（1）单包中包含通信双方完整的通联信息，可以从单包直接提取；

　　（2）单包中只包含用户及代理服务器之间的通联信息，需要关联提取；

　　（3）单包中不含通信双方的信息，只包含会话信息。

　　其中第二种情况较普遍。鉴于单包提取的局限性，需要将同一会话的飞信数据包关联组合起来，还原飞信通信的会话。飞信通信会话还原的流程如图6所示，主要包含两个步骤：飞信会话的识别和飞信会话数据包的排序还原。

　　图6飞信通信会话还原流程图

　　在飞信会话识别方面，通过寻找同一会话的惟一标识来识别。对于不同的会话类型，惟一标示是不一样的。文本会话主要基于M类型数据包识别；文件会话传输的数据包中有“filetransfer?id”可以惟一标示此类会话；视频会话传输的数据包中的字段“I：”代表CallID，在整个会话过程中是保持不变的。

　　在会话数据包排序方面，基于SIP的排序机制进行数据包排序。飞信数据包中均包含有一个字段“Q：”代表CSeq，也就是CommandSequence，由一个整数的序列号和一个SIP方法组成。这个序列号在一个会话过程中每次加1，来标识一个飞信会话过程各个数据包的顺序。

　　5飞信协议识别与多元通联关系提取系统设计

　　与实现

　　5.1软件主要功能及实现流程

　　本系统基于MicrosoftVisualStudio2008以及MicrosoftSQLServer2005设计实现。该软件具有以下功能：

　　（1）基于端口筛选和SIP协议的识别，得到与飞信通信相关的原始数据记录；

　　（2）基于正则表达式匹配处理飞信相关的各类协议数据，将飞信通信相关的数据报文分成三类：文本聊天、文件传输及音/视频通信；

　　（3）基于数据包关联技术还原飞信通信完整的会话过程；

　　（4）从飞信通信的会话中分类提取飞信用户及他们之间相互通联的信息；

　　（5）根据数据库中的数据调用Pajek软件画出基于飞信软件通信的用户通联关系图。

　　软件处理流程图如图7所示。

　　图7Fetion通联关系提取软件实现流程图

　　5.2软件系统测试分析

　　软件系统测试环境如图8所示。在20台PC机上分别使用飞信软件做相互聊天、发送文件、视频通信等试验。在出口交换机上设置端口镜像采集网络数据，利用wireshark软件截包存成pcap文件写入数据库。测试中用数据量大小为200M的pcap文件。

　　图8软件测试场景图

　　将测试数据导入软件系统，得到测试结果。以飞信文件传输为例，图9展示了飞信文件传输通联关系的部分数据图，图10展示了使用Pajek绘图软件绘制的飞信文件传输通联关系网络图。

　　在实验过程中对通联关系提取完整率进行评估，如图11所示。已知20个飞信用户共发送文本聊天信息200条，软件系统实际提取192条，通联关系完整率为96%；共发送文件50次，软件实际提取49次，通联关系完整率为98%；共使用视频通信40次，实际提取34次，通联关系完整率为85%。

　　图9飞信文件通联关系部分数据图

　　图10飞信文件传输通联关系网络图

　　图11软件实际提取通联关系完整率统计图

　　6结语

　　作为中国移动官方推出的即时通信软件，飞信拥有广大的客户群，对飞信用户通信行为的识别与分析对犯罪组织行为分析、敏感人群定位等具有重要的研究意义。尽管飞信通信内容是明文可见的，但复杂的互联网环境导致对飞信多业务通联关系提取仍面临诸多现实困难，本文通过对飞信通信的数据包分析，总结提取出基于飞信文本聊天、文件传输、音/视频通信的相关通信协议，采用端口和正则表达式匹配的方式从大量混杂的网络数据中准确识别和提取飞信通信相关报文；采用数据包关联的技术还原了飞信通信会话，增强了在多种飞信业务中通联关系获取的完整性；设计并实现了在被动截获方式下飞信协议识别与多元通联关系提取系统，验证了上述方法的有效性。

　　参考文献
     
        [1]CUIW，KANNANJ，WANGHJ.Discoverer：automaticprotocolreverseengineeringfromnetworktraces[C]
//Proceedingsof16thUSENIXSecuritySymposiumonUSENIXSecuritySymposium.Boston，MA，USENIXAssociation，2007：111121.

　　[2]RAYMONDB.JENNINGSIII，NAHUMEM.Astudyofinternetinstantmessagingandchatprotocols[J].IEEENetwork.2006（6）：3440.

　　[3]冯朝胜，邓婕，秦志光，等.即时通信蠕虫传播建模[J].计算机工程，2010，36（5）：143145.

　　[4]LEVANDOSKIJ，SOMMERE，STRAITM.ApplicationlayerpacketclassifierforLinux[EB/OL].[2010-1024].http：//l7?filter.sourceforge.net.

　　[5]ZHENXiao，GUOLei，TRACEYJohn.Understandinginstantmessagingtrafficcharacteristics[C]//Proceedingsof27thInternationalConferenceonDistributedComputingSystems.[S.l.]：[s.n.]，2007：150160.

　　[6]AVRAHAMID，HUDSONSE.Communicationcharacteristicsofinstantmessaging：effectsandpredictionsofinterpersonalrelationships[C]//
ProceedingofCSCW'06.Banff，Alberta，Canada：CSCW，2006：505?514.

　　[7]赵远萍.即时通信系统拓扑建模及消息传播模型研究[D].北京：北京邮电大学，2010.

　　[8]金婷，王攀，张顺颐.基于DPI和会话关联技术的QQ语音业务识别模型和算法[J].重庆邮电学院学报：自然科学版，2006，18（6）：789792.

　　[9]吴琼.即时通信信息检测监控技术的研究与实现[D].郑州：解放军信息工程大学，2010.

　　[10]余壮辉，黄永忠，周蓓.即时通信信息还原并行处理模型[J].计算机工程，2008，34（5）：128130.

　　[11]CHRISTIAND，WICHMANNA，FELDMANNA.Ananalysisofinternetchatsystems[C]//Proceedingsofthe3rdACMSIGCOMMConferenceonInternetMeasurement.[S.l.]ACM，2003：5164.

　　[12]余飞，吴鑫.基于网络数据包的即时通信协议信息还原技术的研究[J].电子测量技术，2010，33（6）：130133.

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。