基于DPI的应用层协议解析Word文档下载推荐.docx
- 文档编号:14835271
- 上传时间:2022-10-25
- 格式:DOCX
- 页数:30
- 大小:463.22KB
基于DPI的应用层协议解析Word文档下载推荐.docx
《基于DPI的应用层协议解析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《基于DPI的应用层协议解析Word文档下载推荐.docx(30页珍藏版)》请在冰豆网上搜索。
最后,对研究工作进行了总结与展望,肯定了其研究意义和价值,同时也指出了系统存在的不足及今后的改进方向。
关键词:
深度包检测,应用层协议解析,数据包捕获函数库,
超文本传输协议
Abstract
WiththerapiddevelopmentofInternetinChina,themajornetworkoperators,networksizeintheever-expanding,increasinglyplexnetworkstructure,networkoperationsarebeingincreasinglyrich,high-speednetworktrafficgrowth,whichmakesnetworkmanagementrequirementsandgreatlyincreasethedifficulty.Therefore,networkoperatorsneedtonetworkareliableeffectivemonitoringandcontrol,inthiscase,howtoprotocolanalysisofnetworkflowcontrol,networkbilling,contentfiltering,andtrafficmanagement,toprovideuserswithagoodnetworkenvironmenthasbeeahotresearchtopic.
First,thearticalhasanalysisedontheresearchpresentsituationandtheexistingdetectionmethodontheapplicationlayerprotocolanalysis,andbasedonthis,itusedthedepthinspectionpacket(DPI)technologyforapplicationlayerprotocolanalysis;
Second,thearticlegivenanoverviewonthesystemarchitectureoftheapplicationlayerprotocolanalysissystemandsubsystemfunctions,andatthesametime,itgavenadetaileddescriptionontheanalysisofhypertexttransferprotocol(HTTP:
hypertexttransportprotocol)asthecoremodule;
Three,thearticlegivenadetaileddesignontheapplicationlayerprotocolanalysissystem,describedthedesignprinciplesandprocessesofeachmodule,andsystemtesting,confirmedthefeasibilityofthesystemdesign.Finally,thispapersummarizedtheresearchworkandlooking,ensureditssignificanceandvalue,andalsopointedouttheshortingsofthesystemandthefuturedirectionoftheimprovement.
Keywords:
deeppacketinspection,theapplicationlayerprotocolanalysis,
libpcap,hypertexttransferprotocolanalysis
1绪言
1.1课题背景及研究的目的和意义
1.1.1课题背景
在如今Internet高速发展,网络的容安全是网络安全的重要组成部分。
对于网络管理来说,最重要的就是识别和区分网络流量,通过协议识别可以对网络进行流量控制、网络计费、容过滤、以及流量管理。
传统的协议识别采用的是端口识别,如检测到端口号为80时,则认为该应用代表着普通上网应用。
这种识别能达到较高的速率,但是现在大量的应用层协议为了避免识别,逃避防火墙的检查,不使用固定的端口进行通信。
这不仅包括众多近年新出现的P2P协议,而且包括了越来越多的传统协议,比如BitTorrent、eMule等P2P协议,其采用动态端口进行通信;
而Skype、QQ等协议则共用80端口。
并且当前网络上的一些非法应用会采用隐藏或假冒端口号的方式躲避检测和监管,造成仿冒合法报文的数据流侵蚀着网络[2]。
越来越多诸如此类协议的产生,采用L2~L4层的传统检测方法已无能为力了,因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议。
1.1.2课题研究的目的和意义
DPI(DeepPacketInspection,深度包检测)技术就是近年来出现的一种协议识别技术。
DPI技术不同于传统的协议(如图1.1)。
传统报文检测仅仅分析IP包的四层以下的容,包括源地址、目的地址、源端口、目的端口以及协议类型。
而是在在分析的基础上,增加了对应用层的分析,是一种基于应用层的流量检测和控制技术,当IP数据包、TCP或UDP数据流经过基于DPI技术的网络设备时,DPI引擎通过深入读取IP包载荷的容来对OSI7层协议中的应用层信息进行重组,从识别出IP包的应用层协议。
随着对应用层协议解析的要求越来越高,对基于DPI的应用层协议解析技术的研究也变得越来越重要。
图1.1两种报文检测的区别
1.2深度数据包检测(DPI)国外研究概况
深度数据包检测(DPI)是一项已经在流量管理、安全和网络分析等方面获得成功的技术,同时该技术能够对网络数据包进行容分析,但又与header或者基于元数据的数据包检测有所不同,这两种检测通常是由交换机、防火墙和入侵检测系统IPS设备来执行的。
通常的DPI解决方案能够为不同的应用程序提供深度数据包检测。
只针对header的处理限制了能够从数据包处理过程中看到的容,并且不能够检测基于容的威胁或者区分使用共同通信平台的应用程序。
DPI能够检测出数据包的容及有效负载并且能够提取出容级别的信息,如恶意软件、具体数据和应用程序类型。
随着网络运营商、互联网服务提供商(ISP)以及类似的公司越来越依赖于其网络以及网络上运行的应用程序的效率,管理带宽和控制通信的复杂性以及安全的需要变得越来越重要。
DPI恰好能够提供这些要求[3],寻求更好的网络管理以及合规的用户企业应该把DPI作为一项重要的技术。
DPI技术能够将数据包组装到网络的流量中[20,23],数据处理(包括协议分类)接着可以从流量容中提取信息,流量重组和容提取都需要大量处理能力,尤其是在高流量的数据流中。
成功的DPI技术必须能够提供基本功能,如高性能计算和对分析任务的灵活的支持。
DPI的识别技术可以分为三大类:
基于“特征字”的识别技术,应用层网关识别技术和行为模式识别技术。
(1)基于“特征字”的识别技术[1]。
不同的应用通常依赖于不同的协议,而不同的协议都有其特殊的指纹,这些指纹可能是特定的端口、特定的字符串或者特定的Bit序列。
基于“特征字”的识别技术通过对业务流中特定数据报文中的“指纹”信息的检测以确定业务流承载的应用。
根据具体检测方式的不同,基于“特征字”的识别技术又可以被分为固定位置特征字匹配、变动位置的特征匹配以及状态特征匹配三种技术。
通过对“指纹”信息的升级,基于特征的识别技术可以很方便的进行功能扩展,实现对新协议的检测。
(2)应用层网关识别技术。
某些业务的控制流和业务流是分离的,业务流没有任何特征。
这种情况下,我们就需要采用应用层网关识别技术。
应用层网关需要先识别出控制流,并根据控制流的协议通过特定的应用层网关对其进行解析,从协议容中识别出相应的业务流。
对于每一个协议,需要有不同的应用层网关对其进行分析。
(3)行为模式识别技术。
行为模式识别技术基于对终端已经实施的行为的分析,判断出用户正在进行的动作或者即将实施的动作。
行为模式识别技术通常用于无法根据协议判断的业务的识别。
1.3应用层协议概述
应用层(Applicationlayer)是七层OSI模型[4,5](如图1.2所示)的第七层。
应用层直接和应用程序接口并提供常见的网络应用服务。
下面对几种常见的应用层协议的通信过程进行简单的分析。
1.3.1HTTP协议
HTTP协议[6,7](hypertexttransportprotocol,超文本传输协议)是一个属于应用层的面对对象协议,它是工作在TCP/IP协议体系的TCP(TransferControl
Protocol,传输控制协议)之上可靠传输,采用的是C/S(客户端/服务器)的工作模式,如图1.3所示。
图1.2OSI七层网络模型
HTTP协议的通信过程如下:
(1)由客户端向服务器发起建立的请求,请求过程通过TCP三次握手来完成;
(2)客户端继续向服务器发出请求,告知服务器自己的请求信息;
(3)服务器通过响应向客户端返回其需要的信息;
(4)最后通过TCP四次握手关闭,从而完成一次基本的通信过程。
图1.3HTTP工作模式图
在HTTP通信过程中,HTTP的请求报文分为请求行、请求头部和请求数据三部分组成,一般格式如图1.4所示。
图1.4HTTP请求报文一般格式
其中请求方法是指当前HTTP请求报文中对所请求的资源的操作类型,常用的方法[8]包括GET、POST、HEAD、PUT、CONNECT、DELETE、TRACE和OPTION;
URL(UniformResourceLocator,统一资源定位符)是统一资源定位符,用来指出请求资源的路径;
请求头部说明了浏览器、服务器或者报文主体的一些信息。
而HTTP响应报文的格式如图1.5所示。
图1.5HTTP相应报文一般格式
响应报文的一部分容跟请求报文一致,不同的主要是状态码和解释状态码的短语。
状态码是用来表示当服务器收到客户端的请求报文之后返回的一个响应状态,表示请否被理解或被满足。
解释状态的短语是对前面状态码的进一步的说明。
HTTP协议有固定的状态码以及其表达
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 DPI 应用 协议 解析