[发明专利]一种基于高性能捕包平台的DEC进程

说明书

本发明涉及一种基于高性能捕包平台的DEC进程（PDEC），包括统一捕包平台、TCP会话管理和还原库。本发明用于协议还原，对由DPI进程进入PDEC进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

技术领域

本发明涉及网络安全领域，具体涉及一种基于高性能捕包平台的DEC进程。

背景技术

DPI（Deep Packet Inspection）报文内容深度识别，是网络安全领域最前端、也是最基础的组件。DPI的深度是和普通分析相比而言的，普通报文检测仅分析IP层以下内容，包括：源IP、目的IP、源端口、目的端口、协议类型。但现有的各种网络通信使用了私有协议，非标准的应用使用任意的TCP/UDP端口来进行通信，增加了识别的难度，使用普通方式，无法精确的识别出协议。要精确了解报文所承载的业务类型及流量大小等信息，必须要跟踪业务应用的协议交互过程，并对报文的负载payload进行深度的识别。

协议还原模块有如下应用场合：

（1）分析网络中的垃圾邮件

为上层的垃圾邮件过滤模块服务，为垃圾邮件过滤模块提供应用层以下的数据和下面各层的接口，垃圾邮件模块只需要将重点放在应用层POP3协议和SMTP协议处理，直接使用协议还原模块作为下层输入。

（2）用于IPS入侵防御系统

为IPS入侵防御系统提供IP层的各种信息和IP报文内容，包含IP地址数据和数据包长度等。IPS可以在协议还原模块的基础上，进行各种入侵方式的防御开发。

发明内容

本发明的目的在于提供一种基于高性能捕包平台的DEC进程（PDEC），它用于协议还原，对由DPI进程进入PDEC进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。

实现本发明目的的技术方案是：一种基于高性能捕包平台的DEC进程，其特征在于：它主要包括统一捕包平台、TCP会话管理和还原库。统一捕包平台与TCP会话管理连接，TCP会话管理与还原库连接。

本发明的工作原理是：统一捕包平台捕获已识别的报文流量，并将其提交给TCP会话管理，TCP会话管理对报文流量进行排序重组之后，将报文投递到还原库中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。

与现有技术相比，本发明具有以下优点：（1）支持流量线性扩充；（2）使用插件化的还原协议框架，方便后期扩展；（3）对用户的需求迅速进行响应；（4）兼容从低配到高配的硬件环境。

附图说明

图1是一种基于高性能捕包平台的DEC进程的框架组件图。

具体实施方式

下面结合附图对本发明作进一步详细描述。

结合图1，本发明一种基于高性能捕包平台的DEC进程，它主要包括统一捕包平台（1）、TCP会话管理（2）和还原库（3）。统一捕包平台（1）与TCP会话管理（2）连接，TCP会话管理（2）与还原库（3）连接。

结合图1，本发明一种基于高性能捕包平台的DEC进程的工作原理是：统一捕包平台（1）捕获已识别的报文流量，并将其提交给TCP会话管理（2），TCP会话管理（2）对报文流量进行排序重组之后，将报文投递到还原库（3）中不同的协议解析线程，各协议解析线程对连接报文进行解析、还原，生产ticket和rawfile。

本发明一种基于高性能捕包平台的DEC进程用于协议还原，对由DPI进程进入PDEC进程的流量报文进行解析还原，生产ticket和rawfile，适用于网络流量监控、敏感信息检测、恶意程序监测等场合。