本發明公開了一種基于誤碼率模型的未知通信協議識別方法，通過將多模式匹配算法和關聯規則分析算法相結合，提取已知協議的協議特征串，構建協議特征庫。然后，在識別被識別數據采用的協議類型的時候，計算被識別數據允許的最大誤比特數，并在此誤比特數范圍內采用模糊匹配算法提取被識別數據的特征串。最后，通過自動推理得到被識別數據所采用的協議類型。因此，本識別方法能夠提高數據識別率，對于具有誤碼的數據具有良好的識別效果。

技術領域

本發明屬于計算機網絡安全技術領域，更為具體地講，涉及一種基于誤碼率模型的未知通信協議識別方法。

背景技術

隨著通信技術的飛速發展，網絡通信成為了人們日常生活的主要交流方式，隨之而來的則是越來越嚴重的網絡信息安全問題。對于傳統的網絡安全技術而言，只能解決部分問題，而準確地識別通信數據所使用的協議對于克服傳統網絡安全技術缺陷具有重要的意義，是研究區分服務、入侵檢測、流量監控以及分析用戶行為的前提和基礎。目前，網絡協議識別技術得到了快速的發展和應用，主要包括基于端口、流特征以及負載行為進行識別。基于知名端口號識別技術主要是對應用層協議進行識別，其原理是根據各個應用層協議在IANA中注冊的端口號來識別協議；基于流特征檢測技術實質上是一類基于統計屬性的數據流分類算法，主要利用協議規范的不同而導致數據流屬性的差異來區別各個協議；基于負載進行協議識別就是使用數據特征來對協議進行識別。

在以上的傳統協議識別技術中，常采用多模式匹配等精確識別方法來進行協議的特征提取，隨后根據提取的數據特征進行數據協議識別。但是，在實際數據傳輸過程中常常存在誤幀情況，例如在無線通信過程中，以下原因將可能造成誤幀：1、接收信號很弱時。2、導頻污染的時候。3、在小區間切換時。4、在切換區域內無法切換時。特別是第4種情況下將出現嚴重的誤幀，目前要求的誤幀率一般是小于等于1％，其中1％～2％表示通話質量良好，2％～3％表示通話質量一般，3％～5％表示通話質量較差，5％～10％表示通話質量非常差，因此，誤幀的情況在通信過程中出現的概率很大。另外以太網和802.3對數據幀的長度最大限制分別為1500和1492字節，且協議特征串一般在1到6字節之間。因此，選取最短特征串、最小誤幀率和最長特征串、最大誤幀率計算得出特征串錯誤率在0.00667‰到0.4‰之間。即最壞的情況下，數據幀將會有0.4‰的概率無法識別而被丟棄。特別是對于國防安全和軍事對抗領域來說，此精度遠遠不能滿足需求。

基于以上分析，當誤碼剛好存在于數據所具有的協議特征串中的時候，基于多模式匹配等方法的精確識別系統往往無法識別此數據，從而對誤碼數據不作為而丟棄，此時將導致數據識別率下降。

發明內容

本發明的目的在于克服現有技術的不足，提供一種基于誤碼率模型的未知通信協議識別方法，在正常的誤碼情況下，對具有誤碼的幀進行模糊特征提取，且在最大誤比特數范圍內的幀依然進行未知通信協議識別，由此來提高數據識別率，從而達到更好的識別效果。

為實現上述發明目的，本發明一種基于誤碼率模型的未知通信協議識別方法，其特征在于，包括以下步驟：

(1)、數據采集及預處理

利用網絡抓包工具抓取網絡中的通信數據，再將通信數據按照幀格式進行存儲，且每一幀進行二進制處理，最后將處理完成的已知協議通信數據作為訓練數據，將未知協議通信數據作為被識別數據；

(2)、對訓練數據進行特征提取，得到協議特征庫

(2.1)、利用模式匹配算法提取頻繁集

根據已有網絡協議特征字符串允許的長度，窮舉所有的1～6字節的二進制字符串，記為{p₁，p₂，p₃，......，p_m}，p_m表示第m個二進制字符串，最后將窮舉的所有二進制字符串作為模式字符串；