专利名称:深度报文检测方法和系统的制作方法
技术领域:
本发明涉及通信领域,并且特别地,涉及一种深度才艮文检测方 法和系统。
背景技术:
随着互联网^支术的快速发展,在网络上7fC载的内容越来越丰富, 网络服务供应商也向客户提供了越来越多的服务内容,同时,这些 服务根据不同的应用进行区分。这就要求网络设备能够提供较复杂 的才艮文处理能力,能够区分不同的应用,并为不同的应用提供不同 级别的带宽。
在过去,网络设备都是通过4层以下的报文头信息来区别不用 的应用,常用的有二层MAC地址、五元组等。但是,随着网络应 用越来越丰富,靠4层以下的报文头信息已经不能完全的区分不同 的应用,这时就需要查看4层以上甚至是才艮文内容,对应用层进行 分析,进而区分不同的应用,这就是深度报文检测的产生。
然而,不同网络应用有不同的情况,如果l又采用特征字匹配的办法, 那么对网络应用的识别将有一定局限性。
然而,目前缺乏深度才艮文才企测系统的相关4支术。
发明内容
考虑到目前仅采用特征字进行报文深度检测具有局限性的问题 而做出本发明,为此,本发明的主要目的在于提供一种深度报文检 测方法和系统,以解决相关寺支术中的上述问题。
根据本发明的一个方面,提供了 一种深度报文检测方法。
才艮据本发明实施例的深度才艮文冲企测方法包括对网路应用的预 定数据流设置检测模版,其中,检测模版包括报文特征、模版特征、 以及模版动作,并将报文特征、模版特征以及模版动作存储在特征 库中,其中,模版特征用于规定模版中不同报文特征之间的关系; 对报文进行报文特征匹配,根据报文特征匹配结果进行模版特征匹 配,并才艮据才莫版特4正匹配结果#丸4亍相应的才莫版动作。
其中,上述报文特征包括端口号特征、协议类型特征、特征 码、行为特征。
优选地,上述对才艮文进行才艮文特征匹配,才艮据才艮文特征匹配结 果进行模版特征匹配具体为对报文进行端口号特征的匹配,并保 存匹配结果;对报文进行协议类型特征的匹配,并保存匹配结果; 对才艮文进4亍特征码匹配,并保存匹配结果;对净艮文进行4亍为特征的 匹配,并保存匹配结果;才艮据保存的端口号特征、协议类型特征、 特征码、行为特征的匹配结果,进行模版特征的匹配。
根据本发明的另 一方面,提供了 一种深度报文才企测系统。
根据本发明实施例的深度报文检测系统包括设置模块,用于 对网路应用的预定数据流设置检测模版,其中,检测模版包括报文 特征、模版特征、以及模版动作,并将报文特征、模版特征以及模 版动作存储在 征库中,其中,模版特征用于规定模版中不同报文特征之间的关系;匹配模块,用于对报文进行报文特征匹配,根据 报文特征匹配结果进行模版特征匹配;执行模块,用于根据模版特
征匹配结果执4亍相应的才莫片反动作。
其中,上述才艮文特征至少包括端口号特征、协议类型特征、 特征码、行为特征。
此外,设置模块进一步包括存储模块,用于存储端口号特征、 协议类型特征、特征码、行为特征以及才莫版特征。
此外,上述匹配才莫块进一步用于对才艮文进4亍端口号特4i的匹 配;对报文进行协议类型特征的匹配;对才艮文进4亍特征码匹配;对 报文进行行为特征的匹配。
此外,上述匹配模块进一步包括保存模块,用于保存端口号 特征、协议类型特征、特征码、行为特征的匹配结果;才莫版特征匹 配模块,用于根据端口号特征、协议类型特征、特征码、行为特征 保存的匹配结果,进行模版特征的匹配。
综上所述,借助于本发明的技术方案,通过对深度报文检测增 加了协议分析和行为检测,能够增强深度报文检测系统识别能力, 简化系统设计过程,提高通用性和可扩展性以及系统整体设计效率。
本发明的其它特4i和优点将在随后的i兌明书中阐述,并且,部 分地从说明书中变得显而易见,或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。
附图用来提供对本发明的进一步理解,并且构成说明书的一部 分,与本发明的实施例一起用于解释本发明,并不构成对本发明的
限制。在附图中
图1是根据本发明实施例的深度报文检测方法的流程图2是根据本发明实施例的深度才艮文4企测方法详细处理的流程
图3是根据本发明实施例的深度报文检测系统的框图; 图4是根据本发明实施例的识别模版的框图。 l本实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此 处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本 发明。
方法实施例
在本实施例中,提供了一种深度报文检测方法,图l是根据本 发明实施例的深度报文检测方法的流程图,如图1所示,包括以下 步骤
步骤S102,对网路应用的预定数据流设置检测模版,其中,检 测模版包括报文特征、模版特征、以及模版动作,并将报文特征、 模版特征以及模版动作存储在特征库中,其中,模版特征用于规定 模版中不同报文特征之间的关系;并且,报文特征包括端口号特 征、协议类型特征、特征码、行为特征;
7步骤S104,对报文进行报文特征匹配,根据报文特征匹配结果 进行模版特征匹配,并根据模版特征匹配结果执行相应的冲莫版动作。
通过上述处理,实现了对才艮文全面深度的识別。
下面,结合附图,对一个网络翁:据流(由相同的源IP地址、目 的IP:l也址、协i义号、源端口号、目的端口号构成的一系列净艮文), 在进入深度报文检测系统后的深度识别的过程进行详细说明。图2 是根据本发明实施例的深度报文检测方法详细处理的流程图,如图 2所示,包4舌以下处理
1、 对报文进行端口号特征的匹配,并保存匹配结果,其中,端 口号是指网络应用的报文所对应的端口号特征;
2、 对报文进行协议类型特征的匹配,并保存匹配结果,其中, 协议类型是指网络应用的才艮文所对应的应用层协i义类型特征;
3、 对才艮文进行特征码匹配,并保存匹配结果,其中,特征码是 指网络应用的报文所携带的字符串特征;
4、 对报文进行行为特征的匹配,并保存匹配结果,其中,行为 特征是指网络应用的报文所对应的行为特征;
5、 根据保存的端口号特征、协议类型特征、特征码、行为特征 的匹配结果,进4亍才莫版4争;f正的匹配;
6、 在匹配上才莫版特;f正后,执4亍相应的才莫片反动作。 系乡克实施例根据本发明的实施例,提供了 一种深度报文检测系统,图3是 根据本发明实施例的深度报文检测系统的框图,包括设置模块30、 匹配才莫块32、执4亍才莫块34,以下具体描述以上各个组成部分
设置模块30,用于对网路应用的预定数据流设置检测模版,其 中,检测模版包括报文特征、模版特征、以及模版动作,并将报文 特征、模版特征以及模版动作存储在特征库中,其中,模版特征用 于规定模版中不同报文特征之间的关系;并且,报文特征至少包括 端口号特征、协议类型特征、特征码、行为特征;
此外,设置^^莫块30进一步包括存储^t块,用于存储端口号特 征、协议类型特征、特征码、行为特征以及才莫版特征。
匹配模块32,用于对报文进行报文特征匹配,根据报文特征匹 配结果进行模版特征匹配,具体地,匹配模块32进一步用于对报 文进行端口号特征的匹配;对净艮文进行协议类型特征的匹配;对净艮 文进4亍特征码匹配;对才艮文进^^f亍为特4正的匹配;
此外,上述匹配^t块32进一步包括保存才莫块,用于保存端口 号特征、协议类型特征、特征码、行为特征的匹配结果;模版特征 匹配模块,用于根据端口号特征、协议类型特征、特征码、行为特 征保存的匹配结果,进行才莫版特征的匹配。
执行模块34,用于根据模版特征匹配结果执行相应的模版动作。
也就是说,如图4所示,深度报文检测系统将检测模板中的端 口号特征40、协议类型特征41、特征码42、行为特征43、模板特 4正44,分别添力口到用于端口号匹配、妨、i义类型匹配、特4正/玛匹配、 行为特征匹配、模板特征匹配的特征库中;然后,对针对网络数据 流的报文,进行模板匹配,在匹配后,执行模版动作45。需要说明的是,针对某一个网络应用可以定义一个或多个模板, 每个才莫板都对应该网络应用的某一种凄t才居流。
综上所述,借助于本发明的技术方案,通过对深度报文检测增 加了协议分析和行为检测,能够增强深度报文检测系统识别能力, 筒化系统设计过程,提高通用性和可扩展性以及系统整体设计效率。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明, 对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在 本发明的精神和原则之内,所作的任何修改、等同替换、改进等, 均应包含在本发明的保护范围之内。
权利要求
1.一种深度报文检测方法,其特征在于,包括对网路应用的预定数据流设置检测模版,其中,所述检测模版包括报文特征、模版特征、以及模版动作,并将所述报文特征、所述模版特征以及所述模版动作存储在特征库中,其中,所述模版特征用于规定模版中不同报文特征之间的关系;对报文进行报文特征匹配,根据报文特征匹配结果进行模版特征匹配,并根据模版特征匹配结果执行相应的模版动作。
2. 根据权利要求1所述的方法,其特征在于,所述报文特征包括 端口号特征、协议类型特征、特征码、行为特征。
3. 根据权利要求2所述的方法,其特征在于,所述对报文进行报 文特征匹配,根据报文特征匹配结果进行才莫版特征匹配具体 为对所述报文进行端口号特征的匹配,并保存匹配结果;对所述才艮文进行协议类型特征的匹配,并保存匹配结果;对所述才艮文进行特征码匹配,并4呆存匹配结果;对所述报文进行行为特征的匹配,并保存匹配结果;才艮据保存的所述端口号特征、所述协议类型特征、所述特 征码、所述行为特征的匹配结果,进行才莫版特征的匹配。
4. 一种深度报文检测系统,其特征在于,包括设置模块,用于对网路应用的预定数据流设置检测模版, 其中,所述检测模版包括报文特征、模版特征、以及模版动作, 并将所述报文特征、所述模版特征以及所述模版动作存储在特征库中,其中,所述才莫版特征用于^见定冲莫版中不同才艮文特征之间的关系;匹配模块,用于对报文进行报文特征匹配,根据报文特征 匹配结果进行模版特征匹配;执行模块,用于根据模版特征匹配结果执行相应的模版动作。
5. 才艮据权利要求4所述的系统,其特征在于,所述净艮文特征至少 包括端口号特征、协议类型特征、特征码、行为特征。
6. 根据权利要求5所述的系统,其特征在于,所述设置^^块进一 步包括存储冲莫块,用于存储所述端口号特征、所述协议类型特征、 所述特4正码、所述4于为特4正以及所述冲莫片反特4正。
7. 根据权利要求5所述的系统,其特征在于,所述匹配模块进一 步用于对所述报文进行端口号特征的匹配;对所述才艮文进行 协议类型特征的匹配;对所述才艮文进行特征码匹配;对所述报 文进4亍4亍为4争4正的匹西己。
8. 才艮据4又利要求4所述的系统,其特4i在于,所述匹配才莫块进一 步包括保存^f莫块,用于保存所述端口号特征、所述协议类型特征、 所述特4正码、所述4亍为特4正的匹配结果;模版特征匹配模块,用于才艮据所述端口号特征、所述协议 类型特征、所述特征码、所述行为特征保存的匹配结果,进行 才莫版特征的匹配。
全文摘要
本发明公开了一种深度报文检测方法和系统,该方法包括对网路应用的预定数据流设置检测模版,其中,检测模版包括报文特征、模版特征、以及模版动作,并将报文特征、模版特征以及模版动作存储在特征库中,其中,模版特征用于规定模版中不同报文特征之间的关系;对报文进行报文特征匹配,根据报文特征匹配结果进行模版特征匹配,并根据模版特征匹配结果执行相应的模版动作。借助于上述技术方案,能够增强深度报文检测系统识别能力,简化系统设计过程,提高通用性和可扩展性以及系统整体设计效率。
文档编号H04L29/06GK101621504SQ200810128209
公开日2010年1月6日 申请日期2008年6月30日 优先权日2008年6月30日
发明者吴学锋 申请人:中兴通讯股份有限公司