1.HTTP数据特征分析方法,其特征在于:包括如下步骤:
S1,接收注入的互联网数据,判断注入的互联网数据是否为HTTP数据;
S2,当判断注入的互联网数据不是HTTP数据时,使所述互联网数据进入DPI引擎进行深度包特征检测;
S3,当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
S4,使体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
S5,使头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后, 将与特征指纹库匹配的数据标记为特征指纹所示的应用。
2.根据权利要求1所述的HTTP数据特征分析方法,其特征在于:所述S1步骤包括如下过程:判断接收到的数据流是否为TCP数据,如果是,则检查其目的端口是否为80;如果是,则依据RFC 2616标准对应用层数据进行数据包拆解,判断其数据包中是否包含HTTP的请求方法,如果包含,则标记该数据流为HTTP数据流;否则,认定该数据流是非HTTP数据流。
3.根据权利要求1所述的HTTP数据特征分析方法,其特征在于:在所述S5步骤中所述HTTP_DPI引擎对HTTP头部的解析包括如下过程:
S51,所述HTTP_DPI引擎将HTTP头部中的各个头域独立存储,并给每个头域分配一个指针结构体(数据单元);
S52,所述HTTP_DPI引擎对指针结构体(数据单元)进行扫描,并操作多个指针结构体(数据单元)同时偏移,以对多个头部结构进行并行解析;
S53,将扫描得到的指针结构体(数据单元)的数据与特征指纹库进行匹配查找,若可查询到与该数据相吻合的特征指纹,则定义该指针结构体(数据单元)为特征指纹,若获取的特征指纹可唯一指示一个实际应用时即定义该数据流为所述实际应用;若不能,则等待该数据流其他数据单元的特征指纹,然后合并查找是否存在组合特征;若存在,则该数据流定义为组合特征所示的应用,若不存在,则该数据流定义为未被识别的应用。
4.根据权利要求3所述的HTTP数据特征分析方法,其特征在于:所述HTTP_DPI引擎的数据匹配算法包括 HTTP报文单次扫描多次匹配算法。
5.根据权利要求1所述的HTTP数据特征分析方法,其特征在于:在S5步骤之前还包括S6步骤:根据RFC规定,将HTTP数据的头部划分成若干指针结构体,针对每个指针结构体均建立独立的指纹匹配DFA图,将若干指针结构体的指纹匹配DFA图集合形成特征指纹库。
6.根据权利要求5所述的HTTP数据特征分析方法,其特征在于:所述应用指纹库生成算法包括稀疏矩阵的有限状态机算法。
7.HTTP数据特征分析系统,其特征在于:包括:DPI引擎及HTTP_DPI引擎,还包括依次通信的互联网数据识别单元、非HTTP数据处理单元、HTTP数据识别单元、体域处理单元及头部处理单元;
所述互联网数据识别单元用于接收注入的互联网数据,并判断注入的互联网数据是否为HTTP数据;
所述非HTTP数据处理单元与所述DPI引擎通信,其用于当判断注入的互联网数据不是HTTP数据时,使注入的互联网数据进入DPI引擎进行深度包特征检测;
所述HTTP数据识别单元用于当判断注入的互联网数据是HTTP数据时,识别出HTTP数据的体域及头部;
所述体域处理单元与所述DPI引擎通信,期用于使识别出的体域不做分段解析直接进入所述DPI引擎进行深度包特征检测;
所述头部处理单元与所述HTTP_DPI引擎进行通信,其用于使识别出的头部进入HTTP_DPI引擎中进行解析,所述HTTP_DPI引擎将头部划分成若干指针结构体,按指针结构体独立并行解析,并在匹配到特征指纹库后,将与特征指纹库匹配的数据标记为特征指纹所示的应用。