CN1265578C

CN1265578C - 用于探试性防火墙的方法和装置

Info

Publication number: CN1265578C
Application number: CNB018080278A
Authority: CN
Inventors: 詹姆斯B·乔伊斯
Original assignee: Individual
Current assignee: Individual
Priority date: 2000-04-14
Filing date: 2001-03-23
Publication date: 2006-07-19
Anticipated expiration: 2021-03-23
Also published as: TW550921B; US6519703B1; MXPA02010189A; WO2001080480A1; EP1279248A1; CA2405749A1; AU2001247735B2; HK1056460A1; EP1279248A4; JP2003531430A; CN1423870A; AU4773501A; CA2405749C

Abstract

本发明所描述的是一种分析数据包流(22)的方法。该方法用探试性阶段(16、18、20)以及可信度因子及其级别(14)进行潜在的恶意数据包(22)的检测。

Description

用于探试性防火墙的方法和装置

技术领域

本发明总体上涉及到计算机网络安全的方法和装置，更具体地涉及到探试性计算机防火墙。

背景技术

在题目为“基于神经网络的入侵检测系统模型”的论文(作者：李鸿培，王新梅，发表于中国西安电子科技大学学报，第26卷第5期，1999年10月)中，讨论了利用神经网络设计识别用户异常行为的入侵检测系统的方案，即提取用户正常行为样本的特征来构造用户正常行为的特征轮廓；用神经网络扫描系统的审计迹得到的检测样本与用户特征轮廓进行比较，以两者的偏差作为证据，并结合证据理论来提高检测的正确率。另外，在题目为“网络入侵检测中的不确定性推理方法”的论文(作者：魏欣杰，马建峰，发表于中国西安电子科技大学学报，第26卷第2期，1999年4月)中，在分析常规的入侵检测方法难以适应网络环境的问题及用户信息和专家知识的模糊性和不确定性基础上，提出将人工智能中的不确定性推理方法应用于网络入侵检测系统。给出了一种基于模糊关系的不确定性的传播方法，该方法可处理在入侵检测中遇到的模糊的、不确定的信息，从而有效地判断出用户的入侵行为。

常规的基于规则的计算机安全防火墙以不同的复杂的规则集或者″规则库″为基础。进入这种防火墙的数据包与一个或多个规则库中的信息以及规则进行比较以确定是否应该允许数据包通过这种防火墙。规则库的建立以逻辑比较(例如，布尔值)的概念及经过规则列表的顺序规则流(例如，从上到下)为前提。当规则库变得更复杂时，它们就需要更多的系统和处理器的开销。因此，使用防火墙的机构常常在规则库的复杂性和感知的需要的数据吞吐量之间妥协；以牺牲一些安全来换取性能。

简单和复杂规则库之间的切换常常需要人的干预，甚至最复杂的规则库也以与最简单的规则库相同的逻辑和线性方式来处理数据。而且，由于受到数据存储的约束、逻辑分析的限制、以及与相当复杂的规则库关联的处理器开销的需求，常规的防火墙都是静态对象，它所提供的安全仅仅限于防火墙管理员的知识和能力并且这种防火墙既不从流过它们的数据中进行学习，也不能适应那些数据。因此，常规的防火墙就不能执行这样的模式匹配和分析的需求，这些需求与减轻由现今和未来的计算机骇客所造成的安全威胁相关。

因此提供用于探试性防火墙的方法和装置是有必要的，这些方法和装置使防火墙能够从流过它们的数据中学习并适应这些数据以便能更好地减轻这样的安全威胁。提供用于综合多种分析的方法和装置也是有必要的，这样作就可以提供比常规的防火墙的功能更高水平的功能。这种方法和装置更进一步地需要具有能够应付计算机网络安全的多方面的能力。另外，需要的功能包括：(1)提供针对已知计算机安全威胁的解决方案；(2)动态地适应新的和未来的计算机安全的利用尝试；以及(3)对不需要的频带外(00B)及/或隐蔽的通道通信活动的分析和响应。

发明内容

因此，在本发明的一种实施方案中，提供用于处理计算机通信网络中数据包的方法，它包括如下步骤：(1)使用指派第一探试性阶段进行数据包流的分析，该阶段接受训练以识别潜在的恶意数据包；(2)根据与已分析的数据包的危害性对应的可信度级别，给已分析的流中的数据包指派可信度等级；以及(3)根据它们被指派的可信度等级来选择需要进一步分析的数据包。

这种范例实施方案克服了以前的用于提供防火墙安全的方法的缺点并且能够从流过网络的数据中进行学习和适应这些数据以提供额外的网络安全。

附图说明

图1是本发明的探试性防火墙的实施方案的结构方块图。

图2是本发明的探试性防火墙的实施方案的高层块图，它配置为处理来自因特网的输入数据。

图3是实施探试性算法的神经元网络的实施方案块图。

图4以清单方式例举了图3所示的神经元网络的训练数据集。

应当理解的是，本发明的有些实施方案的实现使用了运行于合适的处理器的软件或固件，所以在图示的块图的个别块并不一定就代表单独的硬件部件。

具体实施方式

在本发明一种实施方案中并参照图1的结构块图，提供探试性防火墙10A，它将常规的规则库12和14与各种探试性分析算法16、18和20相结合。探试性分析算法16、18和20提供防火墙中改进的模式识别，该模式识别已超越了规则库的能力。探试性算法16、18和20范畴内的例子包括，但不限于，″模糊逻辑″和″神经元网络″。规则库12和14可以当作是″专家系统″的实例。通过将探试性分析算法和专家系统相结合，本发明的各实施方案提供安全的适应性以及加强级别，这是常规的防火墙不能提供的。

探试性防火墙10A包括多种分析或控制阶段，其中包括传统防火墙规则库、多种探试性分析程序、控制逻辑以及起支撑作用的硬件和软件(即，计算机、操作系统、通信链路、数据库集以及语法分析程序等等)。参照图1所示的实施方案，例如通过因特网进入防火墙接口的数据包22被扇出并导入多种探试性分析算法阶段16、18和20，而每个阶段又负责总体分析的不同方面。

原始数据包22也传送到第一缓冲区24，该缓冲区保持前面的原始数据包直到探试性分析阶段16做出判定。(在一种实施方案中没有示出，其它的探试性分析及/或控制阶段也给这个判定提供依据。)根据探试性分析阶段16的判定，在缓冲区24中的数据包就释放到适当的处理阶段。如果数据包被视为″高-可信度″或″佳-可信度″(与安全、验证以及有效性等有关)，则它们就从第一缓冲区24释放到传统防火墙规则库12中进行处理。如果数据包被视为″边缘-可信度″，则它们就释放到更加复杂的防火墙规则库14中进行处理。如果数据包被视为″低-可信度″，则它们就转送26离开防火墙10A。(在一种实施方案中，那些已转送的数据包要接受额外的分析及/或处理以进一步确定造成低可信度的原因。例如，可能正在遭到一种未知或未识别类型威胁的攻击并进一步分析可能显露有关攻击来源或者改进避免攻击的途径的细节。在有些情况下，可以建立到网络仿真器[图1中未示出]的连接，用以刺激″骇客″继续他所认为是成功的攻击，并由此而提供更多的可用来分析和可以来确定它们的源的数据包。)

经防火墙规则库12或复杂规则库14处理过的可接受的数据包会被接收并送到第二缓冲区28。(在一种实施方案中，将不可接受的数据包写到异常日志以供管理员以后查阅。在另一种实施方案中，提供一种选项用以记录不可接受的数据包或者记录这些数据包并转发用于分析的数据。)根据不同于探试性分析16的一个或多个探试性分析的可信度结果，对于在第二缓冲区28中的数据包，或者以一种与缓冲区24中的数据包相似的处理方式转送到26，或者将它们传送到网络30，例如，公司的本地或广域网。在这种实施方案中，在第二缓冲区28中的数据包处理的控制是由探试性算法阶段18和20的分析确定的。提供控制逻辑32以便结合结果形成单一判定从而控制第二缓冲区28。转送单元26例如，是日志文件、分析阶段或者像/dev/null这样的″位元桶″。

在一种实施方案，探试性处理和分析阶段16、18和20会有变化并覆盖几个不同的处理和分析方法。例如，探试性阶段包括下列的一项或多项：探试性引擎(s)、适当的样本训练数据(输入/输出)、探试性算法(s)、数据准备程序(s)、传递函数(s)、过滤器(s)、正常化程序(s)、共轭及/或反共轭处理、静态及/或动态阀值(s)、脉冲响应(s)或其它的数学或逻辑部件(s)。探试性阶段16、18和20例如，配置为函数或控制或者受控于其它的探试法(例如，控制路径34)、逻辑(例如，控制逻辑32)、控制或各分析阶段等。

图2是高层块图，它图示了本发明的探试性防火墙10B的一种实施方案，该防火墙配置为处理来自因特网的输入数据22。在使用以前，探试性防火墙10B要接受训练以便执行指定的需要的任务。在这种实施方案中，例如，第一探试性阶段36接受训练以便识别绝对高-可信度的通信量、计算机病毒、特洛伊签名、拒绝服务攻击签名以及其它的计算机安全利用签名。在训练之后及使用期间，如果探试性阶段36清除了具有″高-可信度″等级的数据包流(即，探试性阶段36对数据包22分析之后产生高级别的可信度，该数据包流并不包含探试性阶段36接受训练后检测到的威胁)，缓冲区24将那些数据包释放到经安全处理的通道38，然后就直接进入网络30。如果经探试性阶段36的处理之后，仅产生了较低的没有威胁的可信度等级(即，″佳-可信度″等级)，缓冲区24将数据包释放到传统防火墙规则库12中进行标准方式的处理。在这种情况下，传统的防火墙规则库12输出到缓冲区28。如果探试性阶段36确定数据包流受到一定程度的损坏或它们是不需要的或者确定了威胁已检测到(″低-可信度″)，缓冲区24就将数据包转送到别处，例如，或者转送到防火墙之外(例如，转送到像/dev/null这样的″位元桶″，它们在那里被丢弃)或者将它们转送26到某处进行额外的处理。如果探试性阶段36不能确定数据包(″边缘-可信度″)的有效性，缓冲区24将数据包释放到复杂防火墙规则库14进行处理。复杂防火墙规则库24输出到缓冲区40。

如果探试性阶段36认为数据包22的等级是佳-可信度或边缘-可信度，则将数据包转发到另一个探试性阶段44。探试性阶段44提前接受训练以便查找数据包流中的时间及其它的异常，这些异常包括，但并不限于，下列的一项或多项：时间攻击签名、频率分析、传送中的数据包的修改、窜改数据包指示器、频带外(OOB)通信以及/或隐蔽的通道通信等。

在探试性阶段44已经被″佳-可信度″等级的探试性阶段36激活的情况下，与″低-可信度″等级相应的探试性阶段44将数据包转送到缓冲区28。″佳-可信度″等级的探试性阶段44将数据包释放到缓冲区28中然后进入网络30。

在探试性阶段44已经被″边缘-可信度″等级的探试性阶段36激活的情况下，与″低-可信度″等级相应的探试性阶段44将数据包转送到缓冲区40中。″佳-可信度″等级的探试性阶段44将数据包释放到缓冲区40中然后进入网络30。

在一种实施方案，数据准备阶段35、42和45提供输入数据预处理(例如，从原始数据包22中抽出端口和时间戳信息并输入到相应的探试性阶段36、44和46)。此外，当探试性阶段36将数据分类为″高-可信度，″该信息传送37到探试性阶段44，它″清除″那些不需要进一步分析的数据从而节省CPU的周期。

在一种实施方案，探试性防火墙10B的所有接受输入数据包的接口按照图2所示配置。因此，探试性防火墙10B可以相对于网络接口分析来自该防火墙的任何侧的数据。因此，来自与作为目的地的因特网相连的网络30的数据包也进入防火墙10B并且看到与显示给数据包22相似的接口(未示出)。然而，这些数据包的最后输出，如果它们是允许离开防火墙10B的，就进入因特网。在同一种实施方案中，探试性防火墙10B配置为在已经建立会话时就降低防火墙的的干预。

在一种实施方案中并再次参照图2，探试性阶段46是探试性防火墙的相关分析阶段。进入探试性阶段46的输入包括双向(或多向)会话数据。探试性阶段46提前接受训练以分析不需要的会话通信量及/或多机互动的通信量，该通信量包括，例如：特洛伊、拒绝-服务及分布式-拒绝-服务的攻击、隐蔽通道的通信，频带外(OOB)的通信、人在途中的利用以及其它不需要的通信量。

探试性阶段48也是探试性防火墙10B的相关分析阶段。与探试性阶段46相似，探试性阶段48的处理也是基于双向或多向的会话数据，该数据已经被转换为频谱，例如，由数据准备阶段47进行这种转换。具体地讲，在本发明的一种实施方案中，数据包22的解释是以比线性或者时间方式更多的形式进行的。例如，数据包22的流可以表示成基于结合数据包头信息的曲线，该信息可以是像源和目的地址、端口以及时间戳等等的信息。(在这种实施方案中，并不是所有的数据准备阶段35、42、45和47都要从数据包22中抽出前述的那些信息。)该信息用以分析异常、不连续以及可能指示出不可信任数据包的模式。例如，将时间戳转换成频率域，就可以提供检测通过时间域分析而检测不到的异常的机会。

在探试性阶段46或48发现会话数据或者会话数据流中问题的事件中，控制会切换到外部呼叫或者候选过程49。外部呼叫或者候选过程49的范例可以是警报、警告设备、给管理员、安全警官、FBI等提供消息的寻呼系统以及日志文件。在一种实施方案，可以选择这些范例中的任意或所有的项，或者选择立即断开会话，如何选择取决于探试性阶段46或48所确定的严重性的程度。

另外的探试性阶段50、52、54、…N，在一种实施方案中被提供用以实现额外的安全预防。例如，探试性阶段50提供提前接受训练的差分分析算法，该算法用来分析输入数据包流22、可能候选的OOB以及/或隐蔽通道通信的差分。其它的探试性阶段52、54等配置为后续的差分比较。例如，探试性阶段52就是探试性阶段50输入数据的已转换的频率分析的差分。这种技术在有些方案中得到了延伸，延伸的方法是通过修改脉冲函数或修改征对这种算法的响应实现的，该算法用于提供可选的探试性阶段N，它们覆盖了其它可能的OOB或者隐蔽通道通信的情况。

在一种实施方案，″即插即用″型的探试性模块被提供，它们包括：(1)分析表示数据包22流的头信息的时间域曲线的二次差分的模块；(2)分析这种用j＝1与贝塞尔函数共轭之后的曲线的模块；以及(3)分析基于候选的转换函数的频谱的模块等。在一种实施方案中，这些分析与已知的代码及/或像摩尔斯电码和凯撒密码这样的密码进行比较，以尝试发现隐藏的或隐蔽的通道通信。

由于系统的模块性，当需要时，可以逻辑地插入、控制及/或编程探试性阶段50、52、54、…N等以影响任何可编程的期望的系统响应。因此，提供一种高效具有适应性的防火墙结构10B，它能够处理目前和将来的安全需要。

适用于探试性防火墙10A和10B的计算机系统有SUNMICROSYSTEMS计算机系统，它运行的操作系统是SOLARIS，这两者都可从Sun Microsystems，Palo Alto，CA获得。常规的防火墙12和14的实现使用的是SUN SECURE^TM常规防火墙的软件(它也可从SunMicrosystems获得)。能实现探试性阶段16、18、20、36、42、46、48、50、52、54、…N的合适的软件有NEURAL WARE^TM神经元组网软件，该软件可从NEURAL WARE^TM，Inc.，Sewickley Pennsylvania获得。TRADEHARBOR^TM语音签名软件可从TradeHarbor，Inc.，St.Louis，MO获得，该软件也用于语音签名管理授权。该软件所提供的额外的安全针对的是未被授权的软件和数据库的变更，它是通过在这种变更被允许之前提出要求语音签名确认的方式实现的。选择这些计算机系统和软件是因为它们是现成的、能满足需求的变化以及它们的性能、灵活性以及可靠性等特点。对那些谙熟本领域的技术人员来说，在读完和理解了这里给出的本发明的各种实施方案的详细说明之后，候选的硬件和软件平台将会更加清楚。例如，可以使用基于INTELmicroprocessors(IntelCorporation，Santa Clara，CA)的计算机而不使用SUN MICROSYSTEMS的计算机，虽然这样的设计也需要选择其它的操作系统及/或软件。

一种使用神经元网络56实现探试性算法的实施方案以图3的块图形式表示。图示的实施方案使用完全连接、双隐含层、反向传播、S-型传递函数的神经元网络算法。在这种实施方案，提供输入层58的多个处理元件(″PEs″)60，它们在数目上与处理器的精度相等。例如，给32位处理器提供32个输入PE 60。(每个PE 60在内部和许多或者全部的其它的PE 60相连接，连接方式见图3所示的实施方案。连接的方式取决于训练程度和指定的PE 60之间连接的需要情况，这种情况是指给定的算法能适应正在处理的数据。然而，为了降低附图的复杂程度，就没有图示这些连接的内部情况。)两个隐含层62、64中的每一个在这种实施方案中所提供的PE 60的数目是输入层58的两倍(例如，如果在输入层58有32个输入PE 60，那么每个隐含层62、64就有64个PE 60)。输出层66PE60的数目在这种实施方案指派要等于期望从系统56输出的数目。其它实施方案提供不同数目的PE 60并且不一定要与上述的实施方案的关系保持一致。例如，在一种实施方案，输入层58所提供的PE 60的数目与系统以太网卡的位精度相匹配。在另一种实施方案，指派要使用一个隐含层62并且隐含层的数目取决于所期望的功能标准。

当训练神经元网络56时，应该选择准确合适的数据。有效的训练数据集包括，例如，历史的输入及输出数据包的样本，这些样本来自于神经元网络正在为其接受训练的各种类型的数据。在一种实施方案中，要充分地运行将数据提交给神经元网络的迭代以确保进行正确的训练并且已接受训练的系统要经过完全的测试。

在一种实施方案中，神经元网络56也要接受训练以响应具有空间-时间独立性的输入以便使它能继续根据新的和不熟悉的输入来学习和适应。为了确保空间-时间独立性，输入到神经元网络56的数据并不以并行方式输入(例如，对于32个输入PE 60，它一次以32位、4位以及8位或者16位的方式输入)，而是从输入层58的输入PE 60顺序地输入。例如，参考图4所示的训练数据输入范例。神经元网络56的实施方案使用指派包括隐含层62、64以及如图所示的PE 60的数目和并且参照这里所说明的实施方案对其进行了描述，它提供对不熟悉数据具有快速适应能力的渐增的可能性。已经减少隐含层62、64或PE 60数目的实施方案可以供稍微高一点的″处理器效率″，但是它具有更加受限的一般化和动态学习的特点。

神经元网络实施方案56的范例图示于图3，它将探试性的处理与常规的技术结合起来以实现改进的防火墙。在另一种实施方案，常规技术的功能替换为探试性的处理以生成″纯″探试性防火墙。在这种实施方案，图2所示的传统/常规的防火墙规则库12和14替换为基于探试性的规则库。如果希望实现静态规则库，则探试性规则库一旦接受训练，它们就被禁闭，或者训练完成之后，如果希望探试性规则库能继续适应或随时间发展，它们就被当作动态规则库来实现。

在又一种实施方案中，使用其它的神经元网络和探试性算法来实现各种探试性阶段。例如，使用双向相联存储器(BAM)及/或自适应共振原理(ART)算法，但是这些仅表示几个合适的算法的例子，这些算法可用于本发明的各实施方案中。

因此，可以看出的是，本发明的各实施方案提供的是探试性防火墙的方法和装置，它们从数据流中学习并适应数据流以此来减轻安全的威胁。在有些实施方案中提供了多种分析方法以加强安全，并且防火墙的探试本性提供了这样的能力，这种能力可以动态地适应新的计算机安全利用、威胁以及隐藏通道的通信。

尽管本发明已经描述了不同种特定的与计算机网络防火墙系统有关的实施方案的各方面，但是应该承认的是，本发明也可应用到许多其它的与安全有关的产品中。该产品包括例如，网络转发设备、网络仿真系统、生物测量分析及生物异常分析系统、安全结构设计以及安全信息管理系统。因此，那些谙熟本领域的技术人员会明白，在权利要求的精神和范围内本发明经过修改就能够实现。

Claims

1.一种处理计算机通信网络中数据包的方法，该方法包括如下步骤：

利用多个经过差异性训练以识别潜在的恶意数据包的探试性阶段来进行数据包流的分析；

根据与已分析过的数据包的危害性对应的可信度级别，给已分析过的流中的数据包指派可信度等级；以及

根据数据包已被指派的可信度等级，对这些数据包进行选择以供进一步分析。

2.权利要求1中的方法，进一步包括：为了识别能指示含有计算机病毒、特洛伊木马以及拒绝服务攻击的组中至少一个成员的数据包而提前进行第一探试性阶段的训练。

3.权利要求1中的方法，其中根据数据包已被指派的可信度等级而对这些数据包进行选择以供进一步分析包括如下的步骤：(1)释放″较高可信度数据包″，该数据包已被指派了能指示其没有恶意并具有较高可信度的可信度级别；(2)进一步分析″较低可信度数据包″，该数据包已被指派了能指示其没有恶意并具有较低可信度的可信度级别。

4.权利要求3中的方法，其中对较低可信度数据包的进一步分析包括：使用第一规则库对较低可信度数据包进行分析。

5.权利要求4中的方法，进一步包括如下步骤：(1)将界于较低可信度数据包与较高可信度数据包的可信度等级的中间可信度等级指派给至少一些″边缘可信度数据包″；(2)使用第二规则库对边缘可信度数据包进行分析。

6.权利要求5中的方法，进一步包括使用第二探试性阶段对边缘可信度数据包进行分析。

7.权利要求6中的方法，进一步包括，为了识别能指示数据包流中至少时间异常的数据包而对第二探试性阶段进行训练。

8.权利要求7中的方法，其中为识别能指示数据包流中至少时间异常的数据包而对第二探试性阶段进行的训练包括：为识别这样的组中至少成员之一而对第二探试性阶段进行训练，该组包含时间攻击签名、频率分析、传送中的数据包的修改、窜改数据包指示器、频带外(OOB)通信以及/或隐蔽的通道通信等。

9.权利要求6中的方法，进一步包括：根据由第二探试性阶段指派的可信度等级，有选择地释放已被第一规则库分析过的数据包。

10.权利要求9中的方法，进一步包括如下步骤：(1)第一探试性阶段将界于较低可信度数据包与较高可信度数据包的可信度等级的中间可信度等级指派给至少一些“边缘可信度数据包”；(2)使用第二规则库对边缘可信度数据包进行的分析；(3)根据第二探试性阶段所指派的可信度等级，有选择地释放已被第一规则库分析过的数据包；(4)根据第二探试性阶段所指派的可信度等级，有选择地释放已被第二规则库分析过的数据包。

11.权利要求1中的方法，进一步包括，转送已被分析过并被确定为对网络仿真器有恶意的数据包。

12.权利要求1中的方法，所述的方法对进入的和出去的数据包流都要执行。

13.权利要求1中的方法，其中为识别潜在的恶意数据包而使用已接受训练的至少第一探试性阶段对数据包流进行分析包括以下步骤：使用多个已接受过差异性训练的探试性阶段对数据包流进行分析。

14.权利要求1中的方法，其中使用多个已接受过差异性训练的探试性阶段对数据包流进行分析包括：使用已经接受过训练的探试性阶段对数据包流进行分析，该探试性阶段接受训练以用于分析已被转换为频率域的数据包流。

15.权利要求1中的方法，其中使用多个已接受过差异性训练的探试性阶段对数据包流进行分析包括：使用已经接受过训练的探试性阶段对数据包流进行分析，该探试性阶段接受训练以用于分析数据包流的差分。

16.权利要求1中的方法，其中使用多个已接受过差异性训练的探试性阶段对数据包流进行分析包括：使用各探试性阶段对数据包流进行的分析，该探试性阶段配置为分析后续的差分比较。

17.权利要求1中的方法，其中根据数据包已被指派的可信度等级对这些数据包进行选择以供进一步分析包括如下步骤：使用至少第二探试性阶段，(1)释放″较高可信度数据包″，该数据包已被指派了能指示其没有恶意并具有较高可信度的可信度级别；(2)进一步分析″较低可信度数据包″，该数据包已被指派了能指示其没有恶意并具有较低可信度的可信度级别。

18.一种处理计算机通信网络中数据包的方法，包括：

使用经过训练以响应具有空间-时间独立性的输入的至少第一探试性阶段来进行数据包流的分析；

根据与已分析过的数据包的危害性有关的可信度级别，给已分析过的流中的数据包指派可信度等级；以及

19.权利要求18中的方法，其中使用第一探试性阶段对数据包流进行分析包括：使用完全连接、双隐含层、反向传播、S-型传递函数的神经元网络算法对数据包流进行分析。