图1飞信文件传输的全过程

　　图2飞信文本聊天的全过程

　　2.3飞信音/视频通信过程

　　图3描述的过程是飞信用户Alice点击好友列表的飞信用户Bob，请求视频通信，Bob同意视频通信；然后视频通信一段时间后，Alice断开视频通信，视频通信结束。这个过程包括Alice的视频请求、Bob同意请求、双方建立P2P直连传输视频数据以及最后视频结束断开连接。

　　3端口与正则表达式匹配相结合的飞信报文

　　识别

　　在计算机科学中，正则表达式是指用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串；一个正则表达式就是用某种模式去匹配一类字符串的一个公式。在飞信报文的识别方面，同样是采用一个正则表达式去匹配飞信报文的某些特征字段，达到从大量混杂网络数据中准确识别和筛选出飞信通信的相关报文并对其进一步分类的目的。

　　图3飞信视频通信的全过程

　　3.1飞信通信特征分析

　　为了快速准确识别飞信通信报文，并达到进一步分类的目的，对飞信通信报文的特征字段的选择成为一个关键问题。

　　对飞信通信报文识别的协议特征分为以下两个层面：

　　（1）飞信业务报文特征；

　　（2）飞信特定应用服务报文特征。

　　通过仔细研究飞信通信的数据报文，如图4所示，飞信业务报文特征主要有两个：

　　（1）绝大部分飞信通信报文通过TCP协议的固定端口8080传输。选择8080端口作为初次筛选的报文特征，能够快速去除混杂网络数据当中绝大部分的冗余，提高报文识别的效率。

　　（2）由于飞信通信是基于SIP的承载，在每个飞信数据包的data字段中均有“SIP?C/4.0”的SIP协议版本字段。通过对这个字段的匹配可以较为准确地识别飞信业务报文。

　　图4飞信文本聊天数据包

　　3.2基于正则表达式的飞信通信报文识别

　　飞信特定应用服务有很多种，本文主要关注与飞信文件传输、文本聊天、音/视频通信的相关应用。通过对不同类型飞信数据报文的分析，可以发现所有类型的飞信数据类型均能够使用“SIP?C/4.0”附近的一些字符串来识别。具体过滤规则如表1所示。

　　表1中的特征字段是具体各个飞信通信报文中的实际报文字段，每种字段代表了一种飞信通信类型的报文，可以通过对这个特征字段的识别达到识别飞信特定应用服务类型的目的。表1中的区分标示是指在具体的区分过程中构造正则表达式区分这些特征的标示。这样，就可以对不同类型的飞信数据报文进行分类处理。

　　表1飞信特定应用服务报文特征

　　[特征字段＼&报文类型＼&区分标示＼&Sfetion.com.cnSIP?C/4.0＼&文本聊天会话初始化报文＼&S＼&Mfetion.com.cnSIP?C/4.0＼&主动发送文字信息数据报文＼&Mfetion＼&M己方飞信号SIP?C/4.0＼&被动接收文字信息数据报文＼&M[0?9]*＼&SIP?C/4.0200OK＼&应答类型报文＼&200OK＼&Rfetion.com.cnSIP?C/4.0＼&文本聊天会话注册报文＼&R＼&BNfetion.com.cnSIP?C/4.0＼&好友信息更新报文＼&BN＼&INfetion.com.cnSIP?C/4.0＼&主动邀请报文＼&INfetion＼&IN己方飞信号SIP?C/4.0＼&被邀请报文＼&IN[0?9]*＼&Ifetion.com.cnSIP?C/4.0＼&主动请求视频通信报文＼&Ifetion＼&I己方飞信号SIP?C/4.0＼&被请求视频通信报文＼&I[0?9]*＼&SIP?C/4.0100Trying＼&等待视频请求应答报文＼&100Trying＼&SIP?C/4.0183SessionProgress＼&同意视频通信请求报文＼&183Session＼&Bfetion.com.cnSIP?C/4.0＼&断开视频连接报文＼&B＼&]

　　得到飞信通信数据报文的匹配特征之后，可以通过构造正则表达式匹配的方式实现飞信通信数据报文的识别。

　　如图5所示，飞信协议识别的流程主要分为三个步骤：

　　（1）对8080端口的筛选，从大量混杂的网络数据当中除去冗余数据，提高后续处理的效率；

　　（2）构造正则表达式，对飞信业务报文的承载特征进行匹配，从网络数据当中识别相关的业务报文；

　　（3）通过正则表达式匹配飞信特定应用服务的标示字段，从飞信的业务报文中识别各个特定的飞信业务信息。

　　图5飞信协议识别流程图

　　4基于会话还原的飞信通联关系提取

　　通过对单个飞信数据包的分析，发现并不能够完整地获得其中的通联关系。主要原因有：

　　（1）与飞信通信机制相关。因为飞信的通信大部分通过代理服务器进行，飞信用户实际上是在跟各自的代理服务器通信，而不是直接通信。

　　（2）通信用户信息的缺省。有些通信报文是缺省飞信接收方的，这是因为双方在短时间内曾经建立通信会话，代理服务器可以通过会话号来寻找信息接收对象。

　　基于以上两点原因，飞信通联关系的单包提取有以下情况：

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。