网络协议大全(精选8篇)

网络协议大全篇1

关键词：OmniPeek；协议分析；端口镜像；校园网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2009)04-0828-03

OmniPeek Network Protocol Analysis Based on Port Mirroring

WEI Ping1，2

(1、School of Information Technology Jiangnan University,Wuxi 214122,China;work Center of WXSTC, Wuxi 214028,China)

Abstract: Campus Network is a highly integrated system project、 With an increasing plexity of the interaction among a variety of network devices, applications, and networking users, network management tends to be more important、 OmniPeek network protocol software based on switch port mirroring, can capture and analyze network data, help network administrators monitor network status, remove network errors quickly and optimize network performance、

Key words: omniPeek; protocol analysis; port mirroring; campus network

1 引言

随着信息化在我国的不断深入和发展，校园网为高等教育事业注入了新的活力。Internet的接入扩大了校园网的应用范围，网络技术的高速发展带来了许多新技术应用，各类网络信息平台广泛应用于“产、学、研”。这些都成为衡量高等院校信息化水平的重要标志，信息化全面带动了我国高等教育事业的现代化。在校园网物理拓扑基础架构已经确立，各种网络设备、应用程序与联网用户的交互作用却日益复杂。在大型网络架构中，确保网络的快速响应和高效率运行，这是基本的网络故障检测和网络管理研究的范畴。

如何对校园网进行全方位有效的管理，及时掌握网络的运行状况并在网络发生故障后能及时分析、排查，已成为网络管理员的重要工作并日益受到重视。网络分析软件提供了复杂环境中维护、分析和管理网络的优秀工具。OmniPeek是美国WildPackets公司推出的一款功能强大的协议分析软件，与sniffer类似，它提供了优秀的网络实时管理和故障检测等功能。

2 网络协议分析在校园网管理中的重要性

校园网是一个高度集成的系统工程，由于各种不确定因素，网络管理员时刻面对着大量网络管理方面的问题，需要全面了解网络的运行状况，及时作出判断和决策。如：

1）当前网络中有多少计算机在访问Internet？每个校园网内部IP所占的数据流量有多大？

2）网络中运行着哪些应用协议？各种应用协议所产生的传输流量占多大的比例？

3）某个时段校园网与Internet的通信总量有多少？网络利用率如何，有没有传输性能上的瓶颈？能否优化网络性能？

4）通讯主机的源MAC地址、源IP地址、源端口是什么？目的MAC地址、目的IP地址、目的端口是什么?数据包解码后的具体内容是什么？能否实时显示每个IP的网络连接图？

5）有没有广播风暴和网络攻击行为？有没有中毒计算机在不断向网络发送攻击数据包？能否及时判断和排查等等？

上述都涉及到了校园网中比较复杂的、深层次管理方面的问题，在许多情况下可以利用网络协议分析软件来辅助判断和决策。

3 OmniPeek网络分析软件的特点

OmniPeek利用计算机网卡捕获交换机镜像端口数据，并实时统计分析出结果，能全面反映网络底层的运行状况。OmniPeek主要特点如下：

1）提供了针对整个网络系统（或者子网）的实时故障检测。

2）包括功能强大的、与现有网络很高相关性的分析工具，能识别大量主流的应用协议。

3）界面友好、清晰直观，与sniffer相比，操作和配置均比较简单。

4）基于数据包流的专家级和应用程序级分析，支持分布式错误分析与无线网络。

5）以OSI（开放系统互联）参考模型为基础，提供了从物理层到应用层的全七层实时解码、显示网络数据包。

6）自动生成各类分析报告及图表，为保护并优化网络性能提供决策依据。

4 OmniPeek网络分析平台的构建

建议采用Windows2000server以上操作系统作为OmniPeek的OS平台，为了确保网络抓包和协议分析的高效、稳定，通常采用高性能CPU处理器、大容量内存和千兆网卡的服务器平台。在小型局域网中（一般不超过20台计算机），可以采用百兆集线器（HUB）抓包。但在大型网络中，核心层采用HUB抓包会造成网络传输性能的严重瓶颈。所以通常采用高性能的千兆智能交换机，如思科的Catalyst系列全千兆三层交换机。利用思科的SPAN（Switched Port Analyzer）功能，把交换机的某1个或者多个源端口中全部接收和发送的数据流实时复制（镜像）到某1个目的端口上，其中目的端口连接OmniPeek的服务器网卡。

网络中心通常分析整个校园网与Internet出口处的网络通讯数据包，也可以针对某个VLAN、或某个汇聚层、接入层交换机分析数据包。以思科WS-C3750G-24T-S交换机为例，进行如下配置：其中交换机的Port1连接防火墙的lan口，Port2连接核心交换机Catalyst6509的千兆以太网模块，Port24作为Port1的镜像端口。即把校园网中全部通过防火墙的数据包复制到Port24,同时Port24连接OmniPeek的服务器网卡，以便抓包和分析统计。

思科WS-C3750G-24T-S交换机的SPAN端口镜像配置命令如下：

Switch>enable

Switch#config terminal

Switch(config)#no monitor session 1

Switch(config)#monitor session 1 source interface gigabitethernet1/0/1

Switch(config)#monitor seesion 1 destination interface gigabitethernet1/0/24

Switch(config)#end

Switch#copy running-config startup-config

Switch#exit

5 OmniPeek的具体应用与分析实例

启动OmniPeek软件后，点击“NewCapture”，设定抓包缓冲区“Bufferr Size”的大小，如“300 M”字节,如图1所示。当服务器存在多块网卡，必须在“Adapter”中选择当前用于抓包的网卡。点击“确定”后选中“Start Capture”，即开始一次新的抓包过程。在网络使用的高峰时间段，或者网络发生故障、性能不稳定、传输流量异常等情况时启用OmniPeek，就可以实时分析网络的运行状况。

1） 流量分析与交换机端口速率优化。

通常网络流量越大，对整个网络造成的影响就越严重。根据校园网内部每个IP的网络流量从大到小进行排序，发现某些IP流量较大，如图2所示。主要是实验室服务器、图书馆光盘镜像服务器、多媒体教室计算机等。服务器集中控制实验机房计算机的上网接入，OmniPeek能检测出其WAN口网卡的流量。光盘镜像服务器用于图书馆非书资源的上传和下载，而多媒体教室的计算机经常要用到视频课件点播服务，因此产生的流量都比较大。其它一些计算机流量大，是因为有的用户在滥用BT、迅雷、Emule等P2P工具进行大流量下载。因此在接入层交换机端口，根据不同的应用需求，灵活的设置不同端口速率，如服务器等设置端口速率上下行达到20M ,普通办公计算机设置端口速率上下行达到2M，以优化网络的整体传输速率。对于一些常用的工具软件、视频课件等，网络中心可以在校园网核心层设置一台内部FTP服务器，以 LAN方式供用户下载，从而大大减轻Internet出口路由器的传输压力。

2） 某个子网上网故障分析和排查。

某天上午，9网段用户报告网络故障，反映其整个网段不能接入校园网。启用OmniPeek协议分析后，根据IP通讯列表排序。发现整个192、168、9、0网段的计算机与Internet没有任何通讯流量，但其它网段用户均能正常访问Internet。可以初步排除核心交换机、防火墙和Internet出口路由器的故障。因此故障原因可以从核心交换机的9网段光纤模块起，到其汇聚和接入层交换机及综合布线处查找。经排查，发现9网段汇聚交换机端光纤模块松动，导致其整个子网数据传输链路中断。经重新插紧光纤模块后，数据链路接通，上网恢复正常。

3） 网络攻击分析和紧急处理。

某天下午，校园网用户普遍反映上网速度奇慢，Internet网页不能正常打开，网络传输性能急剧下降。启用OmniPeek协议分析后，根据IP通讯列表排序，发现核心层192、168、0、150这台主机不停的向网络发送大量UDP攻击数据包，上传流量特别大。再仔细检查这台计算机，发现系统日期被篡改，杀毒软件已被禁用，肯定是感染了某类恶意计算机病毒引起的网络攻击。为了恢复网络的正常工作，采取临时措施果断地拔下这台主机的网线，整个校园网立即恢复了畅通。后经重新安装操作系统，彻底查杀计算机病毒，修复全部补丁， 192、168、0、150主机恢复了正常工作。在大型校园网中，由于联网用户众多，网络中心可以架设一台网络杀毒服务器，集中部署客户端杀毒软件，对联网计算机进行病毒查杀和病毒库统一升级，以提高网络的整体安全性。

4） 网络协议应用状况查询。

在OmniPeek的分析结果中，点击“Protocols”，可以查看在某时段网络协议的应用分布情况，如图3所示。网络管理员可以及时掌握当前主要网络协议的占用比率，以及哪些IP在运行这些协议，比如HTTP传输协议所占的百分比。双击“HTTP”后，显示出这个时段哪些IP用户在通过HTTP浏览网页，并可了解每个IP的HTTP传输字节数与数据包数。点击 “BitTorrent”后，可以看到当前哪些IP在运行BT下载软件等。图3所示，在某个网络使用的高峰时段，UDP协议所占比例较大，达到72%左右，反映出当前基于UDP协议的网络应用程序利用率所占比例最大。

5） IP网络通讯连接图

在OmniPeek的分析结果中，点击“Peer Map”，可以清晰的看到每个IP之间的网络连接交通图。如IP为192 、168、0、198与218、90、175、169的两台主机建立了连接，而在网络协议中这个连接是基于HTTP协议的，说明内网中IP为192 、168、0、198的主机登录到IP为218、90、175、169的主机，利用HTTP协议浏览网页。通过IP网络通讯连接图还可以查看网络广播、组播等连接情况。

6） 网络统计结果汇总表

在OmniPeek的分析结果中，点击“Summary”，可以查看在某时段网络利用率的统计汇总表，如图4所示。包括开始分析的日期与时间、网络丢包数、总的传输数据包数、当前利用率bits/s、平均利用率等参数。还包括了Email、FTP、ICMP、VoIP分析与Internet攻击、WEB URLs等统计信息，为网络管理员分析校园网总出口处的运行状况提供了全面的统计数据。

7） 协议过滤与数据包分析

为了有针对性的分析某些网络协议，可以点击“Filters”,选择一个或多个协议进行分析。以FTP协议为例，筛选FTP（FTP data or control packets）后，开始一次抓包过程。这时OmniPeek对进出防火墙的的“FTP连接与传输”单独抓包并分析。点击“Packets”后查看列表，可以看到源IP为192、168、0、193的主机与目的IP为218、90、174、165的FTP服务器进行连接并下载数据，同时显示出这两台主机网卡的MAC地址，如图5所示。双击某记录后，能够详细的显示这个IP数据包的完整结构信息。在解码数据“summary”一栏中，显示出登录用户名为“test”,密码为“123456”。这说明了OmniPeek能够对数据包中隐含的深层次信息进行分析解码，同时反映了客户机利用FTP下载，登录用户名与密码以明文方式发送存在着一定的安全隐患。在一些网络安全级别较高的环境中，可以通过SSH等加密方式进行远程主机登录和连接，以提高安全性。

■

图5

以上是OmniPeek的基本应用与常见的实例分析，其它一些高级特性，如广域网分析、无线网络分析、“Expert”专家分析、Omni DNX分布式引擎应用等，可以随着网络架构的规模与大小、复杂程度等，作进一步深入研究与灵活应用。

6 结束语

网络协议分析在网络管理中的地位日益重要，并在广域网、企业网、校园网、高校宿舍网、宽带小区网等各类大中型网络中得到了广泛的应用。OmniPeek、sniffer 等协议分析软件的许多设计思想和功能特性被集成到“行为监管器”等网络安全设备中，用于网络日志的记录与监管。作为高职高专院校，可以把它列为一门重要的计算机网络实训课程，在修完“网络基础”、“TCP/IP协议原理”、“网络工程”和“交换机与路由器配置”课程后学习。对于学生理论联系实际、深刻理解网络协议的基本原理与应用，提高动手能力和网络管理水平，以及积累一定的实践经验都有很大的帮助。

参考文献：

[1] /products、

网络协议大全篇2

关键词：CDP协议；网络攻击；安全防范

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 16-0000-01

The Security of Network Attacks Based on CDP Protocol

Jiang Baohua

(Changchun University,Tourism College,Department of Basic,Changchun130607,China)

Abstract:CDP (Cisco Discovery Protocol) is one of Cisco's data link layer discovery protocol that runs on Cisco routers,bridges,access servers and switches and other devices used to find and view details of a neighbor important agreements,such as IP address,software version,platform, performance,and the native VLAN、Intruders often use denial of service (DoS) attacks such as access to these information,and use this information for CDP deception,resulting in significant security threats、

Keywords:CDP protocol;Network attacks;Security

一、CDP协议发现原理

要发现CDP协议的安全漏洞，就要知道其工作原理。CDP协议与现有的网络协议类型无关，主要用来发现与本地设备直接相连的Cisco设备。每个运行CDP协议的设备都会定期发送宣告消息，来更新邻居信息。同时每个运行CDP的设备也会接收CDP消息来记录邻居设备的信息。这些信息包括设备名称、本地接口、硬件版本、IOS版本、IOS平台、工作模式、本地VLAN、连接保持等。利用这些信息可以描述整个网站的拓扑情况。而且这些报文信息不加密，是明文。CDP发现直接相连的其他Cisco设备，，并在某些情况下自动配置其连接。CDP的优势非常明显，包括发现的速度、准确性、所获取的信息的详细程度。

CDP协议相关的命令与作用如下：（1）SHOW CDP命令获取CDP定时器和保持时间信息。（2）在全局模式下使用命令CDP TIMER和CDP HOLDTIME在路由器上配置CDP定时器和保持时间。（3）在路由器的全局配置模式下可以使用NO CDP RUN命令完全的关闭CDP。若要在路由器接口上关闭或打开CDP，使用NO CDP ENABLE和CDP ENABLE命令。（4）Show cdp neighbor命令可以显示有关直连设备的信息。要记住CDP分组不经过CISCO交换机这非常重要，它只能看到与它直接相连的设备。在连接到交换机的路由器上，不会看到连接到交换机上的其他所有设备。（5）Show cdp traffic命令显示接口流量的信息，包括发送和接收CDP分组的数量，以及CDP出错信息。（6）Show cdp interface命令可显示路由器接口或者交换机、路由器端口的状态。（7）debug cdp events启动CDP事件调试等等。

二、CDP协议安全威胁

确实在大部分情况下，CDP协议的作用是不可替代的。如在大多数网络中，CDP能够提供很多有用的信息并且可以协助管理员进行网络排错和性能优化。但是，其带来的安全隐患也不容忽视。在缺省状态下，Cisco品牌的交换机或路由器会自动在所有连接接口上发送CDP消息，这些消息由于没有采取安全加密措施，非法用户通过专业工具可以很轻松地窃取到这些敏感内容。当这些敏感信息被非法者拥有后，他们就能轻易了解到局域网中的组网结构，并通过相关地址对网络中的重要主机进行恶意攻击，最终造成网络无法安全、稳定地运行。

除了被动获取邻居设备的交换协议信息外，非法攻击者还可以利用专业的CDP工具程序定制伪造的CDP数据帧，来通知局域网中的高端网络管理软件，说在网络中新发现了一台网络设备。如此一来，相关网络设备就会主动尝试利用SNMP来联系“陷阱”设备，这个时候非法攻击者就会对这样的联系进行监控捕捉，从而有机会获得局域网中其他重要网络设备的名称、地址、接口等信息，日后就为攻击这些网络设备做好充足的准备工作。

此外，CDP协议还能欺骗思科的IP电话。当打开IP电话后，交换机就会通过CDP协议自动和IP电话交换CDP数据，并主动通知电话来让语音流量选用哪一个虚拟工作子网。在这一过程中，非法攻击者可以通过注入CDP数据帧的方法来欺骗IP电话，为语音流量分配一个错误的虚拟工作子网。

三、防范措施

根据CDP协议的工作原理CDP协议所发送的信息中包含了一些比较敏感的信息。如果这些信息被不法分子获得的话，那么将给企业的网络带来很大的安全隐患。为此保护的重点就是如何让这些敏感的信息不被外人所知。为了避免CDP协议泄露网络设备的相关信息，可以只在企业内部网络的设备中启用CDP协议。而在连接到互联网的企业级边缘路由器上的接口上禁用CDP协议。如此的话，相关的敏感信息不会泄露到企业的外部网络上。在配合网络防火墙等功能，就可以保证CDP协议信息的安全。可以在连接到服务器提供商或者企业边缘路由器的接口上禁用CDP协议。其他地方如果有安全需要的话，可以根据情况来判断是否启用CDP协议。在可以的情况下，还是启用CDP协议为好。例如，在单位内网环境中，只要部署好了网络防火墙和网络防病毒软件，就可以将网络中交换机或路由器上的CDP发现功能启用起来，以便为日后的网络维护与优化提供方便，因为内网环境在多项安全措施的保护下，CDP发现协议存在的安全威胁会大大下降。此外，在一些安全性要求不高的网络环境中，也可以通过启用CDP发现协议来提高网络故障的排查效率。例如，在普通的网吧工作环境中，由于不存在太重要的敏感信息，开启CDP协议可以方便平时的管理、维护操作。在一些安全性要求比较高的网络环境中，或者是单位网络的边缘网络设备上，尽量不要使用CDP协议，毕竟CDP协议或多或少地会带来一些麻烦。比方说，在银行、证券等金融网络中，应该慎重使用CDP协议，因为这个网络中包含的敏感、隐私信息特别多，要是被非法用户发现的话，就相当于暴露了许多攻击目标。

在语音VLAN应用环境中，在企业内部网络中可以启用CDP协议，而在企业级别的边缘路由器上则禁用CDP协议。通过Vlan将企业的内部网络划分成几个独立的虚拟网，能够起到分割广播包、缩小冲突域等作用，对于企业内部网络的安全有着很大的作用。

网络协议大全篇3

关键词 网络信息安全；安全技术；应用

中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）72-0220-02

当前，随着社会科技的不断发展，信息技术水平也在不断提高，其发展的速度也在不断加快，我们的通信与网络之间的关系也是日益加深。这样的环境也为网络的发展提供了足够的发展空间，虽然其发展的态势是十分可人的，但其安全问题仍然让人十分担忧，而维护网络通信安全部门的压力也越来越大。网络具有开放性、及时性、广泛性等众多优点，但随着信息在网络上广泛传播的同时也带来了众多的安全漏洞，网络内部的安全环境日益严峻，各种违法行为如窃取信息等活动变得猖獗起来。

1 网络的通信安全分析

网络通信安全方面的定义可以从多方面的角度来看，从国际化的角度来看网络通信安全的定义是可用性、可靠性、完整性以及保密性。从普通角度来看网络通信安全的定义是指根据网络的特性且依据相关的安全技术以及预防计算机的网络硬件系统崩溃而采取的措施服务。

1、1 影响网络通信安全的因素

最主要的是软硬件的设施完善问题。很多软件系统在出场时为了方便而设置了后台控制通道，这也成为了众多黑客和病毒所瞄准的漏洞。虽然有很多软件都会考虑软件安全问题，但是随着时间的进行，信息技术也在不断发展，黑客和病毒的手段也越来越高，软件也不可避免的会出现一些漏洞。问题出现后需要软件商家发出补丁来修补软件，但这个行为也将一些商用软件的源程序暴露出来，使得一些别有用心的人寻找其中的漏洞进行攻击。这也使得网络通信的安全收到一定程度上的威胁。

其次是人为破坏因素。一些技术管理人员对于安全意识以及安全技术的缺失造成了信息泄露损坏等行为。

最后是TCP/IP服务端较为脆弱，TCP/IP协议是因特网的基本协议，虽然这个协议的时效性比较强，但其安全性能很低。想要增加安全因素就不得不加大代码的量，加大代码的量也就导致了TCP/IP的实际运行效率被大大降低。因此从其本质上来看，TCP/IP协议存在着许多不合理的地方。很多以TCP/IP为基础的应用多多少少都会受到不同程度的威胁。

1、2 常用的几种通信安全技术

1、2、1 密码技术

密码技术的基础指导思想是将所要加密的信息进行伪装，密码的组成需要有四个条件，一是明文，二是密文，三是算法，四是密钥。其中密钥是最重要的一项技术，它所涉及的知识面很广，其技术具有很强的综合性，密钥这一项涉及到密钥的产生、检验、分配、传递、保存、使用、消钥的全过程。密码的类型总体上分成三种，第一种是移位密码，它的基本原理是通过改变明码或者代码中的原定代表位置而得到的新的密码；第二种是代替密码，代替密码顾名思义它是利用其他的代码来代替原码而形成的新的密码；第三种是乘积密码，它是一种将各种加密方法进行混合而形成的新的密码。而一般在实际的加密过程中，一般是将上面的3种方法进行多次变换并生成新的密码。

1、2、2 用户识别系统

为了使网络具有能够判定用户是否有一定的用户存取数据权限的能力，以避免一些非法篡夺数据的不安全现象出现，因此，网络需要一个识别技术。最常用的识别方法是口令。一般口令是由计算机随即产生的，虽然可能会造成用户的记忆困难，但随即口令不易被猜测，其安全性能较强，且口令可以随时被更改、时效性较强，使用有效期不固定，这也提高了其安全程度。唯一标识符也是一种常用口令，但其所适用的地方是高度安全网络系统，它的工作原理是在用户建立ID时会生成一个唯一的数字，这个数字在一定周期内不会被别的用户使用，这也使得其使用起来比较方便，但其对安全的要求较高。

1、2、3 入侵检测技术。

入侵检测技术所针对的是网络的入侵行为，它能够及时地将网络的入侵行为做出反应并采取相关的措施将黑客或者病毒扫出网络，它是计算机网络技术中非常有用的一项技术。目前国内的网络所采用的是TCP/IP协议，入侵 TCP/IP协议的模式可以按照一定的规律去找寻，而相比于TCP/IP协议，通信网协议所拥有的通信网络入侵检测技术更具有针对性，因此，我们可以利用这个特点，可以将入侵检测系统建立于节点或者网络上面，这样入侵检测系统就能够通过对网络数据包的分析、解释和判断来检测是否有入侵行为。

网络协议大全篇4

关键词：IP网络 VPN 信息安全

中图分类号：TN711 文献标识码：A 文章编号：

随着信息技术的飞速发展和IP网用户数量的迅猛增加以及多媒体应用需求的不断增长，人们对IP网提高带宽的渴望越来越强。

初期的Internet仅提供文件传输、电子邮件等数据业务，如今的Internet集图像、视频、声音、文字、动画等为一体，即以传输多媒体宽带业务为主，由此Internet的发展趋势必然是宽带化向宽带IP网络发展，宽带IP网络技术应运而生。

所谓的宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的，通常中继线带宽为每秒数吉比特至几十吉比特，接入带宽为1～100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务，同时支持当前的窄带业务，它集成与发展了当前的网络技术、IP技术，并向下一代网络方向发展。

当今年代，IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁，保障其安全性显然是至关重要的。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。从内容看网络安全大致包括4个方面，即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全，即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。

宽带IP网络面临的安全性威胁分为两大类：被动攻击和主动攻击。被动攻击中，攻击者只是观察和分析某一个协议数据单元，不对数据信息做任何修改，所以根本不会留下痕迹或留下的痕迹很少，因而一般都检测不出来，对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来，而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序，如计算机如冲、特洛伊木马和逻辑炸弹。

宽带IP网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。

为了满足网络信息系统安全的基本要求，加强网络信息系统安全性，对抗安全攻击，可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。

为了保证数据信息的保密性和完整性，要对数据信息进行加密，数据加密的密码体制分为常规密钥和公开密钥两种密码体制，从网络传输的角度看，有两种不同的加密策略：链路加密和端到端加密。两种加密策略各有优缺点，一般将链路加密和端到端加密结合起来使用，以获得更好的安全性。

保证网络安全的另外一个重要措施就是设置防火墙，防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合，防火墙的网络称为“可信赖的网络”，而将外部Internet 称为“不可信赖的网络”。

防火墙可以从不同角度分类，根据物理特性可分为硬件防火墙和软件防火墙，但是由于软件防火墙自身属于运行于系统上的程序，不可避免地需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失。因此，许多网络更侧重于硬件防火墙作为防御措施。

以上介绍了保障IP网络安全的一些措施，在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现管好全性的一项举措。

VPN虚拟专网是虚拟私有网络的简称，安是一种利用公共网络，来构建的私有专用网络，VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。

VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络，在降低费用的同时保障通信的安全性，即构建在公共数据网络上的VPN将像当前企业私有的网络一样提供安全性、可靠性和可管理性。VPN利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前Internet已成为全球最大的网络基础设施，几乎延伸到世界的各个角落，于是基于Internet的IP VPN技术越来越受到关注，IETF对基于IP的VPN的定义为“使用IP机制仿真出一个私有广域网”。

IP VPN按接入方式划分可分为专线VPN和拨号VPN，专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案，是一种“永远在线”的VPN。拨号VPN又称VPDN，它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务，是一种“按需连接”的VPN。因为这种VPN的用户一般是漫游用户，因此VPDN通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的VPN和采用第三层隧道协议的VPN。还可以按VPN的发起方式、服务类型、承载主体等多种方式进行划分。

构成IP VPN的主要设备有IP安全隧道和VPN设备。内部网LAN1发送者发送明文信息到连接公共网络的源VPN设备，源VPN设备首先进行访问控制，确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的IP数据报进行加密，并附上数字签名以提供数据报鉴别。VPN设备依据所使用的隧道协议，重新封装加密后的数据，此数据通过IP安全隧道在公共网络上传输。当数据报到达目的的PVN设备时，首先根据隧道协议数据报被解除封装，数字签名被核对无误后数据报被解密还原成原明文，然后目的VPN设备根据明文中的目的地址对内部网LAN2中的主机进行访问控制，在核对无误后将明文传送经LAN2中的接收者。

VPN的隧道技术是构建VPN的关键技术，广义的隧道包括隧道启动节点、隧道终止点和承载隧道的IP网络。按照工作的层次，隧道协议可分为两类：二层隧道协议和三层隧道协议。三层隧道协议主要有两种：RFC1701通用路由封装协议和IETF制定的IP层加密标准协议IPSec协议。二层隧道协议主要有三种，点对点隧道协议（PPTP）、二层转发协议（L2F）和二层隧道协议（L2TP）。二层隧道协议简单易行，但扩展性差且提供内在的安全机制安全强度低，主要应用于构建拨号VPN，而三层隧道协议安全性、可扩展性、可靠性较强，两者通常结合使用。

网络协议大全篇5

【关键词】计算机网络通信协议TCP/IP协议IPX/SPX及其兼容协议

随着计算机技术的普及，网络信息化得到了新的发展。在这个过程中计算机网络通信协议成为该行业讨论的焦点问题。因此，本文将从通信协议的概念、原则和常见协议几个方面进行分析，力求提供新的思路。

1网络通信协议的概念

在计算机通信的过程中，两台计算机之间必须使用通信协议。网络通信协议主要是指通过信道和设备将多个不同位置的数据进行连接的通信系统，是计算机之间实现会话的必要基础。通信协议具有可靠性、有效性和层次性的特点。其本质是一种规则的体现，即计算机网络硬件和软件必须共同遵守的规则。与此同时，我们认为网络协议并不是单独存在的，常常存在于其他软件中。其中，基础型协议主要用来提供网络连接的服务，是通信服务中最基础的层面;应用型协议需要针对具体的网络服务来进行选择，不属于必备协议。从组成方面来看，网络协议主要包含三个要素，即语义、语法和时序。语义主要是对协议元素进行必要的解释，而不同的协议元素对语义的规定有所差别。语法主要是将各个协议的元素进行组合，通过计算机语言表达出相对完整的内容，是对信息数据处理的结构形式。时序则是对事件发生的顺序进行调整和说明。

2网络通信协议的原则

在计算机网络通信协议中进行信息和数据传递需要坚持三大原则。即所选协议的一致性、选择高版本协议和通信协议的单一性。所选协议的一致性是指协议需要和网络结构、功能相一致。在计算机网络通信协议中，网络通信协议需要对网络规模、兼容性和管理进行综合考虑。具体而言，当网络规模较小时，对网络的要求也随之较低。因此在网络配置的选择上重心在于网络速度。故，在协议的选择上以占用内存小和宽带利用率高的协议为主，常见的有:NetBEUI。反之，当网络规模较大时，网络结构也变得复杂，此时可以选择扩充性和管理性较强的协议，常见的有:TCP/IP。通信协议的单一性主要是指计算机之间的通信离不开通信协议，常规模式下每一个网络只能选择一种通信协议。这是因为，每一个网络通信协议均会占用计算机内存，当选择协议较多时，无疑会造成内存资源的不足和浪费，从而直接影响到计算机的运行速度，加大了网络管理的难度。选择高版本协议主要原因是:高版本协议的功能和性能相对较好。值得一提的是每个通信协议都有其最合适的网络环境。因此，使用者需要根据网络计算机的环境选择与之匹配的网络通信协议。

3常见的网络通信协议

3、1TCP/IP协议

TCP/IP协议是TCP协议和IP协议的结合体，是最重要的两种协议。最早使用该协议的是Unix系统，并且得到了市场上大多数计算机厂商和操作系统的大力支持。在互联网的使用过程中，TCP/IP协议能够提供有效地端字节传输服务。首先，传给IP层的数据流可以通过TCP分割成长度较为合适的数据段后再进行二次传输，然后根据接收端主机从IP层接收的数据包进行上传。常见的IP协议主要为IPV4协议和IPV6协议，该协议规定了在互联网传输过程中准确的数据格式，因此，在TCP/IP协议中的传输是相对严格的一个过程。与此同时，IPV6协议优于IPV4协议，具体表现在三个方面。即IPV6协议拥有更为广阔的地址空间，将IP地址长度从32位上升到128位;拥有更小的路由表，即IPV6协议遵循聚类原则，路由器可以在路由表中选择一条记录来代表一片子网，因此缩短了路由表的长度，进而提高了路由器转发数据包的速度。最后，IPV6协议协议增加了自动配置的支持功能，该功能能够使网络管理更为便利和安全，同时可以对网络层提供加密数据处理，提高了互联网安全。除此之外，TCP/IP协议本身具有较强的灵活性，可以支持不同规模的网络，连接所有的服务器和工作站。但是，在这个过程中也存在一些麻烦和问题。即在使用其他协议的过程中不需要进行配置，可以自动的分配网络所需的必要信息，减少人工操作。而TCP/IP协议需要完成相对复杂的设置过程，即每一个节点都需要IP地址、子网掩码、默认网关和主机名。此外，对于Windows中的TCP/IP协议而言，想要直接加入WindowsNT域只安装TCP/IP协议是无法登陆的，还需要在Windows系统上安装NetBEUI协议，从而顺利的访问其服务器的域中。

3、2IPX/SPX及其兼容协议

IPX/SPX及其兼容协议是由Novell公司开发的一种网络通信协议集，与NetBEUI通信协议不同的地方在于该协议较为庞大，在复杂的网络环境下依旧有强大的适应性。因此，非常适合大型网络使用。与此同时，IPX/SPX及其兼容协议可以通过网络地址信息来辨别身份，不需要任何其他配置，是其最大的优点。此外，IPX/SPX及其兼容协议所有的网络IP和节点IP都有内部的一个IPX地址，具有唯一性。然而，IPX属于NetWare自带的最底层的网络协议，其功能主要是对网络中传输的数据负责，即仅保证传输的成功，不保证传输的正确性。而SPX主要是针对数据的正确性进行核查与处理。因此，当两种协议合并在一起的时候能够具备较强的功能，弥补其劣势。因此，使用Windows的用户可以获得NetWare服务器的相关服务，当Novell环境开始转向微软平台的时候，这两种平台将实现共存。

3、3NetBEUI协议

NetBEUI协议最大的优点在于速度快、体积小和效率高，且NetBEUI协议是微软主流产品的缺省协议。该协议主要应用于小型局域网环境中，且局域网中可以实现几百台PC机的互联。NetBIOS是NetBEUI通信协议中的一个网络接口标准，其功能是加强PC机之间的通信，而内网PC机一般不超过30个。

4结语

随着局域网的组建和发展，网络兼容性和网络规则将直接影响到网络通信协议的选择。与此同时，TCP/IP协议主要用于效率高且扩展性能较强的网络，而NetBEUI通信协议比较适合小型网络。IPX/SPX及其兼容协议协议主要适用于两种平台共存的计算机网络系统。因此，在网络通信协议的选择上需要根据实际需要进行科学的、合理的选择，提高计算机的使用效率。

参考文献:

［1］刘芳基、于通信顺序进程的计算机网络通信协议形式化描述［J］、信息系统工程，2016(2)、

［2］吉逸，吴国新、计算机网络体系结构及通信协议［J］、江苏机械制造与自动化，2011(5)、

［3］石全民，何辉、网络安全协议在计算机通信技术当中的作用与意义［J］、中国建材科技，2015(4)、

网络协议大全篇6

关键词：网络安全协议；计算机通信技术；安全协议分析；安全协议设计

中图分类号：TP393、08

随着信息技术的飞速发展，信息的传递和处理已经突破了传统时间与空间的限制，信息化网络已经在各个领域中得到广泛的应用，其中包括金融、商业、文化和军事领域，并且网络技术在这些领域中具有十分重要的作用[1]。随着网络的应用进一步扩大，网络安全问题则成为限制网络应用的主要问题，由于互联网的开放性和共享性，导致其存在诸多的安全隐患，这就需要通过网络安全协议进行控制，以保证网络能够安全有效的为以上领域提供服务。这就需要从网络安全协议安全性分析中的逻辑化方法进行系统性研究，从而确定网络安全协议的安全性和可靠性。

1 网络安全协议综述

随着协议在人们生活中的应用越来越广泛，人们对协议的认识也逐渐提高。协议一般是指人们为完成某项任务而由两个以上的参与者组成的一个程序。故定义协议应具备以下三个方面：（1）协议是一个过程，且此过程具有一定的程序性，通过制定者对过程进行调整，依照一定的次序执行，此顺序具有不可更改性；（2）协议至少具备两个以上的参与者，并且在执行过程中每一个参与者都具有固定的步骤，但此步骤并不认为是协议的内容；（3）协议的目标为完成一项任务，故协议也应保证一个预期的效果[2]。

通过以上分析能够看出，计算机网络的安全协议是指在计算机网络中传输信息时保证信息安全性的一个程序。在计算机网络的使用中，安全协议的作用为通过加密或其他措施保证信息数据的完整性和有效性，其中包括密钥的分配和身份的认证。计算机网络的通信安全协议最早被应用的时间为1973年，此安全协议在当时为网络通信的安全性提供了十分优秀的保障，但随着信息技术的飞速发展，安全协议也需要逐步改进，以适应信息传输手段的多变。随着科技的进步，安全协议也不断优化，其应用效果也进一步提升，现阶段网络安全协议主要包括SSL协议和SET协议[3]。以上两种协议均为通过信息加密保证信息安全。

2 密码协议的分类

到目前为止，安全协议的类型尚无定论，故无人对网络安全协议进行分类，事实上严格分类密码协议是一件几乎不可完成的任务，从不同的角度分类即可将安全协议划分为不同的类别。例：从ISO的层级模型分类可将安全协议分为高层和低层协议；从协议的功能方面分类则可将协议分为认证协议、密钥建立协议、密钥认证协议等；而根据密钥的种类进行分类则可将安全协议分为公钥协议、单钥协议和混合协议等。目前公认比较合理的分类方法则是根据功能进行分类，这种分类方法并不关注采用何种加密技术，根据以上分析，我们将安全协议分为三类：（1）认证建立协议，指通过一个实体对另一个相应与之建立通信的实体进行身份确认的安全协议；（2）密钥建立协议，指多个实体通过共享一个密钥而互相传输信息的安全协议；（3）认证密钥建立协议，指与经过身份证实的用户建立共享密钥而互相传输信息的安全协议[4]。

3 协议的安全性

3、1 网络安全协议的安全性及其攻击检验。随着信息技术的飞速发展，越来越多的网络安全协议被人们设计并应用，但通常令人们十分尴尬的是很多安全协议在刚刚推出的时候就被发现其具有漏洞。造成网络安全协议无效的原因具有很多种，其中最主要也是最多的原因是安全协议的设计者本身对网络安全的需求并不了解，其研究也相对不够透彻，这就使其设计的安全协议在安全性分析中就产生大量的问题，就如同密码加密算法的设计一样，证明协议的不安全性往往比证明其安全要简单得多。

通常在对网络安全协议进行安全性分析时会通过攻击手段进行测试，这种测试一般针对加密协议的三个部分进行压力检测：（1）攻击协议中的加密算法；（2）攻击算法和协议的加密技术；（3）攻击协议本身。由于本文篇幅及研究重点与加密算法和加密技术无关，以下将主要探讨针对协议本身的攻击，这里假设的前体便是加密算法和加密技术均为安全的。

3、2 安全协议的设计方法。在对网络安全协议的设计中，通常会针对协议的复杂性和交织攻击抵御能力进行设计，同时对协议的简单性和经济性要有一定的保证。前者是保证安全协议自身的安全性，而后者则是为扩大安全协议的应用范围。只有通过设定一定的边界条件，才能够保证安全协议同时具有复杂性、安全性、简单性和经济性，这就是网络安全协议的实际规范。

3、2、1 一次性随机数代替时间戳。目前的大部分网络安全协议的设计均采用同步认证的形式，这种认证形式需要各认证用户之间保持同步时钟，且要求极其严格，这种认证形式在网络环境较好的情况下实现起来非常容易，但是对于网络条件较差的情况则很难实现同步认证。故在进行网络安全协议设计中可采用异步认证方式，这就需要在设计中采用随机生成一个验证数字，通过这个数字代替时间戳，这样则能够完美解决网络环境差的问题，同时还能够保证认证的安全性。

3、2、2 抵御常规攻击。对于任何一个网络安全协议，首先应具备的功能即是抵御常见的网络攻击，即对于明文攻击和混合攻击具有最基础的抵御能力，简而言之就是不能让攻击者从应答信息中获取密钥信息，另外对于过期消息的处理机制也应算在抵御常规攻击中，即不能让攻击者通过修改过期信息完成攻击。进而提高网络安全协议的安全性[5]。

3、2、3 应适用于任何网络结构的任意协议层。由于不同的网络结构的不同协议层所能够接受的信息长度不同，若想使安全协议能够做到高适用型则需要网络协议中的密钥消息必须满足最短协议层的要求，也就是说密码消息的长度应等于一组报文的长度，这样才能够保证网络安全协议的适用性[6]。

4 结束语

综上所述，在信息技术高速发展的今天，网络安全协议已经广泛的应用于计算机通信网络之中。网络安全协议的应用不仅能够有效的提高计算机通信数据的安全性和完整性，同时还为保障人们的经济利益作出了贡献，有效的保证了经济的稳步发展。由于技术原因的限制，当前的网络安全协议在设计和应用中还存在一定的缺陷，这就需要信息技术人员通过不断的总结实践，对现有的网络安全协议进行完善和改进，从而进一步保障网络通信的安全。计算机通信网安全协议的应用，不仅使得计算机通信网的安全性得到了进一步的提升，还有利于计算机数据信息的处理。

参考文献：

[1]赵国威、安全协议形式化自动验证工具AVISPA的研究[D]、吉林大学，2013、

[2]欧阳熹、基于节点信誉的无线传感器网络安全关键技术研究[D]、北京邮电大学，2013、

[3]曹利峰、面向多级安全的网络安全通信模型及其关键技术研究[D]、郑州信息工程大学，2013、

[4]郭显、移动AdHoc网络安全路由协议设计与分析技术研究[D]、兰州理工大学，2011、

[5]董学文、基于串空间模型安全协议形式化方法的分析与扩展[D]、西安电子科技大学，2011、

[6]林伟、空间网络安全技术研究与实现[D]、电子科技大学，2012、

网络协议大全篇7

[关键词] 协议风险分析 协议风险计算

一、引言

当前计算机网络广泛使用的是TCP/IP协议族，此协议设计的前提是网络是可信的，网络服务添加的前提是网络是可达的。在这种情况下开发出来的网络协议本身就没有考虑其安全性，而且协议也是软件，它也不可避免的会有通常软件所固有的漏洞缺陷。因此协议存在脆弱性是必然的。信息的重要性是众所周知的，而信息的传输是依靠协议来实现的，所以对协议的攻击与防范成为信息战中作战双方关注的重点。协议风险评估也就成为网络信息安全风险评估的关键。

二、协议风险分析

协议的不安全及对协议的不正确处理是目前安全漏洞经常出现的问题，此外，在网络攻击中攻击者往往把攻击的重点放在对网络协议的攻击上，因此，网络风险分析的的主要任务是协议风险的分析。进行协议风险分析时我们首先要理顺协议风险要素之间的关系。

网络安全的任务就是要保障网络的基本功能，实现各种安全需求。网络安全需求主要体现在协议安全需求，协议安全服务对协议提出了安全需求。为满足协议安全需求，就必须对协议的攻击采取有效防范措施。协议脆弱性暴露了协议的风险，协议风险的存在导致了协议的安全需求。对网络协议攻击又引发了协议威胁、增加了协议风险，从而导至了新的安全需求。对协议攻击采取有效防范措施能降低协议风险，满足协议安全需求，实现协议安全服务。任何防范措施都是针对某种或某些风险来操作的，它不可能是全方位的，而且在达到防范目的的同时还会引发新的安全风险。因此风险是绝对的，通常所说的没有风险的安全是相对的，这种相对是指风险被控制在其风险可以被接收的范围之内的情形。在进行协议风险分析后，网络安全中与协议安全相关地各项因素之间的关系如图1。

三、网络协议风险综合计算模型——多种方法加权计算

风险计算的结果将直接影响到风险管理策略的制定。因此，在进行网络协议风险分析后，根据网络协议本身特性及风险评估理论，选取恰当的风险计算方法是非常重要的。本文在风险计算方法的选取时，采用多种风险计算方法加权综合的策略。它是多种风险分析方法的组合，每种方法分别设定权值。权值的确定是根据该方法对评估结果影响的重要程度由专家给出，或通过经验获得。基于上述思想，在对网络协议进行风险评估时根据网络协议的特点我们主要采用技术评估方法来实现。基于网络协议的风险评估示计算如图2。

四、协议风险评估流程

按照风险评估原理和方法，在对风险进行详细分析后，选取适当的方法进行风险计算，最后得出风险评估结果。对协议风险评估可以按照图3所示模型进行。

五、总结

为了规避风险，网络安全管理人员必须制定合适的安全策略，风险评估的目的就是为安全策略的制定提供依据。本文所提出的协议风险评估，为网络管理人员更好地制定安全策略提供了强有力的支持。

参考文献

[1]Bedford T， Cooke R、 Probabilistic Risk Analysis[M]、 Cambridge University Press， 2001

[2]Peltier T R、 Information Security Risk Analysis[M]、 Auerbach Publishtions， 2001

网络协议大全篇8

【关键词】聚类算法 网络应用协议识别系统

【中图分类号】G250、72【文献标识码】A【文章编号】1672-5158（2013）07-0143-01

随着互联网应用技术的不断发展，互联网网络应用日新月异，层出不穷，致使网络流量日趋复杂化。在互联网发展之初，仅仅存在着简单的几种协议，如HTTP、FTP、SMTP，伴随着即时通信、视频、P2P等技术的发展与应用，让互联网中承载的内容日趋多样，尤其是P2P资源共享技术，实现了用户之间对等的资源共享。随着网络应用种类的不断增加，为网络管理与运行带来了极大的挑战。加上当前人们对网络应用的依赖程度越来越高，对网络的实时性提出了更高的要求，从而推动了网络带宽技术的进步。然而，面对庞大的网络流量，网络安全系统需要进行更大数据量的处理，更是对流量实时处理提出了更高的性能要求。

一、网络应用协议识别系统研究现状

网络应用协议识别系统属于网络安全系统的核心，通过网络应用识别系统，可以快速准确地识别出网络流中所应用的业务，并控制各类网络应用协议的使用带宽，限制非授权网络应用宽带需求，满足授权网络应用的带宽要求，通过这种方式，分配网络容量，深化网络流量安全检测，进一步提高网络服务的质量，为用户带来更好的网络体验。

在当前，网络应用协议中网络流呈现出静态特征与动态特征。根据网络应用协议识别方法的使用特征，大致可以分为三个种类，分别为基于网络流行为的网络应用识别方法、基于载荷的网络应用协议识别方法与基于端口的网络应用协议识别方法。

（一）网络应用协议中网络流特征

在不同的网络应用协议中，存在着不同的流量特征，这些流量特征是建立网络应用协议识别的基础。主要的流量特征包括流行为统计特征、端口特征及应用层负载数据字符特征等，这些网络流表现出静态特征与动态特征。

1、网络应用协议的静态特征

静态特征，在所有网络协议中都不会随着时间与空间因素的变化而发生改变，具备固有特征。静态特征主要是对数据报所携带的数据内容进步处理分析，最终对不同网络应用协议特征进行区分，静态特征主要包括应用层负载数据字符特征与端口特征两种。

静态特征中应用层负载数据字符特征主要指的是应用层中用户的数据会存在特定的特殊字段，如在P2P网络应用的控制报文中，报文应用层所携带的数据会具备一些特定存在的字符。通过网络流检测技术，针对报文中所携带的特定字符判断出报文是否属于P2P文件共享应用所发报文，然后进行网络流的管理与控制。随着网络应用领域不断扩大，人们对信息传递的安全性提出了更高要求，更是将加密机制应用在网络应用之中，在防止信息泄露的同时，也隐藏了网络流数据字符特征，导致网络流数据特征不能快速及时地识别出网络应用协议。

2、动态特征

动态特征，指的是在某一种网络应用协议中，随着时间与空间因素的变化而出现不同结果，动态特征又被称之为网络应用行为特征，需要一定的连续时间与空间积累才可以将动态特征显示出来。

（二）网络应用协议识别方法研究现状

1、 基于网络流行为的网络应用识别方法

基于网络流行为的网络应用识别方法主要是对数据报中行为特征进行统计，并将统计结果抽象成多维向量，结合机器学习方式，对多维向量间大小关系进行识别，最终对网络流应用协议进行判断。这种方法扩展性良好，可以发现新特征流，局限性是难以通过简单匹配的方式完成应用协议识别。

2、基于载荷的网络应用协议识别方法

基于载荷的网络应用协议识别方法采取还原技术与协议分析的方法，针对数据报采取深度检测，获取应用层所携带的数据内容，并对其数据中包含的内容进行分析，最终呈现出协议正则表达式，通过协议正则表达式判断网络流中所应用的网络协议，对网络流进行管理与控制。这种识别方法精确度高，维护简单，其局限性在于不能实现隐私保护，对新型应用实用性较差等。

3、基于端口的网络应用协议识别方法

基于端口的网络应用协议识别方法主要应用于传统的互联网应用协议识别系统中，在传统互联网应用中，服务端口具备统一规范的特性，加上协议的数量较少，采取端口的网络应用协议识别方法十分有效，且技术实现简单，开销较小，能够优化网络性能，提高网络服务的质量。但随着端口自定义的出现及应用，庞大网络流量及网络协议种类不断增加，越发显示出基于端口的网络应用协议识别方法的落后。

二、基于聚类算法的网络应用协议识别系统及聚类算法

聚类算法，其核心为是将相似对象聚成为一个簇，对不同对象进行分类处理。基于聚类算法的网络应用协议识别系统，将网络流视为相似对象，通过有效区分网络流特征地提进行聚类，将相同网络协议的网络流聚成为一个簇，从而判断出网络流所使用的网络协议。

（一）基于聚类算法的网络应用协议识别系统实现的总体流程

基于聚类算法的网络应用协议识别系统实现的总体流程如下：对正在传递的网络流量进行抓取；对网络流量中数据报通过特殊网络流划分方式进行划分，获得不同的网络流；对每个网络流所携带数据进行提取，并将提取结果与每种网络应用协议中存在的匹配正则表达式作匹配处理；通过匹配处理分析出网络流使用的网络协议；如通过匹配处理分析出网络流使用的网络协议，则进行网络流管理与控制；如不能通过匹配处理分析出网络流使用的网络协议，则提取网络流征向量，将网络流特征向量及标识存储到网络流信息数据中；采用聚类算法对网络流特征进行处理；通过判断每簇所含有的网络应用协议，判断出网络应用协议的类型。

（二）聚类算法

1、K-means聚类算法

当前，最为经典的聚类算法就是K-means聚类算法，其算法实现的思想是：随机的选择出空间中某个点作为中心，进行聚类，划分出不同的簇，然后使用迭代方式，对各类聚成中心值进行更新，最终实现良好的聚类结果。

2、网格密度聚类方法

网格密度聚类方法可以发现任意形状的聚类簇，通过网格密度聚类方法，对低密度区域进行过滤，发现样本密集处，最终发现任意形状的聚类簇。这种计算方法的目的是明确密度相连对象的最大集合，并对结果进行分析。

3、EM聚类算法

EM聚类算法可以实现对非完整数据集中计算，属于一种简单实用的学习方法。通过迭代最大化完整数据对数似然函数期望进行最大化不完成数据对数似然函数，最终获取模型估计参数。

三、结束语

随着互联网科学技术的进步与网络的普及，人们对网络的依赖程度越来越高，各种网络应用，为互联网网络带宽资源的优化配置带来了极大挑战。通过对网络应用协议识别，可以有效实现对网络应用流量的管理与控制，限制不合理网络应用，优化网络带宽配置，提高网络服务质量。当前主要的网络应用识别协议为基于网络流行为的网络应用识别方法及基于载荷的网络应用协议识别方法，这两种方法存在着一定的局限性，本文提出建立基于聚类算法的网络应用协议识别系统，并通过实际试验，证明聚类算法的网络应用协议识别效果显著，值得推广应用。

参考文献

[1] 梁波、 基于聚类算法的网络应用协议识别系统的研究与实现[D]、山东大学，2012

[2] 杨爽、基于双重特征的网络应用协议识别系统[D]、北京交通大学，2012