CN105721250B - 网络协议识别方法和系统 - Google Patents
网络协议识别方法和系统 Download PDFInfo
- Publication number
- CN105721250B CN105721250B CN201610121782.3A CN201610121782A CN105721250B CN 105721250 B CN105721250 B CN 105721250B CN 201610121782 A CN201610121782 A CN 201610121782A CN 105721250 B CN105721250 B CN 105721250B
- Authority
- CN
- China
- Prior art keywords
- class message
- game
- message
- user information
- game control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000014509 gene expression Effects 0.000 claims abstract description 80
- 230000005540 biological transmission Effects 0.000 claims abstract description 49
- 238000001914 filtration Methods 0.000 claims description 11
- 238000004321 preservation Methods 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 abstract description 8
- 230000002452 interceptive effect Effects 0.000 description 4
- 235000013399 edible fruits Nutrition 0.000 description 3
- 230000014759 maintenance of location Effects 0.000 description 3
- 206010019133 Hangover Diseases 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络协议识别方法和系统,所述方法包括:对游戏进行抓包操作得到预设个数个包含游戏名字的网络数据包;分别将各个网络数据包中预设长度的报文进行比对,找到游戏的用户信息类报文;分别对游戏进行游戏控制操作和图像传输操作,找到游戏的游戏控制类报文和图像传输类报文;分别对用户信息类报文、游戏控制类报文和图像传输类报文进行正则表达式匹配;分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;根据过滤结果,结合用户信息类报文、游戏控制类报文和图像传输类报文确定游戏的网络协议。本发明区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种网络协议识别方法和系统。
背景技术
随着网络技术的不断发展,各种网络下载工具,在线购物,娱乐媒体以及网络游戏也应运而生,而支持这些应用正常运行的是各种各样的网络协议。现有网络协议识别方法中,主要包括基于端口号的识别,基于流量统计特性识别和基于人工建立正则表达式的识别方法。由于多个游戏可共用同一特殊端口,基于端口号的识别方法对于共用一个端口的多个游戏,不能详细识别出每个游戏的网络协议;由于多个网页游戏之间的流量差异非常小,基于流量统计特性的识别方法不能详细识别各个网页游戏的网络协议;不同游戏间的报文结构存在很大差异,人工建立正则表达式的方法只能识别某一固定报文结构的游戏网络协议。
发明内容
基于上述情况,本发明提出了一种网络协议识别方法和系统,准确识别游戏类网络协议,满足实际应用需要。
为了实现上述目的,本发明技术方案的实施例为:
一种网络协议识别方法,包括以下步骤:
对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
一种网络协议识别系统,包括:
游戏抓包模块,用于对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
第一报文比对模块,用于分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
第二报文比对模块,用于分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
正则表达式匹配模块,用于分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
正则表达式过滤模块,用于分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
网络协议识别模块,用于根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
与现有技术相比,本发明的有益效果为:本发明网络协议识别方法和系统,进入游戏进行抓包;对数据包中报文进行比对找出用户信息类报文;对游戏进行控制操作,找出相应的游戏控制类报文和图像传输类报文;建立合理的正则表达式过滤,区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性。
附图说明
图1为一个实施例中网络协议识别方法流程图;
图2为基于图1所示方法一个具体示例中网络协议识别方法流程图;
图3为一个实施例中网络协议识别系统结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步的详细说明。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不限定本发明的保护范围。
一个实施例中网络协议识别方法,如图1所示,包括以下步骤:
步骤S101:对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
步骤S102:分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
步骤S103:分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
步骤S104:分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
步骤S105:分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
步骤S106:根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
从以上描述可知,本发明网络协议识别方法,对多种网络游戏进行抓包处理,进行分析比对找出游戏的用户信息类报文;在游戏运行过程中进行相应控制操作,对产生的报文进行分析找出游戏控制类报文和图像传输类报文;建立合理正则表达式进行过滤,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性。
此外,在一个具体示例中,根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议的步骤包括:
当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
当对进行正则表达式匹配后的用户信息类报文进行过滤时,如果此时在游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确,即在对进行正则表达式匹配后的用户信息类报文进行过滤时限制了游戏中与用户信息类报文对应的相应操作,无法在游戏中完成相应操作;进行与所述用户信息类报文对应的操作成功,判定所述用户信息类报文错误,即在对进行正则表达式匹配后的用户信息类报文进行过滤时还能进行与用户信息类报文对应的相应操作,说明找到的用户信息类报文错误,需要重新查找所述游戏的用户信息类报文;
同理当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确,进行与所述游戏控制类报文对应的操作成功,判定所述游戏控制类报文错误;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确,进行与所述图像传输类报文对应的操作成功,判定所述图像传输类报文错误。
此外,在一个具体示例中,分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配的步骤包括:
根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。
为了提高过过滤的识别率,降低误识别率,可采用报文内容与关键字相结合的方法进行双重匹配,例如QQ游戏的报文为0xfe xx xx xx xx xx xx 0x4e 0x6e 0x10 0x190x71,其报文内容显示中有关键词qqminigame,则该报文匹配的正则表达式为^(.\xfe+\\+\x4e\x6e\x0c\x10)+\name^qqminigame(此为双重过滤)其中xx xx xx xx xx xx为变化报文也就是随机报文,因此用\\将其随机匹配掉。
此外,在一个具体示例中,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。
游戏的特殊性在于其人机交互,或者说人与人之间的互动性。因此,对于游戏协议的分析,需要从动态的角度进行,它的方法是在游戏内进行相应的互动操作,找出隐藏的游戏协议特性(如购买物品、切换地图场景)等等。一般来说,当游戏内进行购买物品时,报文的若干位置会发生明显变化,也就是游戏控制类报文会发生显著变化。另外,在交互类游戏进行地图转换时,由于进行传图操作,因此在各图片结束时会有一部分固定报文拖尾,不同游戏都存在这个现象,即游戏中的图像传输类报文发生变化,因此这也是游戏协议的一个明显特性。
此外,在一个具体示例中,所述对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包的步骤包括:
在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;
在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
登陆一种游戏并运行(对于客户端类),通过wireshark网络抓包工具将通过的网络数据包截下,从中找出含有游戏名的网络数据包并留存,满足实际需要,适合应用。
为了更好地理解上述方法,以下详细阐述一个本发明网络协议识别方法的应用实例。
如图2所示,该应用实例可以包括以下步骤:
步骤S201:登陆一种游戏并运行(对于客户端类),通过wireshark网络抓包工具将通过的网络数据包截下,从中找出预设个数个含有所述游戏名字的网络数据包并留存;
步骤S202:分别将上述各个网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
步骤S203:分别对所述游戏进行购买物品操作和切换地图场景操作,将购买物品操作前后上述各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与购买物品操作对应的游戏控制类报文;将切换地图场景操作前后上述各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与切换地图场景操作对应的图像传输类报文;
步骤S204:根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
步骤S205:根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
步骤S206:根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配;
步骤S207:利用L7filter软件分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
步骤S208:当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
步骤S209:根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
从以上描述可知,本实施例进入游戏进行抓包;对数据包中报文进行比对找出用户信息类报文;对游戏进行控制操作,找出相应的游戏控制类报文和图像传输类报文;建立合理的正则表达式过滤,区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性。
一个实施例中网络协议识别系统,如图3所示,包括:
游戏抓包模块301,用于对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
第一报文比对模块302,用于分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
第二报文比对模块303,用于分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
正则表达式匹配模块304,用于分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
正则表达式过滤模块305,用于分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
网络协议识别模块306,用于根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
如图3所示,在一个具体示例中,所述网络协议识别模块306包括:
判断单元3061,用于当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
识别单元3062,用于根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
当对进行正则表达式匹配后的用户信息类报文进行过滤时,如果此时在游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确,即在对进行正则表达式匹配后的用户信息类报文进行过滤时限制了游戏中与用户信息类报文对应的相应操作,无法在游戏中完成相应操作;进行与所述用户信息类报文对应的操作成功,判定所述用户信息类报文错误,即在对进行正则表达式匹配后的用户信息类报文进行过滤时还能进行与用户信息类报文对应的相应操作,说明找到的用户信息类报文错误,需要重新查找所述游戏的用户信息类报文;
同理当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确,进行与所述游戏控制类报文对应的操作成功,判定所述游戏控制类报文错误;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,如果此时在游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确,进行与所述图像传输类报文对应的操作成功,判定所述图像传输类报文错误。
如图3所示,在一个具体示例中,所述正则表达式匹配模块304包括:
第一匹配单元3041,用于根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
第二匹配单元3042,用于根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
第三匹配单元3043,用于根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。
为了提高过过滤的识别率,降低误识别率,可采用报文内容与关键字相结合的方法进行双重匹配,例如QQ游戏的报文为0xfe xx xx xx xx xx xx 0x4e 0x6e 0x10 0x190x71,其报文内容显示中有关键词qqminigame,则该报文匹配的正则表达式为^(.\xfe+\\+\x4e\x6e\x0c\x10)+\name^qqminigame(此为双重过滤)其中xx xx xx xx xx xx为变化报文也就是随机报文,因此用\\将其随机匹配掉。
此外,在一个具体示例中,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。
游戏的特殊性在于其人机交互,或者说人与人之间的互动性。因此,对于游戏协议的分析,需要从动态的角度进行,它的方法是在游戏内进行相应的互动操作,找出隐藏的游戏协议特性(如购买物品、切换地图场景)等等。一般来说,当游戏内进行购买物品时,报文的若干位置会发生明显变化,也就是游戏控制类报文会发生显著变化。另外,在交互类游戏进行地图转换时,由于进行传图操作,因此在各图片结束时会有一部分固定报文拖尾,不同游戏都存在这个现象,即游戏中的图像传输类报文发生变化,因此这也是游戏协议的一个明显特性。
此外,在一个具体示例中,所述游戏抓包模块301在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
登陆一种游戏并运行(对于客户端类),通过wireshark网络抓包工具将通过的网络数据包截下,从中找出含有游戏名的网络数据包并留存,满足实际需要,适合应用。
基于图3所示的本实施例的系统,一个具体的工作过程可以是如下所述:
首先游戏抓包模块301在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存;第一报文比对模块302分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;第二报文比对模块303分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个所述网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;正则表达式匹配模块304中的第一匹配单元3041根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;第二匹配单元3042根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;第三匹配单元3043根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配;正则表达式过滤模块305分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,网络协议识别模块306中的判断单元3061判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判断单元3061判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判断单元3061判定所述图像传输类报文正确;识别单元3062根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
从以上描述可知,本发明区别游戏与其他网络应用的特点,逆向分析出游戏网络协议,提高游戏网络协议识别的准确性,适合应用。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络协议识别方法,其特征在于,包括以下步骤:
对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
2.根据权利要求1所述的网络协议识别方法,其特征在于,根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议的步骤包括:
当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
3.根据权利要求1或2所述的网络协议识别方法,其特征在于,分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配的步骤包括:
根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。
4.根据权利要求1所述的网络协议识别方法,其特征在于,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。
5.根据权利要求1所述的网络协议识别方法,其特征在于,所述对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包的步骤包括:
在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;
在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
6.一种网络协议识别系统,其特征在于,包括:
游戏抓包模块,用于对游戏进行抓包操作得到预设个数个包含所述游戏名字的网络数据包;
第一报文比对模块,用于分别将各个所述网络数据包中预设长度的报文进行比对,根据比对结果找到所述游戏的用户信息类报文;
第二报文比对模块,用于分别对所述游戏进行游戏控制操作和图像传输操作,将所述游戏控制操作前后各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述游戏控制操作对应的游戏控制类报文;将所述图像传输操作前后各个网络数据包中所述预设长度的报文进行比对,根据比对结果找到所述游戏中与所述图像传输操作对应的图像传输类报文;
正则表达式匹配模块,用于分别对所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文进行正则表达式匹配;
正则表达式过滤模块,用于分别对进行正则表达式匹配后的用户信息类报文、游戏控制类报文和图像传输类报文进行过滤;
网络协议识别模块,用于根据过滤结果,结合所述用户信息类报文、所述游戏控制类报文和所述图像传输类报文确定所述游戏的网络协议。
7.根据权利要求6所述的网络协议识别系统,其特征在于,所述网络协议识别模块包括:
判断单元,用于当对进行正则表达式匹配后的用户信息类报文进行过滤时,在所述游戏中进行与所述用户信息类报文对应的操作失败,判定所述用户信息类报文正确;当对进行正则表达式匹配后的游戏控制类报文进行过滤时,在所述游戏中进行与所述游戏控制类报文对应的操作失败,判定所述游戏控制类报文正确;当对进行正则表达式匹配后的图像传输类报文进行过滤时,在所述游戏中进行与所述图像传输类报文对应的操作失败,判定所述图像传输类报文正确;
识别单元,用于根据判定正确的用户信息类报文、游戏控制类报文和图像传输类报文确定所述游戏的网络协议。
8.根据权利要求6或7所述的网络协议识别系统,其特征在于,所述正则表达式匹配模块包括:
第一匹配单元,用于根据所述用户信息类报文的内容和所述用户信息类报文对应的关键字,对所述用户信息类报文进行正则表达式匹配;
第二匹配单元,用于根据所述游戏控制类报文的内容和所述游戏控制类报文对应的关键字,对所述游戏控制类报文进行正则表达式匹配;
第三匹配单元,用于根据所述图像传输类报文的内容和所述图像传输类报文对应的关键字,对所述图像传输类报文进行正则表达式匹配。
9.根据权利要求6所述的网络协议识别系统,其特征在于,所述游戏控制操作包括购买物品操作,所述图像传输操作包括切换地图场景操作。
10.根据权利要求6所述的网络协议识别系统,其特征在于,所述游戏抓包模块在进入所述游戏后,截取通过wireshark网络抓包工具的网络数据包;在截取的网络数据包中查找预设个数个包含所述游戏名字的网络数据包并保存。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610121782.3A CN105721250B (zh) | 2016-03-03 | 2016-03-03 | 网络协议识别方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610121782.3A CN105721250B (zh) | 2016-03-03 | 2016-03-03 | 网络协议识别方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105721250A CN105721250A (zh) | 2016-06-29 |
CN105721250B true CN105721250B (zh) | 2019-01-22 |
Family
ID=56157246
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610121782.3A Active CN105721250B (zh) | 2016-03-03 | 2016-03-03 | 网络协议识别方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105721250B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110071849B (zh) * | 2019-04-09 | 2020-10-13 | 中南民族大学 | 一种安全协议实施安全性分析方法、装置、介质及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442535A (zh) * | 2008-12-19 | 2009-05-27 | 中山大学 | 一种基于关键词序列的应用识别与跟踪方法 |
CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
CN101924770A (zh) * | 2010-08-24 | 2010-12-22 | 无锡开创信息技术有限公司 | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20120070130A (ko) * | 2010-12-21 | 2012-06-29 | 한국전자통신연구원 | 가상 게임 클라이언트 생성 방법 및 그 장치 |
-
2016
- 2016-03-03 CN CN201610121782.3A patent/CN105721250B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442535A (zh) * | 2008-12-19 | 2009-05-27 | 中山大学 | 一种基于关键词序列的应用识别与跟踪方法 |
CN101707532A (zh) * | 2009-10-30 | 2010-05-12 | 中山大学 | 一种未知应用层协议自动分析方法 |
CN102082762A (zh) * | 2009-11-30 | 2011-06-01 | 华为技术有限公司 | 一种协议识别方法、设备及系统 |
CN101924770A (zh) * | 2010-08-24 | 2010-12-22 | 无锡开创信息技术有限公司 | 一种基于净荷特征识别的qq英雄岛游戏业务识别方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105721250A (zh) | 2016-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111181932B (zh) | Ddos攻击检测与防御方法、装置、终端设备及存储介质 | |
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN108234404B (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
CN106789242B (zh) | 一种基于手机客户端软件动态特征库的识别应用智能分析方法 | |
CN108156146B (zh) | 一种用于识别异常用户操作的方法与装置 | |
CN106921637A (zh) | 网络流量中的应用信息的识别方法和装置 | |
CN110430187B (zh) | 工控系统中的通信报文安全审计方法、设备和存储介质 | |
CN106972985B (zh) | 加速dpi设备数据处理与转发的方法和dpi设备 | |
CN101697545A (zh) | 安全事件关联方法、装置及网络服务器 | |
CN109818964B (zh) | 一种DDoS攻击检测方法、装置、设备以及存储介质 | |
CN108964960A (zh) | 一种告警事件的处理方法及装置 | |
CN106330951B (zh) | 一种网络防护方法、装置和系统 | |
US20160173354A1 (en) | System and Method to Analyze Congestion in Low Latency Network | |
US20190319923A1 (en) | Network data control method, system and security protection device | |
CN111314179A (zh) | 网络质量检测方法、装置、设备和存储介质 | |
CN114172706A (zh) | 智能音箱网络流量异常的检测方法、系统、设备和介质 | |
CN113573093A (zh) | 直播数据分析方法、装置、电子设备及存储介质 | |
CN115460153A (zh) | 令牌桶容量的动态调整方法、存储介质及电子装置 | |
CN105721250B (zh) | 网络协议识别方法和系统 | |
CN105357071A (zh) | 一种网络复杂流量识别方法及识别系统 | |
KR20170054215A (ko) | 넷플로우 기반 연결 핑거프린트 생성 및 경유지 역추적 방법 | |
CN111628905B (zh) | 数据包的抓取方法、装置及设备 | |
CN106506400A (zh) | 一种数据流识别方法及出口设备 | |
CN107483508B (zh) | 报文过滤方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |