网络的发展日趋复杂,保障信息网络的安全已成为国家信息化战略的核心内容。在特定的网络环境下,通过特殊手段进行窃密的威胁日趋严峻。此类窃密途径通常是通过无线通信的方式发送涉密信息,且这种通信采用的协议均为非常规的专用未知协议。现有的防范措施基本只针对已知协议,大多采用基于端口映射或静态特征匹配等方法,无法对该类窃密渠道机型进行监测和检测。为了保证网络的安全运行以及对攻击与危害行为进行预警,迫切需要在当前结构复杂网络环境下为决策者提供一种高效的对未知协议的识别方法。在面对基于比特流数据的未知协议时,现有的网络安全检测手段和协议识别方法在实际应用时存在以下问题:现有的协议识别主要针对已知协议,但是大多协议基于端口映射或者静态特征匹配,对于未知协议的识别和发现中灵活性不够。在电子对抗的环境下,从截获的通信比特流序列中进一步识别未知协议是一个重要的阶段,但是在比特流数据中识别未知协议的技术没有现成的研究成果。针对这些问题,本文将在整合已有网络安全技术和数据挖掘技术的基础上,设计基于数据报指纹关系的未知协议发现的解决方案,满足国家网络安全等多方面的需求,对保障网络的安全运行和宏观预警方面有着重要的现实意义,并且促进和提高我国网络安全等方面各项关键技术的自主创新能力。本论文面向数据报指纹关系的互联网协议识别展开研究,主要工作和创新点主要包括以下几方面:(1)实现比特流数据特征位和前导码的识别,对数据流进行有效地切帧:本系统处理挖掘的数据均为比特流数据,不同于文本数据,比特流数据具有单一性和顺序性。针对比特流数据非0即1的原始特征,现有的基于语义分析的研究方法失效。本系统提出基于模式匹配中,多模式匹配的方法实现未知协议的比特流数据特征位的统计挖掘,并对传统AC算法进行改进,使之更适用于本文研究环境下的比特流数据模式匹配。通过对特征位以及前导码的识别,使用前导码作为协议消息的唯一标示,实现比特流数据的准确高效的分帧。(2)提出关键词的概念,使用关键词抽象表征协议消息,使后续的协议模式识别效率显著提高:本文提出了协议关键词的概念,将协议特征位和提取的频繁序列进一步筛选甄别,并将协议相关的比特序列进行拼接以及再筛选。生成的关键词是与协议格式深层相关的一组比特流序列,关键词可以用于标示协议消息,为协议消息提供属性值。使用关键词作为属性抽象表征协议消息,使得后期的距离和相似性的计算更为直观,并大大简化计算量。使本系统比同类系统具有更高的效率。(3)实现不同协议模式的区分,分别提取协议不同模式,生成更为详尽的协议数据报指纹信息:本系统采用数据挖掘算法将不同协议模式的消息有效区分。根据属性对协议消息进行抽象表达,并实现不同协议模式的消息数据地有效区分。提取各个消息模式的抽象表达用于构成协议数据报指纹信息,使得指纹信息更为详细和多元化,从而使系统的协议识别功能更优于其他系统。