[发明专利]一种基于误码率模型的未知通信协议识别方法

摘要

本发明公开了一种基于误码率模型的未知通信协议识别方法，通过将多模式匹配算法和关联规则分析算法相结合，提取已知协议的协议特征串，构建协议特征库。然后，在识别被识别数据采用的协议类型的时候，计算被识别数据允许的最大误比特数，并在此误比特数范围内采用模糊匹配算法提取被识别数据的特征串。最后，通过自动推理得到被识别数据所采用的协议类型。因此，本识别方法能够提高数据识别率，对于具有误码的数据具有良好的识别效果。

主权项

1.一种基于误码率模型的未知通信协议识别方法，其特征在于，包括以下步骤：(1)、数据采集及预处理利用网络抓包工具抓取网络中的通信数据，再将通信数据按照帧格式进行存储，且每一帧进行二进制处理，最后将处理完成的已知协议通信数据作为训练数据，将未知协议通信数据作为被识别数据；(2)、对训练数据进行特征提取，得到协议特征库(2.1)、利用模式匹配算法提取频繁集根据已有网络协议特征字符串允许的长度，穷举所有的1～6字节的二进制字符串，记为{p₁，p₂，p₃，......，p_m}，p_m表示第m个二进制字符串，最后将穷举的所有二进制字符串作为模式字符串；提取训练数据中的每一帧数据，组成目标字符串{t₁，t₂，t₃，......，t_n}，t_n表示第n帧数据；将{p₁，p₂，p₃，......，p_m}和{t₁，t₂，t₃，......，t_n}作为模式匹配算法的输入，通过模式匹配算法进行匹配，并记录匹配成功的模式字符串以及其在目标字符串中的位置，最后统计相同位置上出现同一模式字符串的帧数，并将帧数占比大于M％的模式字符串定义为此协议的频繁字符串，最后将所有频繁字符串组成频繁集{f₁，f₂，f₃，......，f_K}，f_K表示第K个频繁字符串；(2.2)、利用关联规则分析算法提取协议特征将频繁集{f₁，f₂，f₃，......，f_K}及频繁字符串在各个帧中出现的位置作为关联规则分析算法的输入，通过关联规则分析算法对频繁字符串进行关联规则分析，得到关联字符串，再统计出关联字符串出现的次数和位置，并将关联字符串出现的次数占比大于M％的关联字符串作为识别规则，再将识别规则中的频繁字符串{f₁，f₂，f₃，......，f_k}存入协议特征库中，其中，f_k表示第k(k≤K)个频繁字符串；(3)、利用模糊匹配算法获取模糊特征集(3.1)、计算被识别数据允许的最大误比特数其中，L1表示允许的最长特征串的长度，L2表示被识别数据帧的帧长度，FER表示被识别数据的误帧率；(3.2)、根据协议特征库，利用模糊匹配算法提取最大误比特数范围内的所有模糊特征字符串将被识别数据、频繁字符串{f₁，f₂，f₃，......，f_k}和被识别数据允许的最大误比特数作为模糊匹配算法的输入，通过模糊匹配算法进行匹配，记录匹配成功的模糊特征字符串及其在被识别数据帧中的位置，并存入到模糊特征集中；(4)、采用Jena自动推理机识别帧的协议类型首先建立推理规则库，再将模糊特征集中的模糊特征字符串和推理规则库作为Jena自动推理机的输入，并进行推理，得出每一组模糊特征字符串所对应的协议类型，即为此帧的协议类型。