《一种基于净荷特征识别的QQ华夏游戏业务识别方法.pdf》由会员分享,可在线阅读,更多相关《一种基于净荷特征识别的QQ华夏游戏业务识别方法.pdf(6页珍藏版)》请在专利查询网上搜索。
1、10申请公布号CN101980495A43申请公布日20110223CN101980495ACN101980495A21申请号201010260506822申请日20100824H04L29/06200601H04L12/26200601H04L12/56200601G06F19/0020060171申请人无锡开创信息技术有限公司地址214000江苏省无锡市北塘区兴源北路401号A2幢301室72发明人邢彦王攀孙磊朱凌云54发明名称一种基于净荷特征识别的QQ华夏游戏业务识别方法57摘要基于净荷特征识别的QQ华夏游戏业务识别方法是通过验证游戏数据包的特征字来识别该业务的,首先使用软件接收游戏数据。
2、,提取数据包中具有代表性的值,再运用QQ华夏游戏的特征值去验证,从而识别出该业务是否是QQ华夏游戏业务。如果验证结果是该游戏业务,那么后面的数据包均是QQ华夏游戏数据包,该方法具有良好的可扩展性和准确性,且易于与运营商相关的应用接口对接。51INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书3页附图1页CN101980500A1/1页21一种基于净荷特征识别的QQ华夏游戏业务识别方法,其特征在于该方法用QQ华夏游戏数据包独具的特征数据进行校验,具体步骤为1初始化哈希表该哈希表用于存储QQ华夏游戏会话标志,即游戏会话ID,该标志用游戏注册账号和其IP地址元组来表示,一。
3、个游戏账号只能对应一个IP地址,哈希表所有的元素初始化为0,即所有游戏账号对应的IP地址初始化为0;2接收所要检测的游戏TCP数据包;3根据QQ华夏游戏净荷特征进行DPI检测,以判断该数据包是否为QQ华夏游戏数据包,再判断该分组是否为QQ华夏游戏的请求登录令牌数据包;如是,则获取游戏账号,转步骤4;如果匹配失败,丢弃数据包,转步骤2;4判断该会话是否存在于哈希表中,如是,则丢弃数据包转步骤2;如不是,转步骤5;5保存该游戏媒体流数据包标志,该标识是由QQ华夏游戏账号和登录IP地址两元组组成;6QQ华夏游戏识别成功,结束。权利要求书CN101980495ACN101980500A1/3页3一种基。
4、于净荷特征识别的QQ华夏游戏业务识别方法技术领域0001本发明是针对当前流行的一款网络游戏QQ华夏进行业务识别的研究,主要研究如何基于DPI净荷深度检测有效识别网络游戏业务,并设计了网络游戏业务的识别模型和方法,属于网络新业务流量识别的技术领域,并涉及协议分析领域。技术背景0002随着互联网技术的发展和普及,越来越多的人将业余时间花在互联网上,网络可以提供新闻、视频、直播、网上购物等各种服务,随着网络技术的发展,网络游戏也很快普及,如今游戏画很流畅,种类繁多,人们的娱乐方式也发生了变革,传统的实际操作的游戏已经被网络游戏所取代。大多数流行的游戏是多人协作操作的联机游戏,多个客户端链接到服务器上。
5、同时游戏,多数游戏都是及时的,要求操作立即响应,延时不得超过半秒,所以对网络部分的设计要求更高,响应速度更快。0003网络游戏不仅带给人们休闲娱乐,还能锻炼玩家的团队协作能力、还能训练长时间集中精神、多个事件同时进行的协调能力。但也不排除沉溺游戏的可能。网络游戏的客户越来越多,也相应带来了一些安全问题,如通过网络游戏散布不健康信息,存在外挂手段,资源下载时可能附带病毒传播,部分玩家使用盗号和黑客工具等,给网络带来不安全的隐患,因此正确识别网络游戏业务,监督用户行为显得尤为重要。0004识别游戏业务还存在着技术的不足,现有的技术缺陷主要有0005第一游戏的通信协议时私有的,且其中部分信令使用了加。
6、密算法。0006第二游戏的版本多,升级比较频繁,而且与多数软件不同的是,它的客户端的升级往往伴随着协议相应的改变。0007第三游戏提供文本、数据等业务,各种业务的会话特征均不同,因此对服务器IP地址的“野蛮”封堵并不是解决问题的根本方法,这会导致正常游戏的无法使用。发明内容0008技术问题本发明的目的是建立一种基于净荷特征字识别的QQ华夏游戏识别方法,并设计其模型和算法,通过对QQ华夏游戏业务的识别,分析用户的IP地址、目的地址、源端口、目的端口、协议类型,从而进一步分析用户的行为和目的。0009技术方案本发明提供了有效识别QQ华夏游戏业务的技术框架,并且详细设计了识别算法,如图1所示。从图中。
7、可以看出,从图中可以看出,系统分为四个层面,从上到下依次为数据采集层、协议分析层、流量识别业务感知层和游戏业务表现层。0010这里明确一个概念,所谓游戏会话泛指用户登录后的所有游戏交互行为,包括用户登录、身份认证、文本聊天、游戏过程、退出等交互过程。一个游戏账号对应一个游戏会话业务。0011本文的关键方法在流量识别层,该层主要方法是QQ华夏会话识别方法。通过测试和数据分析,发现游戏会话具备一定的净荷特征,游戏登录过程或链接请求过程中数据说明书CN101980495ACN101980500A2/3页4包格式分为头部、内容、和尾部三个部分,固定为头部、命令、序列号、游戏账号、尾部。QQ华夏的净荷总。
8、长度为28个字节,头部是固定字节,头部字节内容固定为“0X1A,0X00,0X26,0X4B,0X0D”,并且PACKETFLAG为PUSH|ACK,通过DPI净荷深度检测机制识别出游戏会话的分组,再根据请求登录令牌,识别出数据包中的游戏账号,以标志一个游戏会话。0012然而游戏版本的改动或者协议的改动均会带来游戏净荷特征的变化,因此也必然会使得上述识别方法发生一定的变化。如何能够不改动系统而通过简单的配置就完成对游戏新业务特征的适应是算法的一大挑战,正则表达式正是一个非常好的解决方案,本方法采用正则表达式来表现游戏的会话特征,因此当游戏版本发生变化或者特征发生变化时,本算法只需要简单的修改正。
9、则表达式的特征配置文件即可,无需重新修改代码和方法即做到快速高效的更新。0013以下详细介绍该设计的各个层面及其识别方法。00141、数据采集层0015功能该层面提供对于不同链路的数据采集或者复制技术,如100/1000MFE、ATM、SDH不同速率的采集或者复制技术,以保障数据完整、可靠地传送至上一层面协议分析层。0016接口该层面与上一层面的接口为比特流数据,向上层提供各种分组信息。00172、协议分析层0018功能该层面提供对于TCP/IP数据的协议解析,目的是为了向上层提供足够的IP分组头部和TCP/UDP的头部信息及其必要的分组净荷信息,以满足上一层面流量识别层对业务的识别和感知。0。
10、019接口该层面的协议分析深度应当分析至TCP/IP协议栈的第四层,即传输层。其上层提供的接口为流FLOW。流应当由一个五元组来确定,即FLOW源IP、目的IP、源端口、目的端口、协议类型。此处的协议类型指代TCP或者UDP。如果有必要,该流中还可存放部分净荷,捕获的净荷大小可配置。00203、流量识别业务感知层0021功能该层面是整个架构的核心层面,主要根据提供下层即协议分析层提供的IP分组头部和TCP/UDP的头部信息及其净荷信息等特征有效识别出游戏业务,匹配失败的分组则丢弃。0022接口向应用层面提供的接口应当是五元组,即源IP、目的IP、源端口、目的端口、协议类型。00234、游戏业务。
11、应用层以及表现层0024对于游戏业务的识别具有很广泛的意义和应用价值。主要可以应用在0025游戏业务流量统计以及分析;0026游戏业务性能分析;0027游戏流量控制和信息跟踪;0028游戏流量异常检测;0029网络和信息安全监控。0030附图说明图1是QQ华夏游戏业务识别流程图。说明书CN101980495ACN101980500A3/3页5具体实施方式0031系统采用分光方式将10G流量负载均衡分流至若干台业务识别处理机上,业务识别处理机完成核心算法的实现,从纷繁复杂的分组中提取、分析、识别和关联出的游戏业务。0032游戏业务监控系统分为分光设备、游戏业务监控设备、核心数据库服务器和应用服务。
12、器等实体。10G流量由分光设备分往若干台游戏监控服务器设备,每台游戏监控服务器设备承载千兆的流量,识别出业务流量之后,将业务信息实时传送至核心数据库,并由应用服务器发布,接入拓扑。0033系统接入方式分为两种一种为串联模式,即将游戏监控系统串联入骨干网中实施检测和控制;另一种为并联模式,即采用监听的方式完成检测和控制。串联模式会影响整体的网络拓扑,且多多少少会为原有网络带来隐患,因此更推荐对原有网络无任何影响的并联式接入。0034系统的分光设备从10G链路上实时的分光下来之后,将其分为若干路流量指向若干台监控设备,监控设备采用高性能的流量采集技术接收所有的流量,并自动调用游戏业务识别引擎对流量进行实时的识别,并根据用户自定义的策略进行控制,如封堵、干扰或者放行等。说明书CN101980495ACN101980500A1/1页6图1QQ华夏游戏业务识别流程图说明书附图CN101980495A。