日前，启明星辰公司成功设计并实现了一种高效的协议自识别方法—VFPR方法 (Venus Fast Protocol Recognition)。VFPR方法对所有网络协议进行统计分析和对现有协议自识别方法进行了深入研究，基于协议指纹匹配和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，具有识别准确率高、实时性好、通用性强，及运行效率高等优点。

　　当前主流IDS/IPS产品都广泛采用应用层协议深层解析技术来实现基于协议攻击特征和协议异常的入侵检测。而要真正实现对应用协议数据流的正确解析，必须首先正确判断该协议数据流的协议类型。目前多数IDS/IPS产品都基于端口映射机制来判别应用协议数据流所属协议类型，比如：如发现捕获的网络报文中源或目的端口为80 ，则认为它为HTTP协议相关报文，对这些网络报文进行流重组后直接交给HTTP 协议分析引擎进行协议解码和入侵检测。但随着各种新型网络协议以及各种恶意软件的出现，这种基于端口映射来判别网络报文所属协议类型的方法正受到严峻挑战：

　　1）——目前涌现出了一批新型网络协议，包括SIP和P2P协议等，它们并不采用固定协议端口，而是在协议运行过程中动态协商端口，因此无法预先为这些协议设置应用协议类型判别端口；

　　2）——各种木马、间谍和僵尸等恶意软件，它们为躲避IDS/IPS产品的入侵检测都采用了一些特殊的处理方式，主要表现为：

　　——并不使用固定通信端口进行通信；

　　——采用公知端口(比如80端口)进行私有协议通信；

　　——采用隧道技术进行私有协议通信（比如HTTP隧道技术）。

　　3）一些有经验的管理员经常将一些常见网络应用服务移到非周知端口，以降低来自外部攻击的风险系数；

　　4）有大量的服务（比如ftp）运行在非周知的默认端口之上（比如2121），对于该类型服务的攻击，一般的IDS都会因为无法判断通信报文的协议归属而产生漏报。

　　由此可见，网络报文端口将不再是一种可靠的应用协议类型识别方法，需要一种能够根据应用协议数据流特征来智能识别其所属协议类型的协议自识别方法，并且该方法的准确性、实时性和算法效率将直接影响到产品误报率和漏报率。为了让读者更好地理解协议自识别技术的重要性，先让我们来看一个案例。

　　典型案例

　　A企业由于业务需要，在其业务网络环境中部署了一台邮件服务器，并配置标准SMTP端口25作为其对外服务端口。同时，出于安全性考虑，A企业想在其企业内部部署一台IDS，以实现对该邮件服务器的重点安全防范。由于B厂家IDS提供了高层协议SMTP解析功能，A企业认为它可以基本满足其安全需求，因此就购买并部署了B厂家的IDS系统。

　　某天，A企业网络管理员发现该邮件服务器遭到了来自外部的远程漏洞溢出攻击。虽然本次攻击没有成功，但考虑到安全性，网络安全管理员将在邮件服务器的开放服务端口从标准STMP25号端口移动到了20000，并作了一些安全加固工作。没过几天，该服务器再次遭到外部攻击，重要邮件全部丢失，但是该厂家IDS没有报警。在与B厂家技术人员进行沟通后得知，该厂家IDS没有协议自识别功能，它依据标准25号端口来识别SMTP协议类型，如果更换SMTP服务端口，B厂家的IDS无法正确识别20000端口上的SMTP服务报文，对于黑客的针对SMTP邮件服务器的攻击渗透毫无知觉，最后，损失惨重。唉，要是有协议自识别就好了!