[发明专利]一种HSMS头部信息丢失的SECS2数据包识别方法

权利要求书

1.一种HSMS头部信息丢失的SECS2数据包识别方法，其特征在于，具体步骤如下：

步骤1：使用HashMap存储会话连接的信息和状态，将未知包读入，在HashMap中查找是否有这条连接的信息；如果没有，则新建一个结点，对这条连接进行存储；如果有，则查看其状态：当出现下列情况，判定后续数据包为SECS2数据包——①前面的数据包中，已经拿到了HSMS头部，且连接还未关闭；②前面的数据包已经被判定为SECS2数据段，且连接还未关闭；否则，进入下一步；

步骤2：对未知包进行初步检测，判别其是否具有HSMS头部；如果有，可以直接判定为SECS2数据包，在HashMap中进行记录，直接跳入结果输出步骤；否则进入步骤3，进行判定；

步骤3：对于SECSII数据包的格式进行判定；

截取未知数据包的载荷PAYLOAD，对单字节逐个扫描，寻找第一个枚举值作为判定切入点，对此枚举值提取长度信息，跳过长度进行下一轮枚举值匹配，直至边界或跳出边界；若匹配中出现某字节不是应当出现的枚举值，说明之前的切入点Byte有误，跳回并继续寻找；匹配结束反馈权值，进入步骤4；具体流程为：

步骤301：对未知数据包进行截取，循环读取未知数据包，对未知数据包首先进行包的预处理，提取出数据内容存放到缓存中，将缓存内容作为一段普通的文本；

步骤302：对数据包的载荷PAYLOAD进行单字节的逐个扫描，寻找第一个可能是SECSII数据中类型字段的字节，该字节的值属于一个枚举值集合，并从该字节中提取长度和类型信息；

步骤303：根据步骤302提取的长度和类型信息，进行跳跃识别和判定，若某次跳跃中发现，下一个枚举值没有正确出现，则认为初始枚举值判断错误，回到初始枚举值后一位置继续进行步骤302操作；

步骤304：当跳跃到边界或跳出边界都符合枚举值规律，则认为切入点寻找正确；若跳跃到边界或跳出边界依旧未发现一段数据符合设定的SECS2规律，则认为该数据段不可能属于SECS2数据，对符合SECS2数据进行占比统计，并进行权值计算，进入步骤4；

其中，具体寻找切入点枚举值以及跳跃识别的方法如下：逐个字节扫描数据包的PAYLOAD部分；提取单个字节的3-8bit，若出现枚举值，将其作为切入点，提取该字节的1-2bit，作为长度字节信息l，即后续l长度为数据的长度信息L；若该枚举值表示数据为ASCII码，则对L长度的数据进行类型的识别，否则，直接跳过L长度不进行识别；当ASCII码类型识别成功，则评定时给予更高的权值；

步骤4：对数据包进行逐字节扫描后，对该数据包为SECS2数据包的概率进行两个维度的综合评定，给出两个维度的判定结果，以及综合判定的结果，判定结束。

2.根据权利要求1所述的方法，其特征在于，步骤1中：

所述使用HashMap存储会话链接信息和状态，包括：设计HashMap结点的数据结构，以数据包的五元组：源IP地址，源端口号，目的IP地址，目的端口，会话ID，进行两字节异或的方式作为HashKey；

所述读入未知包，在HashMap中查找是否有这条连接的信息，是根据数据包五元组形成的HashKey，查找该数据包所属会话链接信息和状态，看是否能够根据之前的工作快速进行判定，若不能，增加或更新节点信息，进入下一步骤；

其中，对于会话状态信息作如下规定：

会话状态信息有如下可能：

（1）前期的数据包均被判定为非SECS2数据包，或无法判定是否为SECS2数据包；

（2）前期数据包中，没有截取到HSMS头部信息，但数据包被判定为SECS2数据段；

（3）前期数据包中，截取到过HSMS头部信息的数据包；

在上述状态中，对于会话状态为（1）的链路，需要进行后续的判定过程；对于会话状态为（2）和（3）的链路，直接将后续的数据包判定为SECS2数据包，当收到会话关闭信息，则删去这个结点。