網(wǎng)絡協(xié)議應用研究

摘要近年來網(wǎng)絡信息技術和電子計算機技術在我國發(fā)展迅猛，人們的生活被網(wǎng)絡和科技的飛速進步所改變著，同時也由于科技的進步使生活更加便利。目前，計算機網(wǎng)絡在人們的生活中扮演著不可或缺的角色，支撐維系著計算機網(wǎng)絡平臺正常運轉(zhuǎn)的網(wǎng)絡協(xié)議分析技術已然成為一項關鍵技術，大部分計算機領域的從業(yè)者及研究人員對網(wǎng)絡協(xié)議分析技術十分關注。本文從論述網(wǎng)絡協(xié)議分析技術的基本原理和相關概念出發(fā)，深入研究此項技術的核心內(nèi)涵及框架，根據(jù)此項技術在網(wǎng)絡領域中的實際應用，分析加強網(wǎng)絡協(xié)議分析系統(tǒng)有序運行對于網(wǎng)絡安全的重要意義。關鍵詞：網(wǎng)絡協(xié)議；分析；IT；網(wǎng)絡框架

一、研究背景隨著近年來信息產(chǎn)業(yè)以及計算機技術和網(wǎng)絡通信技術的迅猛發(fā)展，人們的日常生活工作及學習隨著互聯(lián)網(wǎng)的發(fā)展發(fā)生了翻天覆地的改變，計算機網(wǎng)絡便捷了我們的生活同時也豐富了我們的生活。于是，如何更全面地熟悉掌握的計算機網(wǎng)絡，令其更好的發(fā)揮作用，是互聯(lián)網(wǎng)從業(yè)人員所關心的問題。各科研院所、計算機網(wǎng)絡相關企業(yè)和高校也將計算機網(wǎng)絡相關技術作為研究和教學的重點，計算機網(wǎng)絡的產(chǎn)物也成為炙手可熱的商品。二、網(wǎng)絡協(xié)議分析理論介紹（一）網(wǎng)絡協(xié)議分析技術的基本原理在計算機的通信操作中，數(shù)據(jù)以從上到下逐層的傳輸方式進行傳遞，在此過程中每層的數(shù)據(jù)都需要進行處理，將不同的控制信息添加進去，隨后轉(zhuǎn)交給下一層。當數(shù)據(jù)從最后一層傳遞到最上層時候，需要進行逐層傳遞，此時傳遞的信息已經(jīng)在上一層將控制信息過濾，再向上轉(zhuǎn)交。但是在傳送數(shù)據(jù)的過程中，可能會在一定程度上改變數(shù)據(jù)的傳輸順序，這是由于沒有對IP層的傳輸過程進行過多的限制。因此，遞交數(shù)據(jù)的整個過程就類似于一個不斷封裝的生產(chǎn)線。當產(chǎn)品運輸?shù)秸竞?，?shù)據(jù)的遞交就類似于一個不斷拆封的過程。網(wǎng)絡協(xié)議獲取不同層次協(xié)議信息的有效方式就是針對數(shù)據(jù)進行逐層的拆封。（二）網(wǎng)絡協(xié)議相關理論1.網(wǎng)絡協(xié)議計算機網(wǎng)絡領域通常將兩個系統(tǒng)之間為了協(xié)同合作而相互交換信息稱為計算機通信。如果分屬不同系統(tǒng)的實體要進行通信，就需要通信的雙方遵守一些約定和規(guī)則以保證通信的安全性和精準性，例如遵守交換數(shù)據(jù)的編碼方式、格式和同步方式的規(guī)則等，這類規(guī)則就統(tǒng)稱為協(xié)議。2.網(wǎng)絡協(xié)議構成的基本要素協(xié)議即指一種協(xié)定，是通信雙方在通信的方式，通信的范圍和通信的時間段等事情上達成的一致。協(xié)議類似于語言，包含語法、語義和定時關系三個要素：（1）語法，定義了要交換數(shù)據(jù)的結構和格式，對數(shù)據(jù)的順序含義也作出了闡釋。比如，網(wǎng)際協(xié)議IP規(guī)定，數(shù)據(jù)報首部的第一個4bit是版本，第二個4bit是首部長度等。（2）語義，定義了數(shù)據(jù)傳輸實體的相關操作，即對協(xié)議控制報文組成成分含義的約定。比如，IP協(xié)議首部中給出目的IP地址，即表達的語義是根據(jù)目的IP地址進行路由；而其協(xié)議字段定義使用IP層服務的最高協(xié)議，指明IP數(shù)據(jù)報必須交付到的最終目的協(xié)議。（3）定時關系，定義了數(shù)據(jù)傳輸順序并匹配相應速度。在兩個實體進行通信時，數(shù)據(jù)發(fā)送的速率以及發(fā)送的時間上有所體現(xiàn)。三、網(wǎng)絡協(xié)議分析框架（一）網(wǎng)絡協(xié)議分析框架網(wǎng)絡協(xié)議分析框架工作的第一步就是收集系統(tǒng)中傳輸?shù)臄?shù)據(jù)，在這之后根據(jù)對應的協(xié)議對收集的互聯(lián)網(wǎng)數(shù)據(jù)進行相應的分層處理，按照先分析各層協(xié)議的頭部字段內(nèi)容，隨后分析尾部字段內(nèi)容的順序，對互聯(lián)網(wǎng)數(shù)據(jù)包各層協(xié)議所對應的信息內(nèi)容進行收集整合。目前比較常見的各種基于網(wǎng)絡協(xié)議分析的應用平臺的根基都是網(wǎng)絡協(xié)議分析框架，在這一章中我們將對網(wǎng)絡協(xié)議分析框架的關鍵技術進行詳細的討論，其中不僅涉及網(wǎng)絡數(shù)據(jù)采集，還涉及TCP／IP協(xié)議簇和相應的網(wǎng)絡協(xié)議分析。（二）獲取網(wǎng)絡數(shù)據(jù)網(wǎng)絡協(xié)議分析和相應的各應用平臺會利用網(wǎng)絡數(shù)據(jù)采集模塊采集到最原始的數(shù)據(jù)，因為只有及時正確地獲取到網(wǎng)絡數(shù)據(jù)包信息這樣才可以對這些數(shù)據(jù)進行更進一步處理。1.網(wǎng)絡適配器獲取網(wǎng)絡數(shù)據(jù)包在眾多數(shù)據(jù)傳輸實體中都是通過網(wǎng)絡這個媒介完成的，其流經(jīng)途徑從網(wǎng)絡適配器開始，然后是設備驅(qū)動層和數(shù)據(jù)鏈路層，接著是IP層和傳輸層，最后流動到應用程序。以此為基礎，傳輸實體終端想要接收到網(wǎng)絡數(shù)據(jù)，那么就一定要經(jīng)過網(wǎng)絡適配器，所以說協(xié)議分析框架首先要能夠操作處理網(wǎng)絡適配器，進而才可以獲取需要的網(wǎng)絡數(shù)據(jù)。由于網(wǎng)絡數(shù)據(jù)必須要經(jīng)過網(wǎng)絡適配器，作為網(wǎng)絡數(shù)據(jù)采集的基礎的網(wǎng)絡適配器獲取就顯得相當重要了。2.網(wǎng)絡數(shù)據(jù)包的獲取數(shù)據(jù)傳輸系統(tǒng)中各實體應用程序正常工作的基礎就是網(wǎng)絡數(shù)據(jù)包獲取。網(wǎng)絡系統(tǒng)中數(shù)據(jù)龐大，要通過相應的捕獲機制將所有數(shù)據(jù)收集整合；明確所需數(shù)據(jù)類型后，通過對過濾模塊的設置去除掉多余的無用數(shù)據(jù)；然后將對經(jīng)過篩選的數(shù)據(jù)反饋給高層網(wǎng)絡數(shù)據(jù)處理模塊，由高級模塊分析和處理數(shù)據(jù)信息。從一個角度來說，一定要確保網(wǎng)絡上的所有數(shù)據(jù)能用自己的捕獲機制捕獲到，從另一個角度來說，數(shù)據(jù)包捕獲機制的工作效率仍是非常重要且不可忽視的一環(huán)。網(wǎng)絡中的傳輸數(shù)據(jù)要確定被按時獲取，與此同時數(shù)據(jù)包在網(wǎng)絡中的傳輸還不能受到絲毫影響。Internet是當下已有的局域網(wǎng)中，應用更為普遍的一種互聯(lián)網(wǎng)通信協(xié)議標準，所以說Internet的TCP／IP協(xié)議族決定了此網(wǎng)絡協(xié)議分析框架的定位，采集到Internet中最原始的數(shù)據(jù)幀的機制為數(shù)據(jù)包獲取機制，其真實的沒有處理過的原始數(shù)據(jù)也可以提供給網(wǎng)絡協(xié)議分析模塊。3.網(wǎng)絡數(shù)據(jù)包的過慮一般情況下網(wǎng)絡通信傳輸數(shù)據(jù)量是十分龐大的，使用者對于數(shù)據(jù)信息的需要各不相同，結合以上情況，建立一個高效的數(shù)據(jù)篩選機制是必要的，當用戶采集需要的數(shù)據(jù)時只需要設置簡易的過濾規(guī)則即可。數(shù)據(jù)信息過濾機制既可以在計算機存儲中運行，也可以在內(nèi)核空間上運行，如果用戶在內(nèi)核空間運行過濾系統(tǒng)，那獲取數(shù)據(jù)包的效率就可以得到大大的提高。從根本上來說，數(shù)據(jù)包過濾機制在實質(zhì)上其實就是一種對數(shù)據(jù)包信息進行布爾操作的函數(shù)，如果該操作函數(shù)將True反饋，那么這個值就可以通過過濾被存儲，如若不然，該值即被過濾掉。判斷和選擇函數(shù)通常是過濾機制的主要工作基架，如“OR”和“AND”構成，且函數(shù)的數(shù)量不只一個，要視過濾數(shù)據(jù)基數(shù)和復雜程度而定。判斷函數(shù)中的謂詞一般對應著網(wǎng)絡協(xié)議的定義或者對應具體的數(shù)值因此來說實質(zhì)上數(shù)據(jù)包過濾機制就是一個算法問題它核心的任務其實就是怎樣可以用最少的邏輯判斷操作以及最少的時間來完成過濾處理。4.網(wǎng)絡數(shù)據(jù)包的存儲框架為了使用戶可以方便的操作處理網(wǎng)絡數(shù)據(jù)已經(jīng)對獲取的網(wǎng)絡數(shù)據(jù)進行保存，不僅如此，對已獲取的數(shù)據(jù)信息，操作人員可選擇保存地點并命名。數(shù)據(jù)保存一般與文件路徑的設置，存儲的文件的格式等模塊的開發(fā)與實現(xiàn)相關。設置文件路徑的時候可以通過GetModuleFileName函數(shù)獲取當前路徑存儲文件來實現(xiàn)，接著可以利用函數(shù)獲得用戶自己設的文件存儲路徑，最后一步就是移動文件的存儲，這樣就可以把獲取的網(wǎng)絡數(shù)據(jù)包存儲到用戶自己定義的存儲路徑上。一般來講，網(wǎng)絡文件存儲一般有三步：首先是文件打開，然后是寫入，最后是關閉文件。（三）TCP／IP協(xié)議簇計算機網(wǎng)絡協(xié)議體系十分的巨大而且很繁雜，設計人員要方便的對協(xié)議進行設計、說明以及實現(xiàn)等操作，因此一般都會將網(wǎng)絡協(xié)議分層研究，這種處理方法名為參考模型。將網(wǎng)絡協(xié)議分層后分別定義區(qū)分，每一層負責的功能和它們的交互方式都可以由參考模型定義，從常見的角度來講，這些模型包括TCP／IP參考模型以及開放系統(tǒng)互連(OSI)參考模型。TCP／IP參考模型是把它的應用層的功能設計包含到會話層，應用層和表示層等功能，則是由七個層組成的參考模型，它的范圍非常廣，既包括底部負責低層次信令的物理層，也包括頂部負責實現(xiàn)應用軟件的應用層。雖然說這兩種參考模型劃分網(wǎng)絡功能的方式不盡相同，但其實這兩個模型在應用情景中其實很像，處理數(shù)據(jù)的方式也差別不大。由于兩種模型具有一定的相似性，可將TCP／IP參考模型的分析方法用在OSI上。在兩方實體進行數(shù)據(jù)傳輸時，從本質(zhì)上說就是其同層對等實體之間的數(shù)據(jù)交換，每層定義的協(xié)議是他們的交流規(guī)則，該協(xié)議不僅定義了規(guī)則，還定義了算法，報文和其他規(guī)則等等，這個規(guī)則協(xié)議可以確保網(wǎng)絡設備中的軟硬件可以進行高效地網(wǎng)絡通信，并且闡明了相同層對應實體間的通信的方式。（四）網(wǎng)絡協(xié)議分析網(wǎng)絡協(xié)議分析的設計思想來源于TCP／IP參考模型，系統(tǒng)首先會事先預定的標準一點點確定他所屬的部分，然后根據(jù)事先的設置一層一層的分析，首先把最下面一層的內(nèi)容獲取到，接著利用斷口鑒定技術，最后是深層特定值檢測技術等。1.最下面一層的的網(wǎng)絡協(xié)議分析在明白了網(wǎng)絡協(xié)議內(nèi)容存在形式后，對獲取的內(nèi)容細致的研究其數(shù)據(jù)，這便是底層網(wǎng)絡協(xié)議分析。我們現(xiàn)在把IP協(xié)議分析作為一個典型來闡述一下網(wǎng)絡協(xié)議的工作程序，其他的工作形式和內(nèi)容差不多，所以就不再多說了。網(wǎng)絡協(xié)議分析都是以字節(jié)作為單位的，而且不考慮協(xié)議中的選項字段內(nèi)容。該協(xié)議會逐層依次讀出以太網(wǎng)幀等的語句內(nèi)容和含義，然后會根據(jù)協(xié)議所規(guī)定的各種定義來一一采集到有用的信息，這樣就能夠使TCP協(xié)議數(shù)據(jù)包的協(xié)議分析步驟得以實現(xiàn)。除此之外，最下面一層的網(wǎng)絡協(xié)議分析還有一個很重要的任務，那就是開發(fā)每個層次數(shù)據(jù)的存在形式。2.深度特征值的協(xié)議分析底層分析在一般的情況下是可以達到要求的，但是對于隨機端口來說，一般來講利用端口號這一信息來識別處理數(shù)據(jù)是非常不容易的，那該怎么辦呢？在這個時候深度特征檢測就派上用場了，這也就是我們常說的根據(jù)數(shù)據(jù)內(nèi)容特點的辨別。什么是深度特征檢測技術呢？該技術首先會獲取常用的一些應用后臺的交互數(shù)據(jù)包，然后就要對其進行解封裝處理，然后探索研究數(shù)據(jù)內(nèi)容，找出里面存在的規(guī)律，將這些規(guī)律作為標志來為用戶辨別應用協(xié)議所屬的類型。一般來講，我們經(jīng)過統(tǒng)計分析就能夠獲得負載內(nèi)容的特征，然后在采集網(wǎng)絡數(shù)據(jù)包后獲得其負載內(nèi)容字段，這需要利用協(xié)議特征字段的匹配操作來識別其應用協(xié)議類型，即：基于負載內(nèi)容特征的深度包檢測。四、網(wǎng)絡協(xié)議分析系統(tǒng)的應用（一）網(wǎng)絡協(xié)議的分析技術網(wǎng)絡協(xié)議分析的定義是這樣的，系統(tǒng)獲取數(shù)據(jù)包后，分別應用數(shù)據(jù)解析，數(shù)據(jù)歸類，數(shù)據(jù)分析等手段，深入的挖掘更深的有用的的信息，然后根據(jù)這些有用的分析結果管理和維護網(wǎng)絡完全，保證網(wǎng)絡正常運轉(zhuǎn)。協(xié)議的分析方法主要有以下兩種：第一種是簡單分析，這種方法首先會將捕獲的數(shù)據(jù)包進行解碼，獲得它的初始狀態(tài)。然后依據(jù)這個條件不僅能計算這個網(wǎng)絡數(shù)據(jù)的使用情況，還可以計算數(shù)據(jù)量、甚至還包括協(xié)議的個數(shù)等等其他一些重要的數(shù)據(jù)。對這些數(shù)據(jù)做了一些不算復雜的處理后，就能夠更加深入的了解該系統(tǒng)運行情況，不僅如此，有時候還可以發(fā)現(xiàn)隱藏在中間的一些錯誤。第二種叫專家分析，有時候也稱為復雜分析。數(shù)據(jù)包是有其專屬特征的，有了這些特征以后，結合前后的線索就可以使用這個系統(tǒng)分析幫助管理員有效理解協(xié)議的內(nèi)涵，然后再選擇更合適的協(xié)議。不僅如此，這樣還可以有效地節(jié)約網(wǎng)絡帶寬的資源，進而發(fā)現(xiàn)網(wǎng)絡中存在的問題，這樣就可以大大提高網(wǎng)絡傳輸?shù)男?。我們換個角度看，我們這么做不僅可以檢測一下網(wǎng)絡數(shù)據(jù)流，還可以找到這個問題的源頭，從根本上發(fā)現(xiàn)問題，解決問題。此外還可以快速發(fā)現(xiàn)網(wǎng)絡的故障，而且可以針對該故障找出合適的解決方案。（二）在實際應用層面網(wǎng)絡協(xié)議分析技術的意義專家和技術人員在以往研究網(wǎng)絡協(xié)議技術時深入而細致的研究了網(wǎng)絡的入侵及其系統(tǒng)應用管理方面的技術，與之相匹配的系統(tǒng)模型也被開發(fā)出來。網(wǎng)絡協(xié)議分析技術可以檢測入侵行為并和應用進程進行對比，它的價值也被最大程度的開發(fā)出來。高效合理的利用網(wǎng)絡協(xié)議分析的原理設計了檢測入侵行為并查找與之相關的應用進程等實用功能，這給實際應用提供了十分有用的幫助。不僅如此，這種網(wǎng)絡協(xié)議分析技術一方面可以用于人們的生活網(wǎng)絡，另一方面還可以用于人們的工作網(wǎng)絡。五、結論當今社會人們已經(jīng)離不開網(wǎng)絡，計算機網(wǎng)絡已然成為我們生活中很重要的一個部分，作為一種十分重要的分析技術，網(wǎng)絡協(xié)議的分析技術在其網(wǎng)絡應用平臺上有不可取代的地位。很多相關領域的研究人員和開發(fā)人員都很重視這項技術，把網(wǎng)絡協(xié)議的分析技術應用于實際的工作當中，這樣一來不僅能維護網(wǎng)絡的安全，另一方面還可以針對網(wǎng)絡上的數(shù)據(jù)做出及時恰當?shù)陌踩珯z測。這篇論文對網(wǎng)絡協(xié)議的分析技術的原理和技術知識給出了說明，繼而深入的探究了這種技術的核心內(nèi)涵及其主要技術框架，最后結合這項技術的實際應用問題，研究了它對網(wǎng)絡安全產(chǎn)生的十分重要的現(xiàn)實意義。參考文獻[1]馬文靜.網(wǎng)絡協(xié)議分析技術研究[J].信息與電腦（理論版）,2011,(1):95..[2] 馬曉波.網(wǎng)絡協(xié)議分析技術的研究與應用[J].信息通信,2014,(11):105-105,106.[3] 張靜.網(wǎng)絡協(xié)議分析技術的研究與應用[D].中南大學,2012..[4] 李海斌.網(wǎng)絡協(xié)議分析技術