[发明专利]一种基于端口与内容混杂检测的协议识别方法

说明书

技术领域

本发明属于协议识别方法领域，尤其涉及一种基于端口检测的协议识别方法。

背景技术

网络已成为人们工作、生活中不可或缺的部分，发挥着越来越重要的作用。网络迅猛发展，网络质量的要求也越来越高。速度快，稳定高效，信息安全，是理想的网络环境。在政府、军队和商业领域，更需要有一个安全、高效的网络，来保证各项关键业务的顺利进行。但是，我们在网络应用中经常碰到的是：病毒肆虐，导致网络瘫痪；黑客的恶意入侵，造成重要数据丢失；垃圾邮件满天飞，影响了正常数据的接收；未授权访问，导致敏感信息、技术资料和商业机密的泄漏。网管人员面对高速无形的信息传递，缺乏有效的掌控手段。

为了能够适应高速变化的网络流量控制，很多厂商和研究机构都推出了各自的流量分析软件，可以根据网络数据报来分析出其中所采用的协议类型。并在此基础上进行统计和分析，帮助网络管理人员把握网络运行特征，调整网络工作状态，优化网络传输效率，查找网络安全隐患。现有的协议识别方法都是基于端口的识别方法。端口识别法是根据TCP数据包或UDP数据包首部的源端口号或目的端口号识别一些常见业务的流量，如HTTP，SMTP，Telnet，HTTPS等。

TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型，其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是：物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为：应用层：应用程序间沟通的层，如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。传输层：在此层中，它提供了节点间的数据传送服务，如传输控制协议(TCP)、用户数据报协议(UDP)等，TCP和UDP给数据包加入传输数据并把它传输到下一层中，这一层负责传送数据，并且确定数据已被送达并接收。互连网络层：负责提供基本的数据封包传送功能，让每一块数据包都能够到达目的主机(但不检查是否被正确接收)，如网际协议(IP)。网络接口层：对实际的网络媒体的管理，定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。

TCP和UDP服务通常有一个客户/服务器的关系，例如，一个Telnet服务进程开始在系统上处于空闲状态，等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息，服务进程读出信息并发出响应，客户程序读出响应并向用户报告。因而，这个连接是双工的，可以用来进行读写。TCP或UDP连接唯一地使用每个信息中的如下四项进行确认：发送包的IP地址、接收包的IP地址、源系统上的连接的端口、目的系统上的连接的端口。

端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口，例如，SMTP使用25、Xwindows使用6000。这些端口号是“广为人知”的，因为在建立与特定的主机或服务的连接时，需要这些地址和目的地址进行通讯。

现有的流量分析软件都采用了基于端口检测的协议识别方法，即以检测到的端口不同来判断该数据流属于哪种传输或应用协议。现在的网络中大量存在着小范围的局域网，因此NAT网关可能会导致各种应用协议的端口在传输过程中发生变化，从而影响协议识别的精度。而且，各种防火墙也会修改各种应用协议的端口，基于端口的协议识别方法同样不适合这种场合。随着Internet的发展，各种新兴的网络协议层出不穷，以P2P为代表的应用协议在设计的时候就没有固定的端口，而是采用动态端口的构架，这就使得基于端口的协议识别方法不能满足现有的识别要求。

发明内容

为了克服已有的基于端口检测协议识别方法的不能满足动态端口的识别要求、识别效果较差的不足，本发明提供一种能满足动态端口的识别要求、提高识别效果的一种基于端口与内容混杂检测的协议识别方法。

本发明解决其技术问题所采用的技术方案是：

一种基于端口与内容混杂检测的协议识别方法，所述的方法主要包括以下步骤：

(1)将端口表载入内存：将与各个协议对应的TCP协议端口和UDP协议端口载入进内存中，这样在以后的匹配过程中仅需要在内存中进行端口查找操作，能有效的提高查找速度；