网络应用协议识别研究

摘 要规模不断扩大，异构性越来越高，复杂性不断增加等已经成为当前计算机网络的突出特点，面对网络用户的不断增加、以及网络宽带的大幅度提升等问情况，若是不能高效地对网络系统进行管理，就很难保证提供一个令人满意的服务，因此，在这样的环境下，准确识别网络应用协议显得尤为重要。本文主要从改课题的研究背景和意义、网络应用协议识别的主要方法等方面进行研究。

【关键词】网络 协议识别 属性选择

随着计算机技术的普及、因特网与通信技术的发展，人们可以深切感受到，互联网与人类的生活、工作的结合日益紧密，正因为如此，网络便是一个极其复杂的系统，网络用户数量的不断增加也使得这个复杂的系统出现的几率变大，网络管理伴随着这种情况变得越来越难，必须要有完善的管理机制才能保障网络的正常运行。同时，很多网络协议也伴随着出现，这些网络协议带来的新特点，以及多样化的形式使得网络也越来越难以管理。

1 研究背景与意义

随着计算机网络的普及与发展，一方面对于如何保证网络的安全，组织网络高效运行提出了迫切要求；另一方面，计算机网络日益庞大，使得管理变得越来越复杂，诸如网络用户不断增加、网络覆盖范围不断增大、网络通信量剧增，网络共享数据了不断增加，网络应用软件类型不断增加等，而这些庞杂而巨大的系统通过人工时无法管理的，因此网络管理成为了最佳选择，它具有高的效率和生产过程。随之而来的各种网络应用协议应运而生。

网络应用协议的出现，使得网络协议的识别显得尤为重要，具体是指根据网络流量所表现出的不同特征，标识出该流量所使用的应用层协议，包括使用的应用层协议和具体产生流量的应用程序两个层面。其中，识别具体的应用程序是最精细的识别结果，也是最复杂的识别结果。

在越来越复杂的互联网中，对于网络应用协议的识别尤为重要，因为它在监督管理和新一代网络安全中起着不可替代的作用，这种识别可以广泛地应用于网络领域中，如服务质量控制、合法监听、入侵检测等，从而对网络管理起着重要作用。

2 网络应用协议识别的主要方法

近些年来，国内外学者在网络应用协议识别方面做了大量的研究工作，如用聚类方法处理协议识别问题，应用基于概念模型的朴素贝叶斯（NaiveBayes）方法，采用高斯滤波方法等，但是，持久性和广泛性却受到了很大的限制，因为这些技术更多的只是在当下或短期时间内起到一定作用，对于长期的、未来的网络协议识别的作用并不是建设性的。针对这一问题，很多科学家从其他角度提出了一些可取的意见和方法。

2.1 网络流特征提取

在实际的复杂的网络环境中，由于各种问题，如网络软件数量增加类型不同，互联网用户迅猛增长等，由此产生数量巨大的待分类的网络流，它们可达到数十万或数百万条，由此就产生了一个一个问题，即统计网络流的工作量巨大，也使得计算机负载过重，由于众多网络流相似或者相同，从而使得统计效率低下，使得网络管理无法满足现有的需要。网络流由一系列流量属性构成，内容包括数据包间隔、网络流持续时间、和数据包大小等，如此繁复复杂的网络流给网络应用协议识别带来的巨大的困难，因此，网络特征流的统计效率成为关键，如何提高统计效率，目前很多科学家提出了网络流特征提取这一方法。不过，这一方法在实践中仍然处于初级阶段，因此，在将来的相关研究中，还有待于深化。

2.2 基于负载签名的应用协议识别方法

这种相对来说较为先进的方法是目前网络协议识别方法中较为先进的方法，它能有效识别那些使用动态端口的网络应用，因而很大程度上提高了协议识别的灵活性和准确性。该方法的原理是通过扫描数据包有效载荷中的应用层协议签名，识别该业务流所承载的应用层协议，通过这样的方法，即使是那些利用伪装端口进行通信的用户所携带的签名也无法被隐藏，所以，曾经用于入侵检测的深度包的相关检测技术也开始用于协议识别的相关研究中，目前，该方法得到了很多人的认可，也开发了很多与此相关的软件，如CAIDA 组织开发的 NetTraMet、开源软件L7filter等。但是，该方法还是有不足的地方，比如，对加密信息和专有协议的处理能力差，偶尔可能会涉及到个人或企业机关的隐私而触犯法律。

2.3 基于机器学习的应用协议识别方法

这一方法在目前得到广泛关注，它是在学习以流量特征为个性的网络数据集的内部结构基础上，逐渐将网络数据集中的每个流识别到相对的应用协议中，这就是该方法的识别原理。在应用上，这种方法规避了上述方法的缺陷，因不需要深度解析相关内容，也不依赖于固定的协议端口，所以，不会涉及到隐私法律的问题，这是基于机器学习的应用协议识别方法的进步。另外，在灵活性和识别效率上有所提高，因为它减少了网络数据的处理量，并且，对于诸如网络应用协议的流量模型和流量特征相关问题也可以用该方法，这样的研究模式和结果势必具有重要的理论意义。基于机器学习识别方法结构较为复杂，需要分析的流量特征较多，相对的，数据约简技术也被引进该技术中，提高了识别数据的效率。

但是，该方法也具有某些不足，如当在吞吐量较大的高速链接路上，这种方法便很难满足处理的要求，因为它无法缓存较多的数据包。

3 总结与展望

近年来，网络安全领域里的研究热点中毫无疑问有网络应用协议的有效识别的存在，因此，如果要提高网络管理效率，必须要解决这一问题。虽然，目前已经学界已经提出了比较有建树性的相关方法，诸如文中提到的网络流特征提取、基于机器学习的应用协议识别方法、基于负载签名的应用协议识别方法等，都能在一定程度上解决网络应用协议识别所面临的问题，基于这样的研究现状，在未来的研究中，研究者们的研究方向将有所选择，比如如何在保证识别准确率的同时来减小时间消耗。

参考文献

[1]马婧.网络流量特征提取与流量识别研宄[D].北京：北京邮电大学，2012.

[2]杨杰，姚莉秀.数据挖掘技术及其应用[M].上海：上海交通大学出版社，2011.

[3]许孟晋.枯于机器学习的M络流量分类系统研与实现[D].长沙：国防科学技术大学，2010.

[4]于玲，吴铁东.集成学习：算法综述[J].模式识别与人工智能，2004.

作者简介

曹剑文（1964-），男。湖南省长沙市人。大学本科学历。现为武汉纺织大学数学与计算机学院工程师。主要研究方向为计算机及网络应用。

作者单位

武汉纺织大学数学与计算机学院 湖北省武汉市 430200