[发明专利]用于数据处理的系统和方法

说明书

本发明涉及一种用于数据处理的方法和系统，其中，所述系统包括：接口，其用于接收指定网络业务的数据，其中所述数据包含所述指定网络业务的数据报文的应用层载荷；以及，自学习引擎，其用于根据所述接收的数据利用文法推断来产生所述指定网络业务的模式。利用该方法和系统，可以消除人工配置DPI模式的繁琐工作并避免了人工操作可能导致的各种错误。

技术领域

本发明涉及网络安全领域，更具体地，涉及网络安全领域中的深度报文检测技术。

背景技术

深度报文检测（DPI）是对数据报文的有效载荷（从层3到层7）进行检测的网络报文处理装置，用于检查网络业务中的协议不一致性、病毒、垃圾邮件、入侵等，或者基于其他预定义的模式或规则来检查网络业务，从而决定要对网络业务中的数据报文采取什么动作。DPI将入侵检测系统（IDS）和入侵防护系统（IPS）的功能与传统的状态防火墙结合了起来。这种结合将传统防火墙的过滤与检测从TCP/IP层向上扩展到了应用层，并且能够检查整个网络业务的数据报文流。DPI能够基于与报文数据有效载荷中提取的信息所对应的签名数据库来对网络业务进行识别和分类，从而比仅基于数据报文头部的分类实现更精细的控制。因此，DPI能够用于阻止各种各样的攻击。分类后的数据报文可以被重定向、作标记/加标签、阻止、速率限制以及记录以用于将来分析。

由于DPI使得能够实现高级网络管理、用户服务、安全功能以及互联网数据挖掘等，目前许多企业、公司、服务提供者和政府正在广泛的应用中使用DPI。

类似于传统的IDS/IPS，DPI的能力取决于模式匹配技术。在实践中，DPI是基于描述网络业务特性的一组模式（或签名），该模式（或签名）描述了合法业务（肯定模式）或攻击业务（否定模式）的特性。DPI仅仅能够检测具有已知模式（肯定模式）的网络协议业务，或者识别由否定模式定义的网络攻击。因此，模式是DPI中的核心角色。

但是在当前，定义DPI模式主要依赖于人工操作，并且工程师或用户必须使用正则表达式或其他形式化语言来描述网络协议业务模式或攻击模式的特性。图1示出了现有技术中的一种深度报文检测（DPI）系统100，其包括模式容器103和DPI匹配引擎105。在上述深度报文检测（DPI）系统100中，工程师或用户必须人工地使用正则表达式或其他形式化语言来定义合法业务模式（肯定模式）或攻击模式（否定模式），并将这些模式输入到模式容器103中进行存储。之后，DPI匹配引擎105可以使用模式容器103中存储的各种模式进行业务的识别和分类。在上述深度报文检测（DPI）系统100中，无论增加、删除还是更新模式都需要工程师或用户的人工参与，显然，这种方式是复杂的、成本高昂的以及易出错的。

发明内容

考虑到现有技术的以上问题，本发明实施例提供了一种用于数据处理的方案，其可以消除人工配置DPI模式的繁琐工作，并可避免人工操作可能导致的各种错误。

按照本发明实施例的一种用于数据处理的系统，包括：接口，其用于接收指定网络业务的数据，其中，所述数据包含所述指定网络业务的数据报文的应用层载荷；以及，自学习引擎，其用于根据所述接收的数据利用文法推断来产生所述指定网络业务的模式。

其中，所述系统还包括：匹配引擎，基于所述模式来检查待监测的数据报文所属的网络业务类型，即指定的网络业务是合法的网络业务还是非法的网络业务。

其中，所述指定网络业务的数据是所述应用层载荷，以及，所述自学习引擎包括自学习内核，用于对所述应用层载荷进行文法推断以生成压缩形式结构的模式，作为所述指定网络业务的模式。

其中，所述指定网络业务的数据是所述数据报文，所述自学习引擎包括：预处理器，用于从所述数据报文中提取所述应用层载荷；以及，自学习内核，用于对所提取的应用层载荷进行文法推断以生成压缩形式结构的模式，作为所述指定网络业务的模式。

其中，所述自学习引擎还包括：翻译器，用于将所述压缩形式结构的模式转换为形式文法的模式，作为所述指定网络业务的模式。