【技术实现步骤摘要】
一种HSMS头部信息丢失的SECS2数据包识别方法
[0001]本专利技术属于通信网络
,具体涉及HSMS头部信息丢失的SECS2数据包识别方法。
技术介绍
[0002]随着网络技术的发展,互联网业务类型也日益走向多元化,在常规的流量识别中,可以针对数据包头部格式进行数据流量的识别,当头部信息丢失,检测网络流量类型的效率将大幅降低。在这种情况下,精准识别每种业务类型,也就是识别每种网络流量的类型,成为网络学术研究和部署运营的关注重点。
[0003]网络流量是记录和反映网络及其用户活动的重要载体,网络流量识别可用于网络态势的评估、应用程序的发展分析以及精细化运营等。对于无固定TCP端口的应用层协议,应用层的头部一般位于连接或交互会话的开始阶段,而协议最鲜明的特征在应用层协议的头部,例如HTTP协议(GET、POST操作指令)、SMTP协议(EHELO、MAIL FROM,RCPT TO等指令)。而当传输应用层协议的数据负载时,明显的协议特征已经不存在,即若对于随机截获的一段数据包,很有可能并不具有明显的协议特征,...
【技术保护点】
【技术特征摘要】
1.一种HSMS头部信息丢失的SECS2数据包识别方法,其特征在于,具体步骤如下:步骤1:使用HashMap存储会话连接的信息和状态,将未知包读入,在HashMap中查找是否有这条连接的信息;如果没有,则新建一个结点,对这条连接进行存储;如果有,则查看其状态:当出现下列情况,判定后续数据包为SECS2数据包——
①
前面的数据包中,已经拿到了HSMS头部,且连接还未关闭;
②
前面的数据包已经被判定为SECS2数据段,且连接还未关闭;否则,进入下一步;步骤2:对未知包进行初步检测,判别其是否具有HSMS头部;如果有,可以直接判定为SECS2数据包,在HashMap中进行记录,直接跳入结果输出步骤;否则进入步骤3,进行判定;步骤3:对于SECSII数据包的格式进行判定;截取未知数据包的载荷PAYLOAD,对单字节逐个扫描,寻找第一个枚举值作为判定切入点,对此枚举值提取长度信息,跳过长度进行下一轮枚举值匹配,直至边界或跳出边界;若匹配中出现某字节不是应当出现的枚举值,说明之前的切入点Byte有误,跳回并继续寻找;匹配结束反馈权值,进入步骤4;具体流程为:步骤301:对未知数据包进行截取,循环读取未知数据包,对未知数据包首先进行包的预处理,提取出数据内容存放到缓存中,将缓存内容作为一段普通的文本;步骤302:对数据包的载荷PAYLOAD进行单字节的逐个扫描,寻找第一个可能是SECSII数据中类型字段的字节,该字节的值属于一个枚举值集合,并从该字节中提取长度和类型信息;步骤303:根据步骤302提取的长度和类型信息,进行跳跃识别和判定,若某次跳跃中发现,下一个枚举值没有正确出现,则认为初始枚举值判断错误,回到初始枚举值后一位置继续进行步骤302操作;步骤304:当跳跃到边界或跳出边界都符合枚举值规律,则认为切入点寻找正确;若跳跃到边界或跳出边界依旧未发现一段数据符合设定的SECS2规律,则认为该数据段不可能属于SECS2数据,对符合SECS2数据进行占比统计,并进行权值计算,进入步骤4;其中,具体寻找切入点枚举值以及跳跃识别的方法如下:逐个字节扫描数据包的PAYLOAD部分;提取单个字节的3
‑
8bit,若出现枚举值,将其作为切入点,提取该字节的1
‑
2bit,作为长度字节信息l,即后续l长度为数据的长度信息L;若该枚举值表示数据为ASCII码,则对L长度的数据进行类型的识别,否则,直接跳过L长度不进行识别;当ASCII码类型识别成功,则评定时给予更高的权值;步骤4:对数据包进行逐字节扫描后,对该数据包为SECS2数据包的概率进行两个维度的综合评定,给出两个维度的判定结果,以及综合判定的结果,判定结束。2.根据权利要求1所述的方法,其特征在于,步骤1中:所述使用HashMap存储会话链接信息和状态,包括:设计HashMap结点的数据结构,以数据包的五元组:源IP地址,源端口号,目的IP地址,目的端口,会话ID,进行两字节异或的方式作为HashK...
【专利技术属性】
技术研发人员:吴承荣,伍鹏,唐璇,张志华,蔡骏飞,
申请(专利权)人:中芯国际集成电路制造上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。