◆王文濤

?

安全協(xié)議綜合識別方法

◆王文濤

（解放軍91033部隊 山東 266003）

安全協(xié)議識別技術(shù)是信息安全領(lǐng)域的關(guān)鍵問題?，F(xiàn)有的三類協(xié)議識別方法各有優(yōu)缺點。本文首先分析研究安全協(xié)議識別特征項，在此基礎(chǔ)上，綜合利用現(xiàn)有協(xié)議識別方法，給出安全協(xié)議識別策略，提出安全協(xié)議識別算法，識別報文所屬的安全協(xié)議類型。實驗結(jié)果表明本文方法可以有效識別安全協(xié)議。

安全協(xié)議；協(xié)議識別；端口特征；負(fù)載內(nèi)容特征；流量統(tǒng)計特征

0 引言

當(dāng)前大量網(wǎng)絡(luò)安全關(guān)鍵應(yīng)用都以其所采用網(wǎng)絡(luò)協(xié)議的詳細(xì)描述為基礎(chǔ)，網(wǎng)絡(luò)協(xié)議流量分析也成為各種安全應(yīng)用的重要環(huán)節(jié)?；诰W(wǎng)絡(luò)報文數(shù)據(jù)，識別信息系統(tǒng)所采用的協(xié)議類型是網(wǎng)絡(luò)協(xié)議流量分析的關(guān)鍵內(nèi)容，有助于對各種網(wǎng)絡(luò)應(yīng)用實施監(jiān)控和管理，能夠有效降低系統(tǒng)面臨的安全風(fēng)險，提升信息系統(tǒng)抵御惡意攻擊的能力。

隨著密碼技術(shù)的廣泛應(yīng)用，安全協(xié)議被大量應(yīng)用在互聯(lián)網(wǎng)各種核心、關(guān)鍵應(yīng)用中，與安全協(xié)議相關(guān)的各種數(shù)據(jù)在網(wǎng)絡(luò)流量中比重日益增加，對安全協(xié)議的識別已成為當(dāng)前網(wǎng)絡(luò)安全技術(shù)中關(guān)鍵技術(shù)之一。

現(xiàn)有協(xié)議識別方法主要包括基于端口映射的方法、基于負(fù)載內(nèi)容的方法、基于流量統(tǒng)計特征的方法。在協(xié)議識別的早期，許多傳統(tǒng)應(yīng)用大都采用由IANA分配的固定端口，因此可以依據(jù)端口號快速地識別出相應(yīng)的網(wǎng)絡(luò)協(xié)議。隨著采用動態(tài)端口技術(shù)和復(fù)用端口技術(shù)的應(yīng)用不斷增加，基于端口映射的識別方法在很多協(xié)議上識別失效，人們開始研究基于負(fù)載內(nèi)容的識別方法，利用協(xié)議負(fù)載的內(nèi)容特征進(jìn)行識別。該方法能夠?qū)崿F(xiàn)精確的協(xié)議識別，但需要預(yù)先建立待識別協(xié)議的特征項，對新版本協(xié)議的識別存在一定的滯后性；對包含加密內(nèi)容的安全協(xié)議，由于可提取的特征較為稀少，特征提取難度較大。為了不依賴于報文的負(fù)載內(nèi)容識別協(xié)議，基于流量統(tǒng)計特征的協(xié)議識別方法受到了關(guān)注，其基本思想是：相同協(xié)議的網(wǎng)絡(luò)流具有相似的流量統(tǒng)計特征，可依據(jù)網(wǎng)絡(luò)報文的流量統(tǒng)計特征完成對協(xié)議的識別。相對基于負(fù)載內(nèi)容的協(xié)議識別方法，基于流量統(tǒng)計特征的協(xié)議識別方法可以識別全加密的協(xié)議，性能高，但是準(zhǔn)確性和健壯性不如基于負(fù)載內(nèi)容的方法。由上可知，這三類協(xié)議識別方法各有優(yōu)缺點。如何結(jié)合各種方法的優(yōu)點，使其優(yōu)勢互補是協(xié)議識別領(lǐng)域的重要研究方向。

本文在分析研究安全協(xié)議特征項的基礎(chǔ)上，綜合利用現(xiàn)有三類協(xié)議識別方法，給出安全協(xié)議識別策略，提出一種安全協(xié)議綜合識別方法，并在此基礎(chǔ)上識別網(wǎng)絡(luò)流量所屬的安全協(xié)議類型。

1 安全協(xié)議識別特征項分析

本節(jié)對安全協(xié)議識別特征項進(jìn)行分析研究，下面進(jìn)行詳細(xì)闡述。

（1）端口特征項

與普通網(wǎng)絡(luò)協(xié)議相似，安全協(xié)議也有各自對應(yīng)的通信端口，通過向這些固定的端口發(fā)送和接收數(shù)據(jù)完成協(xié)議連接和數(shù)據(jù)交換。因此，可借助端口特征識別安全協(xié)議。

（2）負(fù)載關(guān)鍵詞特征項

絕大多數(shù)的網(wǎng)絡(luò)協(xié)議都在報文格式中定義一個或多個用于標(biāo)識協(xié)議報文類型和傳遞相關(guān)控制信息的協(xié)議字段，該字段稱為協(xié)議關(guān)鍵詞。協(xié)議的關(guān)鍵詞可以是協(xié)議包頭中的特征字符串，包括協(xié)議名稱、版本號等，也可以是協(xié)議控制信息的特征字符串，包括命令碼、標(biāo)識信息等。關(guān)鍵詞在協(xié)議中頻繁出現(xiàn)，是組成協(xié)議特征的重要元素。

大多數(shù)安全協(xié)議都存在明文部分，用于在會話開始時協(xié)商參數(shù)，因此通常也存在關(guān)鍵詞字段。例如，SSL協(xié)議通信雙方使用明文交互版本號和相關(guān)參數(shù)等，在SSL協(xié)議（TLSV1.2版本）的ClientHello報文頭中，第0個偏移位置的字節(jié)值為“0x16”，表示協(xié)議類型為SSL握手協(xié)議，第1-2偏移位置的2個字節(jié)值為“0x03,0x03”，表示協(xié)議版本采用TLS1.2。

（3）統(tǒng)計特征項

安全協(xié)議中包含大量密文信息，其可用明文關(guān)鍵詞信息相對普通網(wǎng)絡(luò)協(xié)議更為稀少，但安全協(xié)議相關(guān)的流量統(tǒng)計特征不受加密影響，容易提取，其中數(shù)據(jù)包大小、包到達(dá)時間間隔是關(guān)鍵特征。Charles Wright等人認(rèn)為：數(shù)據(jù)包大小、數(shù)據(jù)包到達(dá)時間間隔以及到達(dá)方向是不受加密影響的，并基于上述特征識別加密協(xié)議。Este等人利用互信息量比較網(wǎng)絡(luò)流特征的時空穩(wěn)定性，發(fā)現(xiàn)TCP連接建立后的第一個數(shù)據(jù)包大小所含的信息量最大，并在不同的時間和地點采集的數(shù)據(jù)上進(jìn)行測試，驗證了數(shù)據(jù)包大小是最穩(wěn)定的特征。

（4）總結(jié)

為對協(xié)議流量進(jìn)行早期識別，P. Haffner指出只需要流中前64B負(fù)載就可以很好地發(fā)掘協(xié)議識別特征。本文采用端口、流中前64B負(fù)載的關(guān)鍵詞、流中前N個數(shù)據(jù)包的大小和包到達(dá)間隔時間作為安全協(xié)議識別特征。

2 安全協(xié)議識別方法

本節(jié)給出安全協(xié)議識別策略，并在此基礎(chǔ)上提出安全協(xié)議識別算法。

2.1 安全協(xié)議識別策略

協(xié)議在網(wǎng)絡(luò)運行中以IP數(shù)據(jù)包形式進(jìn)行傳輸。同一個雙向流中的數(shù)據(jù)包通常屬于同一種協(xié)議，將數(shù)據(jù)包組合成流進(jìn)行考慮可以降低復(fù)雜度。識別策略如下：

（1）基于流識別協(xié)議。安全協(xié)議識別在流的基礎(chǔ)上進(jìn)行，對每一個流記錄識別狀態(tài)，包括已識別（標(biāo)記協(xié)議類型）、尚未識別（標(biāo)記正在使用的識別方法）、不可識別三種狀態(tài)，直到流結(jié)束。對每一個到達(dá)的數(shù)據(jù)包判斷其所在流是否識別，若識別，將該數(shù)據(jù)包并入該流，更新流狀態(tài)；若未識別，則需要進(jìn)一步利用該數(shù)據(jù)包進(jìn)行識別。

（2）基于反向流識別協(xié)議。當(dāng)流（SIP、SPort、DIP、DPort、Transport_protocol）被識別為協(xié)議A時，其反向流（DIP、DPort、SIP、SPort、Transport_protocol）同樣識別為協(xié)議A。

（3）分階段識別協(xié)議。對協(xié)議特征庫中的每一個安全協(xié)議，給出各自的識別策略，設(shè)置其所使用的識別方法和優(yōu)先級。端口特征是最簡單、復(fù)雜度最低的特征。負(fù)載關(guān)鍵詞特征——流中前64B負(fù)載中關(guān)鍵詞是最精準(zhǔn)的特征，并且由于只需考慮流中前64B負(fù)載，復(fù)雜度較低。現(xiàn)有的協(xié)議識別系統(tǒng)大都是基于負(fù)載關(guān)鍵詞特征的。統(tǒng)計特征——負(fù)載統(tǒng)計特征和數(shù)據(jù)包統(tǒng)計特征容易獲取，復(fù)雜度低，但屬于模糊特征，其識別準(zhǔn)確度不如負(fù)載關(guān)鍵詞特征。本文對識別方法設(shè)置優(yōu)先級，按照端口識別——>DPI——>基于統(tǒng)計特征識別的順序，分階段進(jìn)行識別。在每個階段，若成功識別，則標(biāo)記相應(yīng)的協(xié)議類型；若未識別，則采用下一階段進(jìn)行識別；若所有階段均未識別，則將該流標(biāo)記為不可識別。

2.2 安全協(xié)議識別算法

識別算法如圖1所示。

圖1 安全協(xié)議識別算法

Step1：對每一個到達(dá)的網(wǎng)絡(luò)數(shù)據(jù)包，查找其所屬流是否存在。若所屬流不存在，產(chǎn)生新的流標(biāo)識，將流識別狀態(tài)標(biāo)記為“尚未識別”，識別方法設(shè)置為“端口識別”；若所屬流存在，執(zhí)行Step2；

Step2：查找數(shù)據(jù)包所屬流或者反向流的識別狀態(tài)，若為“已識別”和“不可識別”，則不再對數(shù)據(jù)包進(jìn)行識別，輸出相應(yīng)的協(xié)議類型；若為“尚未識別”，則執(zhí)行Step3；

Step3：對尚未識別協(xié)議類型的數(shù)據(jù)包，根據(jù)其正在使用的識別方法進(jìn)行在線特征提取。若正在使用的識別方法為端口識別，則從數(shù)據(jù)包的傳輸層頭部獲取流的端口特征，并利用端口識別規(guī)則與實例特征庫中的協(xié)議端口值進(jìn)行匹配。若存在相同的協(xié)議端口值，則輸出相應(yīng)的協(xié)議類型；若不存在相同的協(xié)議端口值，則執(zhí)行Step4，并將所采用的識別方法設(shè)置為“負(fù)載關(guān)鍵詞識別”；

Step4：根據(jù)協(xié)議關(guān)鍵詞特征提取報文中的消息內(nèi)容，并進(jìn)行匹配。

①當(dāng)協(xié)議關(guān)鍵詞為固定偏移關(guān)鍵詞特征時，在數(shù)據(jù)包的應(yīng)用層負(fù)載中根據(jù)關(guān)鍵詞的偏移、長度查找相應(yīng)字段，并與關(guān)鍵詞的值進(jìn)行匹配，若相同，則成功匹配，繼續(xù)與協(xié)議中下一關(guān)鍵詞進(jìn)行匹配，直到最后一個關(guān)鍵詞匹配完畢；若不同，則不屬于該類協(xié)議，與下一協(xié)議的關(guān)鍵詞特征進(jìn)行匹配；

②當(dāng)協(xié)議關(guān)鍵詞為非固定偏移關(guān)鍵詞時，則需要在數(shù)據(jù)包的應(yīng)用層負(fù)載中查找與關(guān)鍵詞值相同的字段，若存在，則成功匹配，繼續(xù)與協(xié)議中下一關(guān)鍵詞進(jìn)行匹配，直到最后一個關(guān)鍵詞匹配完畢；若不存在，則不屬于該類協(xié)議，與下一協(xié)議的關(guān)鍵詞特征進(jìn)行匹配；

③若協(xié)議關(guān)鍵詞序列全部成功匹配，則成功識別，輸出該報文所屬流的協(xié)議類型，并將流識別狀態(tài)標(biāo)記為“已識別”；

④若協(xié)議特征庫中所有協(xié)議的關(guān)鍵詞特征均與該報文所屬流不同，則將流識別方法設(shè)置為“統(tǒng)計特征識別”。

Step5：提取數(shù)據(jù)包所屬流的統(tǒng)計特征，并根據(jù)協(xié)議特征庫中的統(tǒng)計特征進(jìn)行識別。在協(xié)議特征庫中每個協(xié)議的統(tǒng)計特征由類簇中心和距離閾值刻畫。計算提取的特征向量與所有協(xié)議類簇中心之間的歐式距離。①若特征向量與所有協(xié)議類簇中心之間的歐式距離均大于給定的距離閾值，則將該流識別狀態(tài)標(biāo)記為“不可識別”；②若存在協(xié)議類簇中心使得歐式距離小于給定的距離閾值，則選擇距離最近的類簇中心作為對應(yīng)的協(xié)議類型，并將流識別狀態(tài)標(biāo)記為“已識別”。

3 實驗評估

3.1 實驗數(shù)據(jù)

為驗證本文方法的識別效果，設(shè)計實現(xiàn)了安全協(xié)議在線監(jiān)測平臺，并將其部署在實驗室交換機的旁路上。

對SSL、SSH、NS和sof協(xié)議進(jìn)行訓(xùn)練，并將這四類協(xié)議的特征存入安全協(xié)議特征庫中。本文的網(wǎng)絡(luò)流量除了以上4類協(xié)議外，還需要包含安全協(xié)議特征庫中未出現(xiàn)的流量，以測試識別方法對新類型協(xié)議的發(fā)現(xiàn)能力。

實驗中，采用10臺主機與交換機相連，并在主機上運行協(xié)議。本文選取SSL協(xié)議、SSH協(xié)議、NS公鑰協(xié)議、sof協(xié)議以及Skype協(xié)議、普通網(wǎng)絡(luò)協(xié)議（包括HTTP、FTP等）進(jìn)行實驗，其中SSL、SSH和Skype協(xié)議是網(wǎng)絡(luò)中廣泛應(yīng)用的安全協(xié)議；NS公鑰協(xié)議和Sof屬于經(jīng)典基礎(chǔ)安全協(xié)議。SSL協(xié)議采用OpenSSL與Apache實現(xiàn)、SSH協(xié)議采用OpenSSH實現(xiàn)、NS公鑰協(xié)議和sof協(xié)議的應(yīng)用程序采用Spi2Java工具生成、Skype應(yīng)用程序可從其官網(wǎng)下載，F(xiàn)TP服務(wù)和HTTP服務(wù)利用IIS開啟。隨后，在交換機上通過端口鏡像，將全部網(wǎng)絡(luò)流量鏡像到管理服務(wù)器上。在管理服務(wù)器上運行安全協(xié)議監(jiān)測平臺，對協(xié)議進(jìn)行在線識別。協(xié)議流量數(shù)據(jù)集如表1所示。

表1 協(xié)議流量數(shù)據(jù)集

3.2 識別性能指標(biāo)

本文采用兩個性能指標(biāo)（識別率和誤識別率）衡量協(xié)議識別效果。協(xié)議A的識別率是指：被正確識別為協(xié)議A的流量占協(xié)議A整個流量的百分比。協(xié)議A的誤識別率是指：被錯誤識別為協(xié)議A的流量占協(xié)議A整個流量與錯誤識別流量之和的百分比。識別率越高，誤識別率越低，說明相應(yīng)的識別效果越好。

3.3 實驗結(jié)果

本文設(shè)計實現(xiàn)了安全協(xié)議在線監(jiān)測平臺，以識別協(xié)議類型，識別效果如圖2所示。

圖2 協(xié)議識別效果圖

協(xié)議識別結(jié)果如圖3所示：(1)該平臺在識別出安全協(xié)議實例特征庫已有協(xié)議的同時，能夠區(qū)分出實例特征庫中未出現(xiàn)的協(xié)議，具有發(fā)現(xiàn)新類型協(xié)議的能力；(2)對每類協(xié)議，識別率基本在91.7%以上，誤識別率在5.8%以下，可以較好地識別協(xié)議。

(a)協(xié)議識別率（基本在91.7%以上）

(b)協(xié)議誤識別率（基本在5.8%以下）

圖3 協(xié)議識別結(jié)果

4 結(jié)束語

本文提出了一種安全協(xié)議綜合方法，給出了安全協(xié)議識別策略，在此基礎(chǔ)上提出了安全協(xié)議識別算法，識別網(wǎng)絡(luò)報文所屬的協(xié)議類型。實驗結(jié)果表明，本文方法可以較好地解決安全協(xié)議識別問題。

[1]Xu K, Zhang M, Ye MJ, Chiu DM, Wu JP. Identify P2P Traffic by Inspecting Data Transfer Behavior[J]. Journal of Computer Communications，2010.

[2]Aceto G,Dainotti A,Donato W,et al.PortLoad: Taking the Best of Two Worlds in Traffic Classification[A]. Proceeding of IEEE INFOCOM Conference on Computer Communicaitons Workshops[C].San Diego,California, USA，2010.

[3]Freire MM, Carvalho DA, Pereira M. Detection of Encrypted Traffic in eDonkey Network Through Application Signatures[A].First International Conference on Advances in P2P Systems[C].Sliema, 2009.

[4]Crotti M,Dusi M,Gringoli F,et al.Traffic Classification through Simple Statistical Fingerprinting[J].ACM SIGCOMM Computer Communication Review. 2007.

[5]Crotti M,Gringoli F,Salgarelli L.Optimizing statistical classifiers of network traffic[A]. Proceedings of the 6th International Wireless Communications and Mobile Computing Conference[C]. ACM,2010:758-763.

[6]Bacquet C,Gumus K,Tizer D,Zincir-Heywood A.N, Heywood M.I.A Comparison of Unsupervised Learning Techniques for Encrypted Traffic Identification[J]. Journal of Information Assurance and Security, 2010.

[7]Wright C, Monrose F,Masson G M.On inferring application protocol behaviors in encrypted network traffic[J].Journal of Machine Learning Research 7 (December 2006).

[8]Este A，Gringoli F，Salgarelli L．On the stability of the information carried by traffic flow features at the packet level[J].ACM SIGCOMM Computer Communication Review,2009.

[9]Tongaokar A, Keralapura R, Nucci A. SANTaClass: A Self Adaptive Network Traffic Classification System[A]. IFIP Networking,2013.

[10]Haffner P,Sen S,Spatscheck O,et al.ACAS: automated construction of application signatures[A]. Proceedings of the ACM SIGCOMM workshop on Mining network data[C]. ACM,2005.