一种基于阿瑞斯报文特征字的协议识别方法

摘要

一种基于ARES协议报文特征字的协议识别方法提供了ARES协议报文的特征库，同时提出了一种基于ARES协议特征字的协议识别方法，用于解决当前国内外对ARES协议研究甚少以及对其识别困难等问题。ARES协议识别系统包括异常检测、DPI数据包扫描和打印日志三个功能模块。其中核心的识别模块采用了Linux下的Netfilter机制和DPI技术，保证了识别系统的实时性和可靠性。本发明可以高效地识别出ARES协议的各类报文流量，进而服务于ARES协议分析系统。具有很好的通用性和可扩展性。

主权项

一种基于阿瑞斯报文特征字的协议识别方法，其特征在于该方法包括的步骤为：步骤1).进行需求分析，对阿瑞斯ARES协议识别系统需要完成的功能进行分析，并生成需求分析文档；步骤2).按照步骤1的分析文档设计模块，对各模块的功能进行详细分析，生成各个模块之间的逻辑关系和功能说明文档；步骤3).按照步骤1的分析文档，确定使用Linux系统下的Netfilter机制实时处理流经的网络流量这一关键技术，保证ARES协议识别系统的实时性、安全性和可扩展性；步骤4).通过对具体的ARES协议进行研究及其对应的ARES系统的载荷进行特征提取，建立ARES协议特征库；步骤5).按照步骤2的功能说明文档和步骤3确定的关键技术以及步骤4建立的ARES协议特征库，设计与实现ARES协议识别系统的识别报文模块；在协议分析系统中识别效率影响着整个系统的工作效率，系统根据报文长度以及固定位特征字来协议识别对等网络中特定的ARES协议报文；步骤6).按照步骤2的功能说明文档，设计与实现ARES协议识别系统对识别后的报文提取相关信息，将其打印到系统日志中保存；步骤7).按照步骤2的功能说明文档，设计与实现用户界面，在PC端可以使用微软Visual C++编程实现更为美观、易操作的界面，将系统日志中的识别信息打印到界面中的对话框中。