[发明专利]一种控制多种不同网络协议分析开关的方法及装置

说明书

本发明涉及数据包识别技术，本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

技术领域

本发明涉及网络安全分析检测技术领域，具体是一种控制多种不同网络协议分析开关的方法及装置，此方法及装置可提高分析的效率。

背景技术

在网络安全分析检测领域，网络通信数据的协议信息至关重要，通常采用网络协议识别装置将通信数据的协议信息检测出来，然后根据所属的协议信息进一步做高级的安全检测分析，目前已知的协议类型成千上万，对应不同协议下的分析方法也各不相同，但在特定的网络环境下不会是所有通信协议数据都有，但是目前主流的分析装置在做识别和分析时，均未根据网络环境的实际情况对系统需要进行的识别和分析检测做有效的开关控制，缺乏灵活性，同时还会使系统产生额外的资源消耗。

发明内容

针对现有技术中的分析方法会使系统产生额外的资源消耗的技术问题，本发明公开了一种控制多种不同网络协议分析开关的方法，本发明还公开了一种控制多种不同网络协议分析开关的装置。

本发明的技术方案如下：

本发明公开了一种控制多种不同网络协议分析开关的方法，其具体包括以下的步骤：步骤一、初始化分析过滤器，注册分析回调方法，并配置分析过滤器，根据环境配置需要被识别的协议；步骤二、采集数据包，使用结果过滤器判断该数据包是否需要分析，是则依次调用分析过滤器注册的分析回调方法进行协议分析，否则继续采集下一个数据包；步骤三、根据步骤二的分析结果配置结果过滤器。通过上述方法采用分析过滤器实现协议分析的开关，通过开关与执行函数的绑定做到根据实际配置，减少了循环遍历的次数，实现灵活，同时还不会使系统产生额外的资源消耗。

更进一步地，上述注册分析回调方法就是将执行函数和执行条件关联起来的过程，具体包括以下步骤：1.设置函数可以被允许执行的条件；2.实现函数的具体执行内容；3.当设置的执行条件被满足时，识别函数将立即执行。通过注册分析回调方法实现当设置的执行条件被满足时，网络协议的识别。从而快速识别出数据包中所采用的网络协议。

更进一步地，上述注册分析回调方法具体为：a.分配一个可以存储N个函数指针的内存空间；b.将协议编号为M的协议分析函数的指针存储在内存数组空间FuncArray[M]处；其中N为协议的总个数，M为从0到N-1之中的任意一个数。通过上述方法快速实现分析回调方法的注册，采用内存空间指针的分配方式，实现简便且效率高。

更进一步地，上述配置分析过滤器的过程具体为：i.内存的每一个比特位来控制一种协议；ii.在分析过滤器中打开关于某种协议的分析开关；iii.从分析过滤器中读取某种协议的分析开关是否被打开，若打开则调用相应注册的回调函数。通过上述方法实现分析过滤器的快速配置，只要控制一个比特位就可以控制分析过滤器对应某种协议的开关，进一步提高了网络协议分析的效率。

更进一步地，上述协议分析的具体过程为：获取分析过滤器中已经被用户配置了的需要被分析的协议编号，当编号为Z的协议需要被分析识别时，调用内存数组空间FuncArray[Z]的注册函数即可进行协议分析。通过上述方法，快速实现网络协议分析。

更进一步地，上述结果过滤器用于对分析过滤器的结果进行过滤，其具体包括以下的步骤：当分析结果已经显示当前数据包不是采用某种协议时，通过结果过滤器将对应的内存位置置为1，后续的数据包将不再调用该协议的回调函数做分析。通过结果过滤器再一次进行分析结果的过滤，避免了多次的循环，提高了协议识别的效率。