第1章绪论
1.1课题的研究背景和意义
近几年来,随着信息技术的日渐普及和高速发展,互联网上的内容也以海量般的速度急速增长。在方便人们的沟通,提供及时的信息传递,改善公民生活品质的同时,某些不符合国家法律规定、有碍社会主义精神文明、道德文明建设的内容,如恶意代码、有版权限制的作品内容、反动信息、暴力以及色情内容,也出现在互联网上,并且随着中国网民数量的增加,对这类内容的处理稍有不慎就会呈现出泛滥之势;与此同时,作为企业的管理人员也意识到,由于部分员工的不符合工作规定的行为导致网络带宽被大量占用,这不仅降低了工作效率,使企业的利润蒙受损失,而且某些应用也对企业信息的安全带来了严重威胁;而对于网络服务或内容运营商来说,某些占用大量带宽或者有版权争议的内容会严重降低通信服务质量或者对运营商自身带来法律风险;这些现象说明了需要对网络上流传的信息进行审计,防止那些不良的信息在网络上传播。因此对网络上流传的信息进行恰当地、合理地网络内容审计就成为一种必要。网络内容审计系统通常情况下包括数据采集、协议解析、数据剥离、数据审计和系统响应五个方面的工作。若要进行内容审计首先要进行数据采集;接着对采集的数据进行协议分析,得到数据在网络中传输时所用到的应用层协议类型;只有知道了协议类型才能通过特定的工具对数据的协议进行剥离,从而得到网络中传输的真实数据;这样才能对数据进行审计。因此,协议解析是内容审计中不可或缺的一部分。
本文采用的协议分析方法是基于深度包检测的分析方法,深度包检测需要对数据包的协议进行深入的研究,找出能标识该协议的协议特征码。因此本课题研究就捕获了一些协议的大量数据包,并对这些数据包进行分析,从而得到这些协议的特征码。针对分析过的协议的特征,本文建立了一个特征码库。深度包检测的协议分析方法需要通过模式匹配算法把特征码和数据包的协议特征位的字符作比较,从而能够确定协议的类型。本文通过对一些经典的模式匹配方法进行研究,提出了一种新的双向多模式匹配算法,它比传统的多模式匹配算法的匹配速度快并且能够节省存储空间。此算法能够被用于需要使用多模式匹配算法的其他环境中。
1.2课题研究的内容和现状
1.2.1课题研究的内容
网络内容审计技术是针对于网络流量中非法信息传播的问题,综合地运用网络数据包捕获、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播进行有效监管的一种方式。它能够帮助网络信息管理者(如网络管理员)对网络进行动态的实时监控,记录网络上发生的一切,寻找非法的操作和违规的行为,为相关的用户提供事后取证等的手段。在通过相关的工具,如Wireshark、tepdu等,捕获网络数据包后,需要对其中的协议进行相关的分析。由于网络协议的多样性,使用不同协议的网络的数据封装格式也不相同,如TCP/IP协议、户汀M协议、OSPF协议、Net认/are协议等,此处仅对使用广泛的TCP/IP协议进行相关地研究。协议分析是指对捕获的数据包根据TCP/IP协议的标准进行剖析,获取其中的源MAC地址、目的MAC地址、源IP、目的IP以及各自对应的端口、标志位字段等等基本信息,判断基于该协议标准基础之上的应用层协议类型,然后根据不同的分类执行进一步的处理,从而将有效的应用层协议类型及其控制信息与数据内容加以区分,使用不同的处理模块进行进一步的内容审计。这一部分是准确实现网络内容审计的重要步骤,在整个内容审计中发挥着不可替代的作用,而对其识别效率(性能)提高的研究尤为关键。
1.2.2课题研究的现状
为了解决协议解析中协议识别的问题,国内外的研究人员做了大量的研究工作。早期研究的协议识别技术是基于端口的,其所能识别的协议是在IANA中注册过端口号的协议,一般该协议的端口号固定。然而由于新的协议都已不在IANA中注册端口号,所以目前通过固定端口所能识别的协议在总的协议数量中占的比重日渐减少,同时其准确性已经低于了50%,算法的错误率已高于正确率。此外,除了端口匹配的方法,主要的应用层协议识别方法有基于会话的识别方法、基于模型的识别方法和基于深度包检测的识别方法三类。
第2章内容审计技术相关
从第一台计算机的诞生到现在互联网的普及,互联网发展速度如此之快,是人们所料想不到的。尤其最近几年,Intemct在国内外的发展和快速普及,使互联网的应用范围由最初的大学校园和科研机构扩展到政治、军事、科学、经济以及人民的生活等各个领域。越来越多的单位和个人将自己的电脑连接到高速的Intranet和Intemet中,享受着Intemet的技术发展给人们带来的海量和快速信息交换的便利,从而引发了新的信息技术给人们的生活和工作带来的变革。然而,由于网络的快速发展,不可避免地产生许多问题。随着网络的普及和应用,带有色情或暴力的网页不断增多,出现了利用网络传播与法律、社会道德和伦理关系相违背的垃圾信息,这些不良信息内容的泛滥,给社会的稳定带来诸多不变,因此,就需要对网络上流传的信息进行审计,减少不良信息在社会上的传播。
2.1内容审计技术概述
2.1.1基本概念
内容审计是随着网络的迅速发展而出现的新的网络安全技术,是网络安全技术中的核心技术。内容审计是实时检测网络中正发生的事情,并一记录分析网络上的相关数据包,来发现网络中存在的不符合规定的内容和行为,并对这些内容和行为进行记录、报警和阻断等。由于内容审计一记录的是网络上发生过的重要事件,因而在系统出现错误、受到攻击时能准确地找到错误产生的原因和攻击成功的原因,因此审计的结果应该具有防攻击篡改和删除的功能。内容审计的结果主要用来检查网络中发生的威胁网络安全的事件,谁应该为这些事件负责。
第3章 模式匹配算法的研究和典型协议.............. 24-49
3.1 模式匹配算法的研究 ..........24-30
3.1.1 单模式匹配算法.......... 24-27
3.1.2 多模式匹配算法.......... 27-30
3.2 TCP/IP协议分析.......... 30-48
3.2.1 经典的协议分析工具 ..........31-34
3.2.2 TCP/IP协议族.......... 34-48
3.3 本章小结 ..........48-49
第4章 基于双向多模式匹配算法的协议识别.......... 49-70
4.1 特征码库的构造.......... 49-56
4.1.1 BitTorrent协议的特征码.......... 49-51
4.1.2 eDonkey协议的特征码.......... 51-53
4.1.3 基于PPLive协议的特征码.......... 53-54
4.1.4 Tencent QQ协议.......... 54-55
4.1.5 特征库的构造 ..........55-56
4.2 双向多模式匹配协议识别算法.......... 56-66
4.3 实验.......... 66-69
4.4 本章小结..........69-70
第5章 总结与展望.......... 70-72
5.1 总结 ..........70-71
5.2 展望..........71-72
结论
自从1982年,美国学者Delming提出信息过滤的概念以来。针对网络中信息过滤和信息审计的研究逐渐增多。内容审计作为信息处理的一个重要的方面,越来越多地得到研究人员的重视。大量的研究人员把注意力集中到了内容审计系统中对数据的审计技术中,很少有人注意到协议分析在内容审计中的重要作用。本文主要对内容审计系统中的协议分析这个环节展开了深入的研究,只有网络的协议类型识别的准确,才能准确地剥离出数据信息,进而才能对数据信息进行审计活动。协议分析的方法主要有基于内容、基于模型和基于深度包检测的协议分析。本文主要对深度包检测的分析方法进行了深入研究。下面是本文的主要研究工作:
1.本文首先介绍了内容审计和协议分析的概念、内容和研究现状,阐述了进行课题研究的必要性;其次对协议分析过程中用到的模式匹配算法进行了研究,并对TCP/IP协议族的相关内容进行了分析。
2.对当前的应用层协议端口不固定的协议如:QQ、PZP数据流等进行分析,通过对这些协议的大量数据包进行分析,了解这些协议的基本通讯过程,从而找出能标识这些协议的特征码,并对这些特征码进行总结,为后面协议分析做准备。对于新出现的协议可以用这种深度包检测的方法对其进行分析,了解其通讯过程和特征码。
3.在深度包检测的过程中,需要用到模式匹配算法。通过对单向的模式匹配算法AC-BM算法和反向跳跃自动机算法进行分析得到,在多模式匹配的过程中单向的匹配方法的空间使用率较低,本文在此基础上提出了一种新型的双向多模式匹配算法(TW)。这种算法在模式集合规模较大时,其匹配速度要远大于单模式匹配算法,并且其匹配过程中内存使用量也较低。此算法通过了测试,并取得了较好的效果。#p#分页标题#e#
参考文献
[1]Cho,Y.J. Inefficiencies from financial liberalization in the /nbsjlw/ absence of wellfunctioning equity markets[J].Journal of Money, Credit and Banking,1986(18)
[2]Levine,R. Financial development and economic growth: views and agenda[J].Journalof Economic Literature,1997(35)
[3]Kumar,P.C. Inefficiencies from financial liberalization in the absence of wellfunctioning equity markets: A comment[J].Journal of Money, Credit andBanking,1994(26)
[4]Mehra,Y.P. Velocity and variability of money growth: Evidence fromgranger-causality tests[J]. Journal of Money ,Credit and Banking, 1989(21)
[5]Loungani,P. Central bank independence, inflation, and growth in transitioneconomics[J].Journal of Money Credit and Banking 1997(29)
[6]Pagano,M. Financial markets and growth: An overview[J].European EconomicReview,1993(37)
[7]King,R.& Levine,R. Finance entrepreneurship and growth: Theory andevidence[J].Journal of Monetary Economics, 1993(32)
[8]Stiglitz,J.E. The role of the state in Financial markets, Proceedings of the WorldBank Annual Conference on Development Economics, Supplement to the World Bankeconomic[J].Review and the World Bank Research Observer, 1994(2)
[9]Douglass,C.North. Financial system architecture[J].Review of Financial Studies,1992(10)
[10]Hayek, F.A. Individualism and Economic Order[M].Chicago: University of ChicagoPress,1948
