册使用的端口。例如,BT等P2P协议。但是这种方法归根结底还是依赖于协议既定的端口,如果协议(2)有些应用程序可能使用其常用端口以外的端口,以绕的实现不依赖于某些固定的端口而是完全随机的选择监听端过操作系统的访问限制。例如,某些

8、没有特权的用户可能在非口,该方法就不能正确地给出协议名称。同样在2004年,SubhabrataSen[4],80端口上运行WWW服务器,因为大多数操作系统通常将80使用基于协议签名的方法识别应用层协议端口限制为只允许某些特定的用户使用。但是其特征串定义仅限于P2P协议的范围,并且往往要检查全(3)有些注册的端口号被多个应用程序所使用。例如,端口报文以匹配多个特征串,效率较低。因此,本文的目标是为每种888同时被

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。