现有协议自识别技术不足

　　目前，市场上仅有少数几款IDS/IPS产品具有这种协议自识别功能，但是它们存在以下不足：

　　1）有些方法单纯基于协议数据流所包含的某个关键字就认为识别出了其所属协议类型，比如当匹配到”GET”关键字时就认为是HTTP协议，而没有对本次协议识别结果进行验证，缺点是误报率高；

　　2）有些协议自识别方法将整个协议数据流当作一个文本，采用文本分类和检索方法来识别其所属协议类型，因此无法识别二进制格式的协议；

　　3）有些协议自识别方法工作时需要捕获未知协议流的多数网络报文，存在协议识别结果上的滞后性，无法满足实时性要求；

　　4）现有多数协议自识别方法算法实现复杂，并且没有采用有效的优化措施来提高协议自识别的性能，导致IDS/IPS产品在开启协议自识别功能后性能低下，因此默认情况下关闭此功能。

　　启明星辰协议自识别技术优势

　　在对现有协议自识别方法进行深入研究以及对目前所有网络协议进行统计分析后，启明星辰公司成功设计了一种高效的协议自识别方法——VFPR方法 (Venus Fast Protocol Recognition)。该协议自识别方法基于协议指纹识别和协议规则验证技术实现，能够在网络协议通信初期根据前期网络报文特征自动识别所属协议类型，并采用预先建立的协议验证规则进一步验证协议识别结果正确性。VFPR方法包括前期协议样本特征提取和在线协议识别两个阶段，其中，协议样本特征提取阶段包括协议类型样本的协议指纹提取和相应协议验证规则建立过程，协议识别阶段包括协议指纹快速匹配和协议识别结果快速验证等过程方法。VFPR方法的协议指纹识别过程基于快速哈希表方法实现，而协议验证规则执行过程基于高效的专用网络报文处理虚拟机实现。

　　与其它协议自识别方法相比较，VFPR方法优势在于：

　　——VFPR方法同时支持对文本格式和二进制格式协议，功能完备；

　　——仅依据协议流前期报文就可以识别协议类型，可以满足实时性要求；

　　——一旦识别成功，可以智能记忆识别结果，对后继的通信可以起到“协议导航”的作用，既提高了效率，又避免了因识别时机滞后所带来的漏报；

　　——识别规则可以灵活配置，可以像升级事件特征库一样定期对协议指纹库进行远程在线升级，以增加新的协议识别规则；

　　——VFPR方法效率高，并可基于配置文件在协议识别结果准确率和算法效率之间进行调整，模块灵活性和可操作性强，可满足各种应用场景。

　　目前，VFPR方法已经成功应用到启明星辰的天阗IDS产品中，测试结果表明，VFPR方法的实时性和准确率高，算法开销较小，在不影响现有IDS检测引擎性能的情况下，有效提高了天阗IDS产品的检测准确率。