[发明专利]一种报文解析分流方法及装置

说明书

本发明提供一种报文解析分流方法及装置，其中所述方法包括步骤：接收报文并组建关键信息Key；根据所述组建的关键信息Key查询预置的行为分析表；根据所述查询结果判断所接收的报文是否为大流量报文；当大流量报文时，则查询预置的DPI资源分析表，获取当前处于闲置状态的DPI处理单元；将所述大流量报文发送至所述当前处于闲置状态的DPI处理单元进行报文处理；将经DPI处理单元处理后的报文发送至目的端口。本发明对报文进行分类处理，能有效剔除非法报文，快速而准确的处理合法报文，并提高大流量报文的处理能力，快速响应高优先级的实时型报文的优先处理，提高了后端DPI等网络DPI分析设备的处理性能，节约网络资源。

技术领域

本发明涉及服务报文解析技术领域，具体涉及一种报文解析分流方法及装置。

背景技术

伴随着互联网的飞速发展，网络业务的多元化和复杂化，通信单元的网络分析任务越来越繁重，因而对网络流量的识别分流也提出了更高的要求。现有的网络流量的识别处理主要是根据网络流量的提取网络流的前三个包的包长值检查，从而识别出所属协议类型，如果是大流量对象则执行基于深入网包载荷的细粒度的网络流量识别处理，如果小流量对象，则执行粗粒度的网络流量识别处理。如专利申请号为：201310676369.X、名称为《一种基于网络流量的协议识别方法和系统》中国发明专利，就介绍了这种报文处理的方法。参见图1，在该发明中，网络流量识别处理步骤包括：步骤101：设备接收网络流并解析前三个包的包长值；步骤102：根据前三个包的包长值输入预置分类器识别出流量类型；步骤103：根据识别结果判断是否为大流量对象；步骤104：若是大流量对象则进行细粒度的网络流量识别，步骤105：若是小流量对象则进行粗粒度的网络流量识别。

上述专利文献所揭示的网络流量识别的处理方案，其对接收的网络流量报文进行协议识别处理时，通过一个预置分类器，根据网络流中的前三个报文的包长值作为基准，识别出是大流量对象还是小流量对象，实现了对不同类型的报文进行不同的处理方式。

然而，这种方法中对于大流量报文的处理是基于深入网包载荷的处理，所需时间长，而且在高速条件下，受限于宽带限制；同时没有考虑报文如果属于非法报文需要首先丢弃的情况，也没有考虑到如果是属于实时型报文，需要及时处理的情况；而且也不关心后端单元的实时处理情况，可能造成网络拓扑中分析单元的处理能力较低的情况。

发明内容

本发明的目的在于，针对现有报文处理方法中存在的上述缺陷，提供一种新的报文解析分流方案，该方案能够能有效剔除非法报文，对合法报文能够快速而准确的处理，并提高大流量报文的处理能力，快速响应高优先级的实时型报文的优先处理，提高了后端DPI(deep packet inspection，深度包检测)等网络分析单元的处理性能。

为实现上述目的，本发明的技术方案为：

根据本发明的一个方面，提供了一种报文解析分流方法，包括步骤：

接收报文，并获取所述报文的长度、源MAC地址、目的MAC地址、源IP地址、目的IP地址以及协议版本号，将上述报文的长度、源MAC地址、目的MAC地址、源IP地址、目的IP地址以及协议版本号组建成关键信息Key；

根据所述组建的关键信息Key查询预置的行为分析表，所述行为分析表是一种记录了报文的关键信息Key及其对应的报文类型标记flag和报文处理动作的Hash表；

根据所述查询的行为分析表中的报文类型标记flag判断所接收的报文是否为大流量报文；

当所接收的报文为大流量报文，则查询预置的DPI资源分析表，获取当前处于闲置状态的DPI处理单元，所述DPI资源分析表实时记录DPI处理单元的资源使用状况；

将所述大流量报文发送至所述当前处于闲置状态的DPI处理单元进行报文处理；

将经DPI处理单元处理后的报文发送至目的端口。