[发明专利]一种HSMS头部信息丢失的SECS2数据包识别方法

说明书

本发明属于通信网络技术领域，具体为一种HSMS头部信息丢失的SECS2数据包识别方法。本发明包括如下步骤：建立HashMap对会话链接状态信息进行存储，读入未知数据包，根据数据包五元组查找会话信息，若不能直接判定则进入主体判定过程，先检测数据包是否具有HSMS头部，在不具有HSMS头部的情况下，尝试去查找一个切入点枚举值，判断在此枚举值之后的数据是否都符合SECS2数据的特征；数据包扫描识别后，结合占比和权值两个维度对数据包进行最终判定，得到结果后再对会话信息进行更新，方便下一次的判定。本发明保证了识别的精准和效率；基于本方法实现的会话状态管理器、数据识别器、综合评定器三个部分，涵盖协议识别功能。

技术领域

本发明属于通信网络技术领域，具体涉及HSMS头部信息丢失的SECS2数据包识别方法。

背景技术

随着网络技术的发展，互联网业务类型也日益走向多元化，在常规的流量识别中，可以针对数据包头部格式进行数据流量的识别，当头部信息丢失，检测网络流量类型的效率将大幅降低。在这种情况下，精准识别每种业务类型，也就是识别每种网络流量的类型，成为网络学术研究和部署运营的关注重点。

网络流量是记录和反映网络及其用户活动的重要载体，网络流量识别可用于网络态势的评估、应用程序的发展分析以及精细化运营等。对于无固定TCP端口的应用层协议，应用层的头部一般位于连接或交互会话的开始阶段，而协议最鲜明的特征在应用层协议的头部，例如HTTP协议（GET、POST操作指令）、SMTP协议（EHELO、MAIL FROM，RCPT TO等指令）。而当传输应用层协议的数据负载时，明显的协议特征已经不存在，即若对于随机截获的一段数据包，很有可能并不具有明显的协议特征，这使得传统的流量识别手段的效率及准确率降低。目前国内外的流量控制技术已经有较为成熟的理论支持，主要有：基于DPI的识别方法，基于DFI的识别方法，基于数据挖掘的识别方法等。

深度数据包检测（Deep Packet Inspection，DPI）是在传统IP数据包检测技术(OSI L2-L4之间包含的数据包元素的检测分析)之上增加了对应用层数据的应用协议识别，数据包内容检测与深度解码。深度数据包检测在技术上可以分为三类，分别是基于特征字的识别技术，应用层网关识别技术，行为模式识别技术。不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的指纹，这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列，基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。某些业务的控制流和业务流是分离的，业务流没有任何特征，这种情况下，我们就需要采用应用层网关识别技术，应用层网关需要先识别出控制流，并根据控制流的协议通过特定的应用层网关对其进行解析，从协议内容中识别出相应的业务流。行为模式识别技术基于对终端已经实施的行为的分析，判断出用户正在进行的动作或者即将实施的动作。行为模式识别技术通常用于无法根据协议判断的业务的识别。例如：SPAM（垃圾邮件）业务流和普通的Email业务流从Email的内容上看是完全一致的，只有通过对用户行为的分析，才能够准确的识别出SPAM业务。以上三种识别技术分别用于不同类型协议的识别，无法相互替代。而在应用DPI 技术部署DPI 系统时采用了分层DPI解决方案，综合运用了这三种技术，在检测效率和灵活性方面均达到最优。

深度流检测（Deep Flow Inspection，DFI）的主要原理是，利用大量的流量统计特征，建立机器学习分类模型对网络流量进行分类。由于该方法只需要提取TCP/IP报头来计算统计特征，例如平均数据包大小、网络流持续时间和数据包总数、数据包到达时间间隔、TCP标志位个数等，这些统计特征大多基于网络流的宏观行为特征，不用提取流量应用层的载荷信息且识别速度较快，目前是学术界的研究热点之一。DFI的优点在于不用提取应用层载荷特征，加密或非加密流量均能识别，适用于任何流量，缺点在于需要大量标记类别的样本进行训练。