[发明专利]一种基于净荷特征识别的搜狐天龙八部游戏业务识别方法

说明书

技术领域

本发明是针对当前流行的一款网络游戏天龙八部进行业务识别的研究，主要研究如何基于DPI净荷深度检测有效识别网络游戏业务，并设计了网络游戏业务的识别模型和方法，属于网络新业务流量识别的技术领域，并涉及协议分析领域。

技术背景

随着互联网技术的发展和普及，越来越多的人将业余时间花在互联网上，网络可以提供新闻、视频、直播、网上购物等各种服务，随着网络技术的发展，网络游戏也很快普及，如今游戏画很流畅，种类繁多，人们的娱乐方式也发生了变革，传统的实际操作的游戏已经被网络游戏所取代。大多数流行的游戏是多人协作操作的联机游戏，多个客户端链接到服务器上同时游戏，多数游戏都是及时的，要求操作立即响应，延时不得超过半秒，所以对网络部分的设计要求更高，响应速度更快。

网络游戏不仅带给人们休闲娱乐，还能锻炼玩家的团队协作能力、还能训练长时间集中精神、多个事件同时进行的协调能力。但也不排除沉溺游戏的可能。网络游戏的客户越来越多，也相应带来了一些安全问题，如通过网络游戏散布不健康信息，存在外挂手段，资源下载时可能附带病毒传播，部分玩家使用盗号和黑客工具等，给网络带来不安全的隐患，因此正确识别网络游戏业务，监督用户行为显得尤为重要。

识别游戏业务还存在着技术的不足，现有的技术缺陷主要有：

第一游戏的通信协议时私有的，且其中部分信令使用了加密算法。

第二游戏的版本多，升级比较频繁，而且与多数软件部同的是，它的客户端的升级往往伴随着协议相应的改变。

第三游戏提供文本、数据等业务，各种业务的会话特征均不同，因此对服务器IP地址的“野蛮”封堵并不是解决问题的根本方法，这会导致正常游戏的无法使用。

发明内容

技术问题：本发明的目的是建立一种基于净荷特征字识别的天龙八部游戏识别方法，并设计其模型和算法，通过对天龙八部游戏业务的识别，分析用户的IP地址、目的地址、源端口、目的端口、协议类型，从而进一步分析用户的行为和目的。

技术方案：本发明提供了有效识别天龙八部游戏业务的技术框架，并且详细设计了识别算法，如图1所示。从图中可以看出，从图中可以看出，系统分为四个层面，从上到下依次为：数据采集层、协议分析层、流量识别(业务感知)层和游戏业务表现层。

这里明确一个概念，所谓游戏会话泛指用户登录后的所有游戏交互行为，包括用户登录、身份认证、文本聊天、游戏过程、退出等交互过程。一个游戏账号对应一个游戏会话业务。

本文的关键方法在流量识别层，该层主要方法是天龙八部会话识别方法。通过测试和数据分析，发现游戏会话具备一定的净荷特征，游戏登录过程或链接请求过程中数据端口为3731，净荷特征分为两种：一种净荷长度为20个字节，头部字节为0x9A，0x00，0x04，0x00，0x00；另一种净荷长度为31个字节，头部字节是0x31，0x02，0x19，0x00，0x00)。并且每个包的packet flag为push|ack，通过DPI净荷深度检测机制识别出游戏会话的分组，再根据请求登录令牌，识别出数据包中的游戏账号，以标志一个游戏会话。

然而游戏版本的改动或者协议的改动均会带来游戏净荷特征的变化，因此也必然会使得上述识别方法发生一定的变化。如何能够不改动系统而通过简单的配置就完成对游戏新业务特征的适应是算法的一大挑战，正则表达式正是一个非常好的解决方案，本方法采用正则表达式来表现游戏的会话特征，因此当游戏版本发生变化或者特征发生变化时，本算法只需要简单的修改正则表达式的特征配置文件即可，无需重新修改代码和方法即做到快速高效的更新。

以下详细介绍该设计的各个层面及其识别方法。

1、数据采集层

功能：该层面提供对于不同链路的数据采集或者复制技术，如100/1000MFE、ATM、SDH不同速率的采集或者复制技术，以保障数据完整、可靠地传送至上一层面——协议分析层。接口：该层面与上一层面的接口为比特流数据，向上层提供各种分组信息。

2、协议分析层

功能：该层面提供对于TCP/IP数据的协议解析，目的是为了向上层提供足够的IP分组头部和TCP/UDP的头部信息及其必要的分组净荷信息，以满足上一层面流量识别层对业务的识别和感知。