技術領域

本發明涉及無線數字通信技術領域，具體涉及一種二進制消息數據的協議格式識別方法。

背景技術

無線通信網絡是基于射頻無線電技術發展起來的數字通信網絡。由于無線通信網絡具有免布線、移動接入、易于規劃部署、易于故障定位、網絡擴展性好等特點，其已成為當今互聯網絡的重要組成部分。隨著基于智能手機、WiFi無線設備的普及，無線互聯應用已成為人們生活中的一部分。

為了提高無線網絡的擴展性，合理配置無線網絡資源，無線網絡采用基于注冊表的MAC地址?；谧员淼腗AC地址，其接入端口采用動態分配，容易造成插入攻擊、漫游攻擊者、無線釣魚、無線通信被劫持和監視、網絡資源被竊取等技術問題。因此，如何及時識別網絡攻擊，產生攻擊預警，是無線網絡安全運行的有力保障。

在網絡通信技術領域，主要通過識別承載網絡消息數據的網絡通信協議來監測和預警網絡入侵行為。網絡通信協議包括公有協議和私有協議，公有協議有公開的協議規范文檔，私有協議為專用未知協議，其沒有公開的協議規范文檔，要實現私有協議的分類和識別非常困難。目前基于無線網絡的網絡入侵或者攻擊多采用專用未知協議為載體。

現有的網絡入侵監測和防范技術手段，大多基于端口映射、靜態特征匹配等方法進行公有協議的識別，實現網絡行為預警和方法。顯而易見，使用專用未知協議，通過動態分配端口進行網絡入侵的無線網絡攻擊行為是無法通過現有的網絡入侵監測和防范技術手段進行監測和預警的。

發明內容

本發明所要解決的技術問題是提供一種能對專用未知協議進行標識的二進制消息數據的協議格式識別方法。

本發明解決技術問題所采用的技術方案是：

二進制消息數據的協議格式識別方法，對由單位數據構成的測試消息數據包進行篩選，篩選出測試消息數據包中的頻繁單位數據序列，對測試消息數據包中相鄰頻繁單位數據序列聚類獲得多個優選聚類，處理優選聚類獲得用于標識未知協議的消息數據包的特征串，包括以下步驟：

步驟1：制作由單位數據構成的測試消息數據包：從網絡環境中抓取二進制消息數據流，將二進制消息數據流轉換成以單位數據為構成單元的測試消息數據包；

步驟2：篩選出測試消息數據包中的頻繁單位數據序列：將測試消息數據包的單位數據分成數組，以單位數據、單位數據出現頻率建立VSM向量空間模型，在VSM向量空間模型中定義單位數據相似度；分別以多組單位數據出現頻率為預選閥值對VSM向量空間模型中的每個數組的單位數據進行篩選形成新數組，計算預選閥值對應的新數組單位數據相似度，建立預選閥值和數組單位數據相似度的關系模型；通過關系模型找出單位數據相似度最大值對應的用于篩選測試消息數據包中頻繁單位數據序列的篩選閥值，以篩選閥值篩選出測試消息數據包中的頻繁單位數據序列；

步驟3：對測試消息數據包中的相鄰頻繁單位數據序列聚類獲得多個優選聚類：標記測試消息數據包中的頻繁單位數據序列，將相鄰的兩個頻繁單位數據拼接成關鍵詞，對測試消息數據包中的關鍵詞通過聚類算法進行聚類，獲得測試消息數據包中的多個優選聚類；

步驟4：處理優選聚類獲得用于標識未知協議的消息數據包的特征串，通過特征串標識測試消息數據包中的未知協議消息數據：對優選聚類采用序列比對算法，提取消息數據包的特征串，獲得消息數據的協議格式表達式，通過協議格式標識測試消息數據包中的未知協議消息數據。

進一步，步驟1中制作由單位數據構成的測試消息數據包具體為從網絡環境中抓取二進制消息數據流，將二進制消息數據流轉換成十六進制消息數據包，按照定字節長度將十六進制消息數據包切分成單位數據，形成由單位數據構成的測試消息數據包。

進一步，定字節長度為一個字節長度。

進一步，步驟2中篩選出測試消息數據包中的頻繁單位數據序列，包括以下步驟：

1)、建立基于單位數據的VSM向量空間模型：將測試消息數據包的單位數據按數量進行分成數組，以單位數據和單位數據的出現頻率建立VSM向量空間模型，將單位數據字符串向量轉換成VSM向量；在VSM向量空間模型中定義用于表征數組單位數據相似度的Jaccard指數；