[发明专利]一种精确识别跨报文协议特征的方法

说明书

本发明涉及一种精确识别跨报文协议特征的方法,采用了在matched_list未遍历结束时，而做出了一套相应的处理流程设计；在matched_list遍历结束时，又根据crosshead_list遍历情况及条件作出相应处理，最后对于处理结果的不同匹配状态，再输出最终的识别结论，通过上述多个步骤的处理后，最终对跨报文的协议特征进行精准识别。本发明能够提供一种识别精度好、识别速度快、特征库的配置灵活且扩展简单的精确识别跨报文协议特征的方法。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种精确识别跨报文协议特征的方法。

背景技术

如今，人们的工作、学习越来越离不开网络，网络中的数据也越来越有价值，目前已出现了各种类型的网络中间设备，对网络流量进行分析和统计，最终为网络用户提供更多的方便或保护。

对于TCP流量，分析的目标是其承载的应用数据，而分析前提就是识别到应用层对应的协议。端口识别是一种方法，但随着网络应用种类的迅速增长，每个网络应用独占一个端口，是不现实的，这样就造成端口识别的结果极不精确，甚至有些网络应用使用的端口不是固定的，根本无法通过端口识别。所以出现了通过报文特征识别协议的方法，但如果特征很短，识别的精确度就很低，而且不同报文间的联系，也算是特征，甚至有些协议通过一组报文才能识别到，比如第一个报文数据特定偏移处，指定第二个报文的长度，这样就必须等两个报文都接收到时，才能识别到这种特性，所以本文提出一种跨报文识别协议特征的方法，用于识别各种复杂的存在于多个报文中的特征。

发明内容

本发明目的是为了克服现有技术的不足而提供一种识别精度好、识别速度快、特征库的配置灵活且扩展简单的精确识别跨报文协议特征的方法。

为便于本技术方案的描述，对如下名称或过程作出定义解释：

单元特征(unit-feature)是最基本的报文特征，每个unit-feature，对应一个帧，记录动态匹配过程。

单报文特征(packet-feature)是一个或多个unit-feature的组合，可以指定多个unit-feature在报文数据中的位置关系。

跨报文特征(cross-feature)是指需要在多个报文中进行匹配的特征，包含一个或多个packet-feature，所有包含的packet-feature都匹配成功，则cross-feature匹配成功。

协议特征(protocol-feature)是指若干cross-feature的集合，其中任何一个cross-feature匹配成功，则protoco-feature匹配成功。

协议特征库(feature-lib)是指多个protocol-feature的集合，每个protocol-feature都会参与匹配，并且有机会匹配成功。

匹配帧(match-frame)：记录unit-feature的递归式匹配过程。

识别逻辑：同一个packet-feature中的所有unit-feature匹配成功，该packet-feature匹配成功；同一个cross-feature中的packet-feature，必须按顺序匹配，前面的packet-feature匹配成功了，后面的packet-feature才开始匹配；同一个protocol-feature中的任意一个cross-feature匹配成功，则该协议识别完成。

匹配报文特征(matched_feature结构)：packet-feature指针成员指向cross-feature中的单报文特征，表示匹配完成或正在匹配，结构中还包含最开始与该packet-feature匹配的报文信息，以及该packet-feature当前的匹配状态。