(华北电力大学 北京 102206)

一、课题研究背景及意义

(一)课题研究背景

国家电网公司采用了“安全分区、网络专用、横向隔离、纵向认证”的总体防护策略；2006年起，在国家电网公司信息化“SG186”工程安全防护工作中，提出了“双网双机、分区分域、等级保护、多层防御”的安全策略，2010年，智能电网信息安全防护方案中，突出“分区分域、安全接入、动态感知、精益管理、全面防护”的安全策略，提出建立以智能防护为主的主动防御体系。总体演进路线从单一的边界防护推进到全面防护，同时辅以安全管理手段提升防护效果，各种防护技术和措施起到一定的防护效果。

对网络协议进行匹配，分析协议内容，深入了解网络业务的变化，并进行适当的网络关联与控制，对网络业务设计、运营和评估具有重要意义，也是网络流量监控的一个高级目标。网络流量识别技术，是分析网络流量特征和增强网络可控性的基本手段之一，广泛运用于流量监控、网络安全检测、用户行为分析、计费管理或其他网络活动中。从整体看，互联网上的主要业务可以划分为：数据下载、网页访问、流媒体、即时通信和游戏等。

(二)课题研究意义

随着高速网络技术的迅速发展以及信息化进程的不断推进，互联网己经成为重要的基础设施，支撑着商业、金融、教育、政府以及娱乐等各个方面的应用。因此，为了有效管理因特网协议资源，保障关键业务，解决网络协议的匹配和识别验证问题，协议指纹匹配和协议规则验证的协议自识别技术逐渐成为了国内外的研究热点和关键问题。

从技术角度来看，网络的安全与管理需要协议识别与匹配技术。在互联网时代，网络安全与我们的生活息息相关。协议识别系统部署在安全防护系统的最前端，是最为重要、最为基础的部分。只有对协议做到快速有效识别，才能进一步有效地对流量进行管理。因此，只有能够对加密协议进行快速且精确的识别，才能从大规模的网络协议中识别目标协议，并辨别其真伪，避免网络攻击等网络恶意事件的发生。

从社会角度来看，随着信息时代的到来，互联网已经成为全球信息发布、传播和共享的主要平台。但由于其开放性和自由性，一些不良信息也可以利用加密协议进行传播。因此，协议指纹匹配和协议验证的自识别技术可隔离色情、恐怖、暴力信息，对青少年的身体健康，社会的和谐稳定发展具有着重要的意义。

综上所述，协议指纹匹配和协议规则验证的自识别技术是网络安全领域中迫切需要突破的关键技术，因此，对于协议识别技术的研究，不仅拓展了协议识别领域的研究深度，又为网络的管理和优化问题带来新的解决之道。总之，本文对于协议指纹匹配和协议规则验证的自识别技术的研究极具现实意义和理论价值，不但可以为国家和企业的实践提供参考，还可以拓展协议识别领域的研究深度和宽度。

二、课题研究现状

(一)国内外研究现状

为了解决协议识别问题，国内外做了大量的的研究工作。最早研究的协议识别技术是基于端口的协议识别技术，该技术所能识别的协议为在IANA中注册端口号的协议。但是由于新出现的协议都不在IANA中注册端口号，算法所能识别的协议在总协议数量中所占的比重越来越少。正是由于这些原因，基于端口识别协议的准确性已经低于50%，算法的错误率高于正确率。

为了提高协议识别的准确性，2002年至2004年间有很多研究利用基于静态特征匹配的算法来识别应用层协议，并且目前绝大部分厂商所研发的协议识别的设备也均采用此类技术。基于静态特征的协议识别技术的准确性是目前所有算法中最高的。Subhabrata Sen使用基于协议签名的方法识别应用层协议，但是其特征串定义仅限于P2P协议的范围，并且往往要检查全报文以匹配多个特征串。总体来讲，该类算法的时空复杂度比较高，识别效率较低。它需要不断地跟踪待识别协议的发展，当协议规范发生变化或者新协议出现时，寻找特征的工作必须重新进行，更新具有一定的滞后性。

所以随着现代化网络中动态端口、数据加密以及隐私保护措施的出现，这些技术将面临巨大的问题。

三、总结

网络协议分类是信息安全领域的经典问题。各类型网络应用的不断涌现，使得该问题一直为研究者持续关注。本文综述了网络协议分类领域的研究方法及研究成果，对基于包头的协议特征匹配方法、基于有效载荷的协议特征匹配方法、基于机器学习的指纹匹配方法以及未知协议指纹特征匹配进行了研究，分别指出它们的优势和不足，及适用的场景。本文还分析了协议分类识别面临的四大挑战与技术手段。高速网络环境中的流量实时分类成果较少，应用价值很大，在这方面还有很大的研究空间。

协议样本特征提取阶段提取的协议指纹和相应协议验证规则集用配置文件描述，系统工作时，将基于该配置文件构建协议指纹哈希表，将相应协议验证规则集翻译成虚拟机程序供协议验证引擎执行。

综上所述，该方法可以满足实时性要求：一旦识别成功，可以智能记忆识别结果，对后继的通信可以起到“协议导航”的作用，既提高了效率，又避免了因识别时机滞后所带来的漏报；识别规则可以灵活配置，可以像升级事件特征库一样定期对协议指纹库进行远程在线升级，以增加新的协议识别规则；效率高，并可基于配置文件在协议识别结果准确率和算法效率之间进行调整，模块灵活性和可操作性强，可满足各种应用场景。