CN101924770A - 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 - Google Patents
一种基于净荷特征识别的qq英雄岛游戏业务识别方法 Download PDFInfo
- Publication number
- CN101924770A CN101924770A CN2010102605231A CN201010260523A CN101924770A CN 101924770 A CN101924770 A CN 101924770A CN 2010102605231 A CN2010102605231 A CN 2010102605231A CN 201010260523 A CN201010260523 A CN 201010260523A CN 101924770 A CN101924770 A CN 101924770A
- Authority
- CN
- China
- Prior art keywords
- hero
- island
- recreation
- game
- game service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于净荷特征识别的QQ英雄岛游戏业务识别方法是通过验证游戏数据包的特征字来识别该业务的,首先使用软件接收游戏数据,提取数据包中具有代表性的值,再运用QQ英雄岛游戏的特征值去验证,从而识别出该业务是否是QQ英雄岛游戏业务。如果验证结果是该游戏业务,那么后面的数据包均是QQ英雄岛游戏数据包,该方法具有良好的可扩展性和准确性,且易于与运营商相关的应用接口对接。
Description
技术领域
本发明是针对当前流行的一款网络游戏QQ英雄岛进行业务识别的研究,主要研究如何基于DPI净荷深度检测有效识别网络游戏业务,并设计了网络游戏业务的识别模型和方法,属于网络新业务流量识别的技术领域,并涉及协议分析领域。
技术背景
随着互联网技术的发展和普及,越来越多的人将业余时间花在互联网上,网络可以提供新闻、视频、直播、网上购物等各种服务,随着网络技术的发展,网络游戏也很快普及,如今游戏画很流畅,种类繁多,人们的娱乐方式也发生了变革,传统的实际操作的游戏已经被网络游戏所取代。大多数流行的游戏是多人协作操作的联机游戏,多个客户端链接到服务器上同时游戏,多数游戏都是及时的,要求操作立即响应,延时不得超过半秒,所以对网络部分的设计要求更高,响应速度更快。
网络游戏不仅带给人们休闲娱乐,还能锻炼玩家的团队协作能力、还能训练长时间集中精神、多个事件同时进行的协调能力。但也不排除沉溺游戏的可能。网络游戏的客户越来越多,也相应带来了一些安全问题,如通过网络游戏散布不健康信息,存在外挂手段,资源下载时可能附带病毒传播,部分玩家使用盗号和黑客工具等,给网络带来不安全的隐患,因此正确识别网络游戏业务,监督用户行为显得尤为重要。
识别游戏业务还存在着技术的不足,现有的技术缺陷主要有:
第一游戏的通信协议时私有的,且其中部分信令使用了加密算法。
第二游戏的版本多,升级比较频繁,而且与多数软件部同的是,它的客户端的升级往往伴随着协议相应的改变。
第三游戏提供文本、数据等业务,各种业务的会话特征均不同,因此对服务器IP地址的“野蛮”封堵并不是解决问题的根本方法,这会导致正常游戏的无法使用。
发明内容
技术问题:本发明的目的是建立一种基于净荷特征字识别的QQ英雄岛游戏识别方法,并设计其模型和算法,通过对QQ英雄岛游戏业务的识别,分析用户的IP地址、目的地址、源端口、目的端口、协议类型,从而进一步分析用户的行为和目的。
技术方案:本发明提供了有效识别QQ英雄岛游戏业务的技术框架,并且详细设计了识别算法,如图1所示。从图中可以看出,从图中可以看出,系统分为四个层面,从上到下依次为:数据采集层、协议分析层、流量识别(业务感知)层和游戏业务表现层。
这里明确一个概念,所谓游戏会话泛指用户登录后的所有游戏交互行为,包括用户登录、身份认证、文本聊天、游戏过程、退出等交互过程。一个游戏账号对应一个游戏会话业务。
本文的关键方法在流量识别层,该层主要方法是QQ英雄岛会话识别方法。通过测试和数据分析,发现游戏会话具备一定的净荷特征,游戏登录过程或链接请求过程中数据包格式分为头部、内容、和尾部三个部分,固定为:头部、命令、序列号、游戏账号、尾部。QQ英雄岛的净荷总长度为19个字节,头部和尾部是固定字节,头部字节内容固定为0x11,0x00,0x26,0x5B或者是0x11,0x00,0xx26,0x5F,尾部字节内容固定为0x26或者是0x22,并且packet flag为push|ack,通过DPI净荷深度检测机制识别出QQ会话的分子,再根据请求登录令牌,识别出数据包中的游戏账号,以标志一个游戏会话。
然而游戏版本的改动或者协议的改动均会带来游戏净荷特征的变化,因此也必然会使得上述识别方法发生一定的变化。如何能够不改动系统而通过简单的配置就完成对游戏新业务特征的适应是算法的一大挑战,正则表达式正是一个非常好的解决方案,本方法采用正则表达式来表现游戏的会话特征,因此当游戏版本发生变化或者特征发生变化时,本算法只需要简单的修改正则表达式的特征配置文件即可,无需重新修改代码和方法即做到快速高效的更新。
以下详细介绍该设计的各个层面及其识别方法。
1、数据采集层
功能:该层面提供对于不同链路的数据采集或者复制技术,如100/1000MFE、ATM、SDH不同速率的采集或者复制技术,以保障数据完整、可靠地传送至上一层面——协议分析层。
接口:该层面与上一层面的接口为比特流数据,向上层提供各种分组信息。
2、协议分析层
功能:该层面提供对于TCP/IP数据的协议解析,目的是为了向上层提供足够的IP分组头部和TCP/UDP的头部信息及其必要的分组净荷信息,以满足上一层面流量识别层对业务的识别和感知。
接口:该层面的协议分析深度应当分析至TCP/IP协议栈的第四层,即传输层。其上层提供的接口为流(flow)。流应当由一个五元组来确定,即flow=(源IP、目的IP、源端口、目的端口、协议类型)。此处的协议类型指代TCP或者UDP。如果有必要,该流中还可存放部分净荷,捕获的净荷大小可配置。
3、流量识别(业务感知)层
功能:该层面是整个架构的核心层面,主要根据提供下层即协议分析层提供的IP分组头部和TCP/UDP的头部信息及其净荷信息等特征有效识别出游戏业务,匹配失败的分组则丢弃。
接口:向应用层面提供的接口应当是五元组,即源IP、目的IP、源端口、目的端口、协议类型。
4、游戏业务应用层以及表现层
对于游戏业务的识别具有很广泛的意义和应用价值。主要可以应用在:
★游戏业务流量统计以及分析;
★游戏业务性能分析;
★游戏流量控制和信息跟踪;
★游戏流量异常检测;
★网络和信息安全监控。
具体实施方式
系统采用分光方式将10G流量负载均衡分流至若干台业务识别处理机上,业务识别处理机完成核心算法的实现,从纷繁复杂的分组中提取、分析、识别和关联出的游戏业务。
游戏业务监控系统分为分光设备、游戏业务监控设备、核心数据库服务器和应用服务器等实体。10G流量由分光设备分往若干台游戏监控服务器设备,每台游戏监控服务器设备承载千兆的流量,识别出业务流量之后,将业务信息实时传送至核心数据库,并由应用服务器发布,接入拓扑。
系统接入方式分为两种:一种为串联模式,即将游戏监控系统串联入骨干网中实施检测和控制;另一种为并联模式,即采用监听的方式完成检测和控制。串联模式会影响整体的网络拓扑,且多多少少会为原有网络带来隐患,因此更推荐对原有网络无任何影响的并联式接入。
系统的分光设备从10G链路上实时的分光下来之后,将其分为若干路流量指向若干台监控设备,监控设备采用高性能的流量采集技术接收所有的流量,并自动调用游戏业务识别引擎对流量进行实时的识别,并根据用户自定义的策略进行控制,如封堵、干扰或者放行等。
Claims (1)
1.一种基于净荷特征识别的QQ英雄岛游戏业务识别方法,其特征在于该方法用QQ英雄岛游戏数据包独具的特征数据进行校验,具体步骤为:
1)初始化哈希表:该哈希表用于存储QQ英雄岛游戏会话标志,即游戏会话ID,该标志用游戏注册账号和其IP地址元组来表示,一个游戏账号只能对应一个IP地址,哈希表所有的元素初始化为0,即所有游戏账号对应的IP地址初始化为0;
2)接收所要检测的游戏TCP数据包;
3)根据QQ英雄岛游戏净荷特征进行DPI检测,以判断该数据包是否为QQ英雄岛游戏数据包,再判断该分组是否为QQ英雄岛游戏的请求登录令牌数据包;如是,则获取游戏账号,转步骤4);如果匹配失败,丢弃数据包,转步骤2);
4)判断该会话是否存在于哈希表中,如是,则丢弃数据包转步骤2);如不是,转步骤5);
5)保存该游戏媒体流数据包标志,该标识是由QQ英雄岛游戏账号和登录IP地址两元组组成;
6)QQ英雄岛游戏识别成功,结束。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102605231A CN101924770A (zh) | 2010-08-24 | 2010-08-24 | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102605231A CN101924770A (zh) | 2010-08-24 | 2010-08-24 | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101924770A true CN101924770A (zh) | 2010-12-22 |
Family
ID=43339414
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102605231A Pending CN101924770A (zh) | 2010-08-24 | 2010-08-24 | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101924770A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103391243A (zh) * | 2013-08-22 | 2013-11-13 | 苏州辉游网络有限公司 | 基于聊天工具平台的在线游戏系统 |
CN105721250A (zh) * | 2016-03-03 | 2016-06-29 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
-
2010
- 2010-08-24 CN CN2010102605231A patent/CN101924770A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103391243A (zh) * | 2013-08-22 | 2013-11-13 | 苏州辉游网络有限公司 | 基于聊天工具平台的在线游戏系统 |
CN105721250A (zh) * | 2016-03-03 | 2016-06-29 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
CN105721250B (zh) * | 2016-03-03 | 2019-01-22 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110753064B (zh) | 机器学习和规则匹配融合的安全检测系统 | |
CN103428261B (zh) | 通过硬件辅助处理http报头的方法 | |
CN101924769A (zh) | 一种基于净荷特征识别的搜狐天龙八部游戏业务识别方法 | |
KR101269671B1 (ko) | 게임 테스트를 위한 게임 문법 기반의 패킷 캡쳐 분석 장치 및 그 방법 | |
CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
CN105162626B (zh) | 基于众核处理器的网络流量深度识别系统及识别方法 | |
CN102664789B (zh) | 一种大规模数据的处理方法和系统 | |
CN106330584B (zh) | 一种业务流的识别方法及识别装置 | |
CN105847078B (zh) | 一种基于dpi自学习机制的http流量精细化识别方法 | |
WO2011050545A1 (zh) | 一种未知应用层协议自动分析方法 | |
CN103139315A (zh) | 一种适用于家庭网关的应用层协议解析方法 | |
CN105634835B (zh) | 一种上网数据的云审计方法、系统以及审计路由器 | |
CN102571946B (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
CN110213124A (zh) | 基于tcp多会话的被动操作系统识别方法及装置 | |
CN104468252A (zh) | 一种基于正迁移学习的智能网络业务识别方法 | |
CN106789242A (zh) | 一种基于手机客户端软件动态特征库的识别应用智能分析引擎 | |
CN104994016A (zh) | 用于分组分类的方法和装置 | |
JP2010218185A (ja) | システム分析方法、装置及びプログラム | |
CN104657747A (zh) | 一种基于统计特征的网络游戏流分类方法 | |
CN105207997B (zh) | 一种防攻击的报文转发方法和系统 | |
CN106559498A (zh) | 风控数据收集平台及其收集方法 | |
CN105245588B (zh) | 一种web业务端口分离处理的方法 | |
CN101321097A (zh) | 基于净荷深度检测的腾讯网络直播业务识别方法 | |
US20190104139A1 (en) | Generation of malware traffic signatures using natural language processing by a neural network | |
CN101924770A (zh) | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
DD01 | Delivery of document by public notice |
Addressee: Wuxi Kaichuang Information Technology Co., Ltd Document name: Notification of before Expiration of Request of Examination as to Substance |
|
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101222 |