[发明专利]协议识别方法、协议识别装置及设备

说明书

技术领域

本发明涉及网络技术，尤其涉及一种协议识别方法、协议识别装置及设备。

背景技术

随着网络应用范围的扩展，协议类型也越来越多，因此，各网络节点需要对数据包进行协议识别，才能正确地处理数据包。例如，网络节点采用多包识别方法，将接收到的数据包不断送入引擎，引擎遍历所有规则，对当前数据包进行分析如分析当前数据包的关键字、单包包长、端口等，判断该当前数据包是否命中某条单包规则。如果所有的单包子规则都被命中即命中多包所有规则，则认为匹配，从而识别出数据包所用的协议。

但是，多包识别方法中数据包与数据包之间是独立的，各自都只做单包检测，再将检测结果组合进行识别。而随着网络应用复杂性的提高，单个数据包的特征越来越弱，仅对单个数据包进行分析匹配，无法识别出其所使用的协议。如何准确、迅速、高效的识别此类数据包，成为深度包检测(DeepPacket Inspection，DPI)领域新的挑战。

因此，目前急需一种协议识别方法来对上述数据包进行识别，以保证准确、迅速、高效的识别数据包。

发明内容

本发明实施例提出一种协议识别方法、协议识别装置及设备，以实现准确、迅速、高效的对数据包进行协议识别。

本发明实施例提供了一种协议识别方法，包括：

接收数据流；

对所述数据流上的第一数据包进行特征分析，以获得所述第一数据包的特征；

当查找到与所述第一数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，记录所述统计规则和所述第一数据包的样本信息，其中，所述统计规则与协议相对应，所述统计规则包括入口条件及识别模式；

接收所述数据流上的后续数据包，并记录所述后续数据包的样本信息；

当接收的所述数据流上的数据包的数量达到预设值时，对记录的数据包进行统计分析，以获得所述数据流的统计特征；

判断所述统计特征是否与所述入口条件所属的统计规则的所有识别模式相匹配，当所述统计特征与所述所有识别模式相匹配时，判断出所述数据流所使用的协议为所述入口条件所属的统计规则对应的协议。

本发明实施例还提供了一种协议识别装置，包括：

接收模块，用于接收数据流；

特征获取模块，用于对所述数据流上的第一数据包进行特征分析，获得所述第一数据包的特征；

查找模块，用于当查找到与所述第一数据包的特征相匹配的入口条件时，查找所述入口条件所属的统计规则，记录所述统计规则，其中，所述统计规则与协议相对应，所述统计规则包括入口条件及识别模式；

第一处理模块，用于记录所述第一数据包的样本信息；

第二处理模块，用于接收所述数据流上的后续数据包，并记录所述后续数据包的样本信息；

统计特征获取模块，用于当接收的所述数据流上的数据包的数量达到预设值时，对记录的数据包的样本信息进行统计分析，以获得所述数据流的统计特征；

识别模块，用于判断所述统计特征是否与所述入口条件所属的统计规则的所有识别模式相匹配，当所述统计特征与所述所有识别模式相匹配时，判断出所述数据流所使用的协议为所述入口条件所属的统计规则对应的协议。

本发明实施例还提供了一种网络节点设备，包括接收端口、数据流识别引擎及协议识别引擎，其中，所述接收端口用于向所述数据流识别引擎和所述协议识别引擎转发数据流，所述数据流识别引擎用于对数据流进行识别，协议识别引擎为上述所述的协议识别装置。

本发明实施例提供的协议识别方法、协议识别装置及设备，通过对数据流上的一系列数据包进行统计分析，获得统计特征，并通过统计特征与统计规则的识别模式进行匹配识别出数据流所使用的协议，解决了现有技术无法识别特征较弱的数据包的问题，通过对一系列数据包之间的统计特征进行分析识别，满足了现有识别方法无法识别的协议识别需求比如数据流采用加密等协议。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种协议识别方法的流程图；

图2为本发明实施例提供的另一种协议识别方法的流程图；

图3为本发明实施例提供的协议识别装置的结构示意图；

图4为本发明实施例提供的网络节点设备结构示意图。

具体实施方式