专利名称:高速网络协议深度检测装置及检测方法
技术领域:
本发明涉及网络协议识别领域,尤其涉及一种高速网络协议深度检测装置及检测方法。
背景技术:
在当今高速大容量的hternet环境中,内容安全是网络安全的重要组成部分。对于网络管理来说,最重要的就是识别和区分网络流量,通过协议识别可以对网络进行流量控制、网络计费、内容过滤、以及流量管理。
传统的协议识别采用的是端口识别,这种识别能达到较高的速率,但是现在大量的应用层协议为了避免识别,逃避防火墙的检查,不使用固定的端口进行通信.这不仅包括众多近年新出现的P2P协议,而且包括了越来越多的传统协议,比如BitTorrent、eMule 等P2P协议,其采用动态端口进行通信;Skype、QQ等协议则共用80端口。越来越多诸如此类协议的产生,使得端口识别已无能无力,因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议。发明内容
针对上述问题,本发明的目的在于提供一种高速网络协议深度检测装置及检测方法,较好的避开复杂的DFA构建过程,节省了存储空间,充分利用芯片的线速处理能力和硬件流水线技术提高了性能。
为达到上述目的,本发明所述一种高速网络协议深度检测装置,包括管理单元、控制单元及转发分析处理单元,其中;
管理单元,设置各种协议处理规则及处理策略并传送到控制单元;同时接收控制单元反馈回的信息;
控制单元,接收管理单元传送的协议处理规则及处理策略并转化为转发分析处理规则传送到转发分析处理单元;同时监控转发分析处理单元的实时信息传送到控制单元;
转发分析处理单元,根据转发分析处理规则处理输入的报文流,并输出处理后的报文流。
优选地,所述转发分析处理单元包括精确匹配模块、正则表达式匹配模块及转发决策模块,其中;
精确匹配模块,对输入的报文流进行精确匹配处理,将匹配成功的报文流直接传送到转发决策模块;
正则表达式匹配模块,对未精确匹配成功的报文流进行匹配处理,将匹配成功的报文流传送到转发决策模块;
转发决策模块,对匹配成功的报文流进行转发决策处理后输出。
优选地,所述正则表达式匹配模块包括缓存确定型有限自动机、配置信息存储单元、正则表达式匹配信息存储单元以及流程控制模块,其中;
缓存确定型有限自动机,对未精确匹配成功的报文流进行字符串匹配处理并传送到配置信息存储单元;
正则表达式匹配信息存储单元,存储正则表达式匹配信息;
配置信息存储单元,存储字符串匹配处理后的报文流,并与正则表达式匹配信息存储单元交互,按正则表达式匹配信息对报文流进行正则表达式匹配,并将处理后的报文流传送到流程控制模块;
流程控制模块,接收控制单元发出的流程控制指令,将处理后的报文流输出。
优选地,所述正则表达式匹配信息存储单元内的信息由控制单元写入。
为达到上述目的,本发明所述一种检测方法,包括以下步骤
对输入的报文流进行基于特征字与掩码相结合的精确匹配;
根据精确匹配结果判断是否进行正则表达式匹配
若精确匹配成功,则直接进行转发决策处理。
反之,则进行正则表达式匹配,然后进行转发决策处理。
本发明的有益效果为
本发明提供一种高速网络协议深度检测装置及检测方法,可以较好的避开复杂的 DFA构建过程,节省了存储空间,并充分利用特定芯片的线速处理能力和硬件流水线技术提高性能。
图1是本发明实施例所述高速网络协议深度检测装置的结构图2是实施例所述转发分析处理单元的结构分布图3是实施例所述正则表达式匹配模块的结构以及和控制单元的关系图。
具体实施方式
下面结合说明书附图对本发明做进一步的描述。
如图1所示,本发明实施例所述一种高速网络协议深度检测装置,包括管理单元、 控制单元及转发分析处理单元,其中;
管理单元,提供给网络管理人员使用telnet,web,ssh, snmp, cli等方式来管理设备,设置各种协议处理规则及处理策略并传送到控制单元;同时接收控制单元反馈回的信息;
控制单元,接收管理单元传送的协议处理规则及处理策略并转化为转发分析处理规则传送到转发分析处理单元,即控制单元用于分析管理单元下发的策略,进行分析后, 转化为转发分析处理单元的规则,写入到转发分析处理单元硬件转发引擎中,提供了转发平面报文处理的规则信息,实现了对转发的控制;同时监控转发分析处理单元的实时信息传送到控制单元;
转发分析处理单元,根据转发分析处理规则处理输入的报文流,并输出处理后的报文流。转发分析处理单元的作用是根据设定的规则,处理输入的报文流,处理的结果根据安全策略有所不同,包括输出转发,告警,直接丢弃等。
该装置通过采用转发分析处理单元,控制单元,管理单元相分离的设计方式,保证了最耗费资源的协议分析任务不影响装置的管理,管理模块的运维和升级等操作也不会影响报文的分析处理,保证了装置的系统稳定性。如图2所示为转发分析处理单元的结构分布图。所述转发分析处理单元包括精确匹配模块、正则表达式匹配模块及转发决策模块,其中;精确匹配模块,对输入的报文流进行精确匹配处理,将匹配成功的报文流直接传送到转发决策模块;正则表达式匹配模块,对未精确匹配成功的报文流进行匹配处理,将匹配成功的报文流传送到转发决策模块;转发决策模块,对匹配成功的报文流进行转发决策处理后输出。在执行过程中,先对输入的报文流进行精确匹配处理,如果匹配成功则跳过正则表达式匹配模块,直接进行转发决策处理;反之则进行正则表达式匹配处理,然后进行转发决策处理。因精确匹配模块可以直接采用能够线速转发处理的ACL芯片,保证了转发的高性能。精确匹配模块受控制平面的控制,即可以开启也可关闭,开启时控制平面需要下发匹配的特征字和掩码信息。如图3所示为正则表达式匹配模块的结构以及和控制单元的关系图。所述正则表达式匹配模块包括缓存确定型有限自动机、配置信息存储单元、正则表达式匹配信息存储单元以及流程控制模块,其中;缓存确定型有限自动机,对未精确匹配成功的报文流进行字符串匹配处理并传送到配置信息存储单元;正则表达式匹配信息存储单元,存储正则表达式匹配信息;配置信息存储单元,存储字符串匹配处理后的报文流,并与正则表达式匹配信息存储单元交互,按正则表达式匹配信息对报文流进行正则表达式匹配,并将处理后的报文流传送到流程控制模块;流程控制模块,接收控制单元发出的流程控制指令,将处理后的报文流输出。正则表达式(Regular Expression)描述了一种字符串匹配的模式,可以用来检查一个串是否含有某种子串、将匹配的子串做替换或者从某个串中取出符合某个条件的子串寸。常用的识别正则表达式的方式是使用FSM(有限自动机),有两种类型的FSM 确定性有限自动机(DFA)与非确定性有限自动机(NFA)。DFA对每个输入只产生一个状态转移, 而NFA对每个输入可能产生多个状态转移。NFA的特点是占用存储空间小,但在匹配过程中每读入一个字符,都要更新其维护的全部状态,以避免漏匹配,而且一个NFA —般只对应一条正则表达式,因此为支持多正则表达式匹配,需构建多个NFA并发工作,随规模的增长性能迅速下降,但由于深度报文检测要求吞吐能力强,因此,大多数研究基于DFA而非NFA。总结来说,正则表达式匹配模块主要分成两部分,第一部分是缓存确定型有限自动机,用于字符串精确匹配,第二部分是正则表达式匹配执行部分。这两部分需要协同工作,所以字符串存储区是必不可少的,图中没有标出。输入数据从左端流入,字符串匹配结构读入数据并判断是否发生匹配,输出匹配字符串号和输入数据送入正则表达式匹配执行部分,最后输出匹配的正则表达式号。所述正则表达式匹配信息存储单元内的信息由控制单元写入。
5
为达到上述目的,本发明所述一种检测方法,包括以下步骤对输入的报文流进行基于特征字与掩码相结合的精确匹配;根据精确匹配结果判断是否进行正则表达式匹配若精确匹配成功,则直接进行转发决策处理。反之,则进行正则表达式匹配,然后进行转发决策处理。以上,仅为本发明的较佳实施例,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求所界定的保护范围为准。
权利要求
1.一种高速网络协议深度检测装置,其特征在于,包括管理单元、控制单元及转发分析处理单元,其中;管理单元,设置各种协议处理规则及处理策略并传送到控制单元;同时接收控制单元反馈回的信息;控制单元,接收管理单元传送的协议处理规则及处理策略并转化为转发分析处理规则传送到转发分析处理单元;同时监控转发分析处理单元的实时信息传送到控制单元;转发分析处理单元,根据转发分析处理规则处理输入的报文流,并输出处理后的报文流。
2.根据权利要求1所述的高速网络协议深度检测装置,其特征在于,所述转发分析处理单元包括精确匹配模块、正则表达式匹配模块及转发决策模块,其中;精确匹配模块,对输入的报文流进行精确匹配处理,将匹配成功的报文流直接传送到转发决策模块;正则表达式匹配模块,对未精确匹配成功的报文流进行匹配处理,将匹配成功的报文流传送到转发决策模块;转发决策模块,对匹配成功的报文流进行转发决策处理后输出。
3.根据权利要求2所述的高速网络协议深度检测装置,其特征在于,所述正则表达式匹配模块包括缓存确定型有限自动机、配置信息存储单元、正则表达式匹配信息存储单元以及流程控制模块,其中;缓存确定型有限自动机,对未精确匹配成功的报文流进行字符串匹配处理并传送到配置信息存储单元;正则表达式匹配信息存储单元,存储正则表达式匹配信息;配置信息存储单元,存储字符串匹配处理后的报文流,并与正则表达式匹配信息存储单元交互,按正则表达式匹配信息对报文流进行正则表达式匹配,并将处理后的报文流传送到流程控制模块;流程控制模块,接收控制单元发出的流程控制指令,将处理后的报文流输出。
4.根据权利要求3所述的高速网络协议深度检测装置,其特征在于,所述正则表达式匹配信息存储单元内的信息由控制单元写入。
5.一种检测方法,其特征在于,包括以下步骤对输入的报文流进行基于特征字与掩码相结合的精确匹配; 根据精确匹配结果判断是否进行正则表达式匹配 若精确匹配成功,则直接进行转发决策处理。 反之,则进行正则表达式匹配,然后进行转发决策处理。
全文摘要
本发明公开一种高速网络协议深度检测装置,包括管理单元、控制单元及转发分析处理单元,其中,管理单元设置各种协议处理规则及处理策略并传送到控制单元;同时接收控制单元反馈回的信息;控制单元接收管理单元传送的协议处理规则及处理策略并转化为转发分析处理规则传送到转发分析处理单元;同时监控转发分析处理单元的实时信息传送到控制单元;转发分析处理单元根据转发分析处理规则处理输入的报文流,并输出处理后的报文流。本发明提供一种高速网络协议深度检测装置及检测方法,可以较好的避开复杂的DFA构建过程,节省了存储空间,并充分利用特定芯片的线速处理能力和硬件流水线技术提高性能。
文档编号H04L12/24GK102523139SQ20121000291
公开日2012年6月27日 申请日期2012年1月6日 优先权日2012年1月6日
发明者刘凯 申请人:深圳市共进电子股份有限公司