[发明专利]协议识别方法、协议识别装置及设备

权利要求书

1.一种协议识别方法，其特征在于，包括：

接收数据流；

对所述数据流上的第一数据包进行特征分析，以获得所述第一数据包的特征；

当查找到与所述第一数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，记录所述统计规则和所述第一数据包的样本信息，其中，所述统计规则与协议相对应，所述统计规则包括入口条件及识别模式；

接收所述数据流上的后续数据包，并记录所述后续数据包的样本信息；

当接收的所述数据流上的数据包的数量达到预设值时，对记录的数据包进行统计分析，以获得所述数据流的统计特征；

判断所述统计特征是否与所述入口条件所属的统计规则的所有识别模式相匹配，当所述统计特征与所述所有识别模式相匹配时，判断出所述数据流所使用的协议为所述入口条件所属的统计规则对应的协议。

2.根据权利要求1所述的协议识别方法，其特征在于，所述接收所述数据流上的后续数据包，并记录所述后续数据包的样本信息，包括：

对所述数据流上的后续数据包进行特征分析，以获得所述后续数据包的特征；

当查找到与所述后续数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，判断是否已记录匹配的入口条件所属的统计规则，若已记录，则记录所述后续数据包的样本信息和已接收数据包的个数；

当未查找到与所述后续数据包的特征相匹配的入口条件时，则记录所述后续数据包的样本信息和已接收数据包的个数。

3.根据权利要求1所述的协议识别方法，其特征在于，所述获得所述数据流的统计特征包括：

对已接收的所述数据流上的所有数据包的包长求和、获取所有数据包的包长范围、获取所有数据包的包长均值、包长序列、包长集合。

4.根据权利要求1或2所述的协议识别方法，其特征在于，记录所述第一个数据包的样本信息具体为记录所述第一数据包的长度及传输方向。

5.根据权利要求1或2所述的协议识别方法，其特征在于，记录所述后续数据包的样本信息具体为记录所述后续数据包的长度及传输方向。

6.一种协议识别装置，其特征在于，包括：

接收模块，用于接收数据流；

特征获取模块，用于对所述数据流上的第一数据包进行特征分析，获得所述第一数据包的特征；

查找模块，用于当查找到与所述第一数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，记录所述统计规则，其中，所述统计规则与协议相对应，所述统计规则包括入口条件及识别模式；

第一处理模块，用于记录所述第一数据包的样本信息；

第二处理模块，用于接收所述数据流上的后续数据包，并记录所述后续数据包的样本信息；

统计特征获取模块，用于当接收的所述数据流上的数据包的数量达到预设值时，对记录的数据包的样本信息进行统计分析，以获得所述数据流的统计特征；

识别模块，用于判断所述统计特征是否与所述入口条件所属的统计规则的所有识别模式相匹配，当所述统计特征与所述所有识别模式相匹配时，判断出所述数据流所使用的协议为所述入口条件所属的统计规则对应的协议。

7.根据权利要求6所述的协议识别装置，其特征在于，所述第二处理模块，包括：

特征获取单元，对所述数据流上的后续数据包进行特征分析，以获得所述后续数据包的特征；

样本记录单元，当查找到与所述后续数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，判断是否已记录匹配的入口条件所属的统计规则，若已记录，则记录所述后续数据包的样本信息和已接收数据包的个数；当未查找到与所述后续数据包的特征相匹配的入口条件时，则记录所述后续数据包的样本信息和已接收数据包的个数。

8.根据权利要求7所述的协议识别装置，其特征在于，所述统计特征获取模块具体用于获得已接收的所述数据流上的所有数据包的包长度之和，获取所有数据包的包长均值、包长序列、包长集合。

9.根据权利要求7所述的协议识别装置，其特征在于，所述样本记录单元记录所述第一个数据包的样本信息具体为记录所述第一数据包的长度及传输方向。

10.根据权利要求7所述的协议识别装置，其特征在于，所述样本记录单元记录所述后续数据包的样本信息具体为记录所述后续数据包的长度及传输方向。

11.一种网络节点设备，其特征在于，包括：接收端口、数据流识别引擎及协议识别引擎，其中，所述接收端口用于向所述数据流识别引擎和所述协议识别引擎转发数据流，所述数据流识别引擎用于对数据流进行识别，协议识别引擎为权利要求6-10任一项所述的协议识别装置。