协议指纹自动提取方法及系统与制作流程

本技术提供了一种协议指纹自动提取方法及系统，所述方法包括以下步骤：调用进程抓包工具对指定的电脑网卡进行抓包，输出各进程流量的数据包；获得待分析的进程的流量数据包；将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话；对于一个节点，将所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数据包的协议指纹；直到获得所有节点的流量数据包的协议指纹。本技术与人工提取协议指纹的方法相比，自动提取协议指纹更加精准、快速高效、省时省力。

权利要求书

1.一种协议指纹自动提取方法，其特征在于，所述方法包括以下步骤：

调用进程抓包工具对指定的电脑网卡进行抓包，输出各进程流量的数据包；

获得待分析的进程的流量数据包；

将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话；

对于一个节点，将所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数据包的协议指纹；直到获得所有节点的流量数据包的协议指纹。

2.如权利要求1所述的方法，其特征在于，所述三元组为：IP+端口+协议类型；所述五元组为：源IP+源端口+目的IP+目的端口+协议类型。

3.如权利要求1所述的方法，其特征在于，所述对于一个节点，将所有会话的首个报文内容相互比对，包括：

查找所有首个报文中固定字节重复性最高的内容作为第一字段，再查找所有首个报文中除固定字节外的其他字节重复性最高的内容作为第二字段，将所述第一字段和所述第二字段综合，作为该节点的流量数据包的协议指纹。

4.一种协议指纹自动提取系统，其特征在于，所述系统包括：

数据包获取模块，用于调用进程抓包工具对指定的电脑网卡进行抓包，输出各进程流量的数据包；

进程确定模块，用于获得待分析的进程的流量数据包；

数据包划分模块，用于将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话；

指纹获取模块，用于将一个节点的所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数据包的协议指纹，直至获得所有节点的流量数据包的协议指纹。

5.如权利要求4所述的系统，其特征在于，所述数据包划分模块，进一步用于确定所述三元组为：IP+端口+协议类型；确定所述五元组为：源IP+源端口+目的IP+目的端口+协议类型。

6.如权利要求4所述的系统，其特征在于，所述指纹获取模块，进一步用于查找所有首个报文中固定字节重复性最高的内容作为第一字段，再查找所有首个报文中除固定字节外的其他字节重复性最高的内容作为第二字段，将所述第一字段和所述第二字段综合，作为该节点的流量数据包的协议指纹。

技术说明书

一种协议指纹自动提取方法及系统

技术领域

本技术属于网络技术领域，尤其涉及一种协议指纹自动提取方法及系统。

背景技术

从网络运行和管理者角度说，希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。

在网络协议识别领域，出现了协议指纹识别技术，网络协议指纹，广泛应用于计算机安全的各个方面，例如流量识别、入侵检测系统、网络监控等。现有的协议指纹识别方法为：如要分析QQ旋风的协议指纹，让有协议指纹提取经验的工程师，通过使用抓包工具，如

wireshark反复多次抓取数据包，抓包(packetcapture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。抓到数据包后，人眼对比分析数据报文，提取出QQ旋风的数据报文携带的协议指纹特征。因为不断涌现新的应用软件需要提取协议指纹特征，旧的应用软件也在不断在更新版本，很可能指纹特征需要修改维护，重新提取，这样工作量就很大，比如QQ软件分多个平台的版本，PC平台、安卓平台、ios平台，包括聊天、语音、视频、文件等协议，并且每隔一段时间就有新版本出现，这些都需要投入人力进行分析维护。

因此，如何自动高效地提取协议指纹，降低工作人员的工作强度，提高工作效率，成为技术人员需要考虑的问题。

技术内容

本技术所要解决的技术问题是提供一种协议指纹自动提取方法及系统，提高协议指纹提取的自动化水平，降低工作人员的工作强度，提高工作效率。

为了解决上述技术问题，本技术提供了一种协议指纹自动提取方法，所述方法包括以下步骤：

调用进程抓包工具对指定的电脑网卡进行抓包，输出各进程流量的数据包；

获得待分析的进程的流量数据包；

将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话；

对于一个节点，将所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数据包的协议指纹；直到获得所有节点的流量数据包的协议指纹。

优选的，所述三元组为：IP+端口+协议类型；所述五元组为：源IP+源端口+目的IP+目的端口+协议类型。

优选的，所述对于一个节点，将所有会话的首个报文内容相互比对，包括：

查找所有首个报文中固定字节重复性最高的内容作为第一字段，再查找所有首个报文中除固定字节外的其他字节重复性最高的内容作为第二字段，将所述第一字段和所述第二字段综合，作为该节点的流量数据包的协议指纹。

为了解决上述技术问题，本技术还提供了一种协议指纹自动提取系统，所述系统包括：

数据包获取模块，用于调用进程抓包工具对指定的电脑网卡进行抓包，输出各进程流量的数据包；

进程确定模块，用于获得待分析的进程的流量数据包；

数据包划分模块，用于将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话；

指纹获取模块，用于将一个节点的所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数据包的协议指纹，直至获得所有节点的流量数据包的协议指纹。

优选的，所述数据包划分模块，进一步用于确定所述三元组为：IP+端口+协议类型；确定所述五元组为：源IP+源端口+目的IP+目的端口+协议类型。

优选的，所述指纹获取模块，进一步用于查找所有首个报文中固定字节重复性最高的内容作为第一字段，再查找所有首个报文中除固定字节外的其他字节重复性最高的内容作为第二字段，将所述第一字段和所述第二字段综合，作为该节点的流量数据包的协议指纹。

本技术的协议指纹自动提取方法及系统，根据三元组(IP+端口+协议类型)确定一个节点，五元组(源IP+源端口+目的IP+目的端口+协议类型)确定一条会话，将待分析的流量数据包按三元组确定的节点自动归类，每一个节点按五元组分成多个会话，对于一个节点，将所有会话的首个报文内容相互比对，获得所有首个报文内容中重复性高的字段，作为该节点的流量数