專利名稱:基于dpi的應(yīng)用協(xié)議分析方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)應(yīng)用協(xié)議分析方法��,特別是涉及一種DPI七層應(yīng)用協(xié)議深度分析方法�。
背景技術(shù):
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)應(yīng)用也在不斷的增多����,所有的應(yīng)用協(xié)議也在不斷發(fā)展,通過網(wǎng)絡(luò)進(jìn)行娛樂����,工作,休閑等已經(jīng)占據(jù)著生活的大部分時(shí)間�,而在工作中為避免其下載娛樂數(shù)據(jù)流的應(yīng)用對(duì)網(wǎng)絡(luò)造成不穩(wěn)定,從而影響到工作效率�。那么在這種情況下,如果有一種快速分析應(yīng)用協(xié)議的分析方法,能夠?qū)?shù)據(jù)包進(jìn)行應(yīng)用協(xié)議分析����,進(jìn)而能夠根據(jù)這些分析出的結(jié)果來進(jìn)行網(wǎng)絡(luò)的檢測(cè)和控制,這對(duì)穩(wěn)定網(wǎng)絡(luò)和改善網(wǎng)絡(luò)是非常有幫助的�����。但是�,如何在應(yīng)用協(xié)議分析的過程中能夠達(dá)到快速分析,對(duì)提高分析效率和準(zhǔn)確性是很重要的����。
發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有技術(shù)不足,提出一種基于DPI的應(yīng)用協(xié)議分析方法��,能夠達(dá)到對(duì)數(shù)據(jù)包進(jìn)行快速應(yīng)用協(xié)議分析��,提高分析效率和準(zhǔn)確性���。本發(fā)明所采用的技術(shù)方案一種基于DPI的應(yīng)用協(xié)議分析方法��,采用抓包工具獲取各種應(yīng)用軟件數(shù)據(jù)包�����,然后通過下述步驟確定獲取的應(yīng)用軟件屬于哪一類或哪一種應(yīng)用軟件�,1)在tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層����;2)通過基于DPI的應(yīng)用協(xié)議深度分析算法來建立擁有多模匹配算法的應(yīng)用協(xié)議匹配模型;3)獲取網(wǎng)絡(luò)數(shù)據(jù)包并分析數(shù)據(jù)包的特征應(yīng)用�,得到網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議信息, 然后以擁有多模式匹配算法的應(yīng)用協(xié)議匹配模型進(jìn)行協(xié)議匹配��,確定所屬的協(xié)議類型屬于哪一類或哪一種應(yīng)用軟件����。所述的基于DPI的應(yīng)用協(xié)議分析方法,在步驟1)中�����,應(yīng)用協(xié)議分析層以虛擬函數(shù)的方式加入tcp/ip協(xié)議棧中����,在完整的ip數(shù)據(jù)報(bào)文到達(dá)tcp/ip協(xié)議棧先校驗(yàn)數(shù)據(jù)包是否正常,如果數(shù)據(jù)包正常���,那么下一步數(shù)據(jù)包將進(jìn)入應(yīng)用協(xié)議分析層�,進(jìn)行數(shù)據(jù)包的分析處理,輸出相應(yīng)的應(yīng)用協(xié)議信息���,最后再將報(bào)文發(fā)送出去���。應(yīng)用協(xié)議分析層由虛擬函數(shù)的方式加入?yún)f(xié)議棧中,并單獨(dú)實(shí)現(xiàn)此函數(shù)功能模塊�,增加其獨(dú)立性�����。所述的基于DPI的應(yīng)用協(xié)議分析方法�,在步驟2)中,采用基于數(shù)據(jù)包特征匹配的應(yīng)用協(xié)議深度分析算法���,對(duì)各種應(yīng)用軟件所使用的協(xié)議特征進(jìn)行分析�,并將其記錄為特定格式特征字符串文本存儲(chǔ)起來���,建立應(yīng)用協(xié)議匹配模型���;特定格式的特征字符串由ip����,端口,以及包括數(shù)據(jù)特征字符串信息組成�����。所述的基于DPI的應(yīng)用協(xié)議分析方法����,在步驟幻中���,初始化應(yīng)用協(xié)議匹配模型,讀取特征字符串�����,對(duì)特征字符串建立為樹的結(jié)構(gòu)進(jìn)行存儲(chǔ)����;編寫多模式匹配算法,根據(jù)偏移量進(jìn)行斷點(diǎn)特征字符串的預(yù)處理����;在多模式匹配算法中進(jìn)行樹的遍歷達(dá)到匹配數(shù)據(jù)包是否含有應(yīng)用特征串確定數(shù)據(jù)包協(xié)議類型��。將特征串以樹的模式建立���,主要是利用多模匹配進(jìn)行數(shù)據(jù)包的一次性匹配而作準(zhǔn)備���,不會(huì)對(duì)一個(gè)數(shù)據(jù)包進(jìn)行一條一條特征串匹配浪費(fèi)時(shí)間��。多模匹配算法主要就是先建立模式樹進(jìn)行預(yù)處理�����,并實(shí)現(xiàn)匹配�����,但是不能對(duì)通配符進(jìn)行處理��,在本步驟中主要是編寫優(yōu)化預(yù)處理功能��,根據(jù)偏移量字段進(jìn)行處理���,從而實(shí)現(xiàn)對(duì)特種串的通配符進(jìn)行預(yù)處理�。數(shù)據(jù)包到達(dá)應(yīng)用協(xié)議層時(shí)主要的就是此步�����,對(duì)數(shù)據(jù)包的匹配�,進(jìn)行樹的遍歷查找,并對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記�。所述的基于DPI的應(yīng)用協(xié)議分析方法,在應(yīng)用協(xié)議匹配模型中加入連接跟蹤記錄的存儲(chǔ)����,為匹配到的協(xié)議數(shù)據(jù)包信息記錄�����,為相同的連接進(jìn)行標(biāo)記�,以減少每個(gè)數(shù)據(jù)包都需進(jìn)行匹配的時(shí)間;最后對(duì)ip及所用協(xié)議類型進(jìn)行輸出����,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理。所述的基于DPI的應(yīng)用協(xié)議分析方法�����,連接跟蹤記錄的存儲(chǔ)采用記錄表方式,所述記錄表包括字段源端口���、目的端口�����、源ip�、目的ip�、協(xié)議類型,在特征模式樹和連接跟蹤記錄表初始化后�����,應(yīng)用協(xié)議層自動(dòng)生效����,數(shù)據(jù)包從而進(jìn)入該分析層進(jìn)行數(shù)據(jù)包的處理首先判斷此數(shù)據(jù)包的信息是否在該連接記錄表中,如果有那么就直接返回協(xié)議棧發(fā)送出去��,如果沒有�����,那么建立連接記錄進(jìn)行數(shù)據(jù)包協(xié)議檢測(cè),對(duì)ip及所用協(xié)議類型進(jìn)行輸出���,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理��。連接跟蹤記錄主要是為了記錄一條連接信息����,每個(gè)到來的數(shù)據(jù)包都會(huì)先進(jìn)行連接的查找����,如果有記錄并已經(jīng)記錄到此連接已經(jīng)被標(biāo)記為某種應(yīng)用類型,那么就將數(shù)據(jù)包直接返回到協(xié)議棧發(fā)送���,即步驟7)中,減少對(duì)相同連接的數(shù)據(jù)包再次匹配�����,達(dá)到快速處理的目的��。本發(fā)明的有益積極效果1�����、應(yīng)用協(xié)議一般以固定的數(shù)據(jù)填充在數(shù)據(jù)包中,或者以固定的端口�����,固定的ip等作為特征��,本發(fā)明DPI七層應(yīng)用協(xié)議深度分析方法�����,以抓包工具進(jìn)行各種應(yīng)用軟件數(shù)據(jù)包的獲取����,并進(jìn)行分析得到特征字符串來進(jìn)行特征收集,并以高效的擁有多模式匹配算法的 DPI深度包檢測(cè)技術(shù)進(jìn)行協(xié)議匹配�,能夠達(dá)到對(duì)數(shù)據(jù)包進(jìn)行快速應(yīng)用協(xié)議分析,提高分析效率和準(zhǔn)確性��。2���、本發(fā)明通過在Tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層�����,來達(dá)到數(shù)據(jù)包的截獲�����,分析�����;在tcp/ip協(xié)議棧中默認(rèn)處理數(shù)據(jù)包完畢后得到完整的ip數(shù)據(jù)報(bào)文���,判斷應(yīng)用協(xié)議層模塊是否存在����,如果存在則進(jìn)入其分析層進(jìn)行數(shù)據(jù)包的分析處理�,如果不存在則直接發(fā)送,不影響網(wǎng)絡(luò)數(shù)據(jù)�。
圖1 應(yīng)用協(xié)議層在軟件中所處層次;圖2 :DPI協(xié)議深度包檢測(cè)的流程圖��。
具體實(shí)施例方式實(shí)施例一應(yīng)用協(xié)議一般以固定的數(shù)據(jù)填充在數(shù)據(jù)包中�����,或者以固定的端口�����,固定的ip等作為特征�����,本發(fā)明基于DPI的七層應(yīng)用協(xié)議深度分析方法��,以抓包工具進(jìn)行各種應(yīng)用軟件數(shù)據(jù)包的獲取�,并進(jìn)行分析得到特征字符串來進(jìn)行特征收集,并以高效的擁有多模式匹配算法的DPI深度包檢測(cè)技術(shù)進(jìn)行協(xié)議匹配�。參見圖1,在Tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層�,來達(dá)到數(shù)據(jù)包的截獲,分析���;在tcp/ip協(xié)議棧中默認(rèn)處理數(shù)據(jù)包完畢后得到完整的ip數(shù)據(jù)報(bào)文�,判斷應(yīng)用協(xié)議層模塊是否存在����,如果存在則進(jìn)入其分析層進(jìn)行數(shù)據(jù)包的分析處理,如果不存在則直接發(fā)送���,不影響網(wǎng)絡(luò)數(shù)據(jù)����。參見圖2,設(shè)計(jì)應(yīng)用協(xié)議分析層獨(dú)立模塊�����,具體的實(shí)現(xiàn)應(yīng)用協(xié)議層的功能����;其中連接跟蹤記錄表包括字段(源端口,目的端口�����, 源ip��,目的ip���,協(xié)議類型)�����,在特征模式樹和連接跟蹤記錄表初始化后�����,那么應(yīng)用協(xié)議層就會(huì)自動(dòng)生效�����,數(shù)據(jù)包從而進(jìn)入該分析層進(jìn)行數(shù)據(jù)包的處理首先判斷此數(shù)據(jù)包的信息是否在該連接記錄表中�,如果有那么就直接返回協(xié)議棧發(fā)送出去�,如果沒有,那么建立連接記錄進(jìn)行數(shù)據(jù)包協(xié)議檢測(cè)�����,完畢后返回協(xié)議棧發(fā)送出去�。實(shí)施例二 參見圖1、圖2��,本實(shí)施例基于DPI的七層應(yīng)用協(xié)議深度分析方法�����,具體方案由以下步驟實(shí)現(xiàn)1)在tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層��,在完整的ip數(shù)據(jù)報(bào)文到達(dá)協(xié)議棧中后由系統(tǒng)本身進(jìn)行默認(rèn)處理��,進(jìn)而轉(zhuǎn)入應(yīng)用協(xié)議分析層進(jìn)行應(yīng)用協(xié)議的分析����,輸出相應(yīng)的應(yīng)用協(xié)議信息����,最后再將報(bào)文發(fā)送出去���;應(yīng)用協(xié)議分析層由虛擬函數(shù)的方式加入?yún)f(xié)議棧中���, 并單獨(dú)實(shí)現(xiàn)此函數(shù)功能模塊,增加其獨(dú)立性�。2)深度包協(xié)議分析是基于數(shù)據(jù)包特征匹配的,對(duì)各種應(yīng)用軟件所使用的協(xié)議特征進(jìn)行分析��,并將其記錄為特定格式特征字符串文本存儲(chǔ)起來��;特征串以ip����,端口,數(shù)據(jù)特征串(包括以通配符的多字段特征)信息組成��。3)應(yīng)用協(xié)議匹配模型初始化���,讀取特征字符串�����,對(duì)特征串建立為樹的結(jié)構(gòu)進(jìn)行存儲(chǔ)���;將特征串以樹的模式建立,主要是利用多模匹配進(jìn)行數(shù)據(jù)包的一次性匹配而作準(zhǔn)備�,不會(huì)對(duì)一個(gè)數(shù)據(jù)包進(jìn)行一條一條特征串匹配浪費(fèi)時(shí)間。4)編寫優(yōu)化多模匹配算法���,根據(jù)偏移量進(jìn)行斷點(diǎn)特征串的預(yù)處理��;多模匹配算法主要就是先建立模式樹進(jìn)行預(yù)處理���,并實(shí)現(xiàn)匹配,但是不能對(duì)通配符進(jìn)行處理���,在這部中主要是編寫優(yōu)化預(yù)處理功能�����,根據(jù)偏移量字段進(jìn)行處理���,從而實(shí)現(xiàn)對(duì)特種串的通配符進(jìn)行預(yù)處理。5)在多模匹配中進(jìn)行樹的遍歷達(dá)到匹配數(shù)據(jù)包是否含有應(yīng)用特征串確定數(shù)據(jù)包協(xié)議類型����;數(shù)據(jù)包到達(dá)應(yīng)用協(xié)議層時(shí)主要的就是此步�����,對(duì)數(shù)據(jù)包的匹配��,進(jìn)行樹的遍歷查找��,并對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記�����。6)在模型中加入連接跟蹤記錄的存儲(chǔ)��,為匹配到的協(xié)議數(shù)據(jù)包信息記錄�����,為相同的連接進(jìn)行標(biāo)記����,減少每個(gè)數(shù)據(jù)包都需進(jìn)行匹配的時(shí)間����;連接跟蹤記錄主要是為了記錄一條連接信息�,每個(gè)到來的數(shù)據(jù)包都會(huì)先進(jìn)行連接的查找����,如果有記錄并已經(jīng)記錄到此連接已經(jīng)被標(biāo)記為某種應(yīng)用類型,那么就將數(shù)據(jù)包直接返回到協(xié)議棧發(fā)送�����,即步驟7)中����,減少對(duì)相同連接的數(shù)據(jù)包再次匹配�����,達(dá)到快速處理的目的�。7)對(duì)ip及所用協(xié)議類型進(jìn)行輸出,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理�����。實(shí)施例三參見圖1�����、圖2,本實(shí)施例的基于DPI七層應(yīng)用協(xié)議深度分析方法��,采用抓包工具獲取各種應(yīng)用軟件數(shù)據(jù)包���,然后通過下述步驟確定獲取的應(yīng)用軟件屬于哪一類或哪一種應(yīng)用軟件�����,
1)在tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層�;2)通過深度包分析算法來建立擁有多模式匹配算法的應(yīng)用協(xié)議匹配模型���;3)獲取網(wǎng)絡(luò)數(shù)據(jù)包并分析數(shù)據(jù)包的特征應(yīng)用�,得到網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議信息����, 然后以擁有多模式匹配算法的應(yīng)用協(xié)議匹配模型進(jìn)行協(xié)議匹配,確定所屬的協(xié)議類型屬于哪一類或哪一種應(yīng)用軟件���。實(shí)施例四參見圖1����、圖2,本實(shí)施例基于DPI的應(yīng)用協(xié)議分析方法��,與實(shí)施例三不同的是在步驟1)中��,應(yīng)用協(xié)議分析層以虛擬函數(shù)的方式加入tcp/ip協(xié)議棧中�����,在完整的 ip數(shù)據(jù)報(bào)文到達(dá)tcp/ip協(xié)議棧先校驗(yàn)數(shù)據(jù)包是否正常��,如果數(shù)據(jù)包正常��,那么下一步數(shù)據(jù)包將進(jìn)入應(yīng)用協(xié)議分析層�,進(jìn)行數(shù)據(jù)包的分析處理���,輸出相應(yīng)的應(yīng)用協(xié)議信息���,最后再將報(bào)文發(fā)送出去;在步驟幻中���,采用基于數(shù)據(jù)包特征匹配的應(yīng)用協(xié)議深度分析算法����,對(duì)各種應(yīng)用軟件所使用的協(xié)議特征進(jìn)行分析,并將其記錄為特定格式特征字符串文本存儲(chǔ)起來�����,建立應(yīng)用協(xié)議匹配模型���;特定格式的特征字符串由ip���,端口,以及包括數(shù)據(jù)特征字符串信息組成�。實(shí)施例五參見圖1、圖2���,本實(shí)施例基于DPI的應(yīng)用協(xié)議分析方法����,與實(shí)施例四不同的是在步驟幻中���,初始化應(yīng)用協(xié)議匹配模型�,讀取特征字符串��,對(duì)特征串建立為樹的結(jié)構(gòu)進(jìn)行存儲(chǔ)���;編寫多模式匹配算法�����,根據(jù)偏移量進(jìn)行斷點(diǎn)特征串的預(yù)處理���;進(jìn)行樹的遍歷達(dá)到匹配數(shù)據(jù)包是否含有應(yīng)用特征串確定數(shù)據(jù)包協(xié)議類型��。本發(fā)明基于DPI的應(yīng)用協(xié)議分析方法�����,在應(yīng)用協(xié)議匹配模型中加入連接跟蹤記錄的存儲(chǔ)�����,為匹配到的協(xié)議數(shù)據(jù)包信息記錄,為相同的連接進(jìn)行標(biāo)記�,以減少每個(gè)數(shù)據(jù)包都需進(jìn)行匹配的時(shí)間;最后對(duì)ip及所用協(xié)議類型進(jìn)行輸出�,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理。連接跟蹤記錄的存儲(chǔ)采用記錄表方式���,所述記錄表包括字段源端口�����、目的端口���、 源ip��、目的ip�����、協(xié)議類型���,在特征模式樹和連接跟蹤記錄表初始化后,應(yīng)用協(xié)議層自動(dòng)生效��,數(shù)據(jù)包從而進(jìn)入該分析層進(jìn)行數(shù)據(jù)包的處理首先判斷此數(shù)據(jù)包的信息是否在該連接記錄表中��,如果有那么就直接返回協(xié)議棧發(fā)送出去�,如果沒有,那么建立連接記錄進(jìn)行數(shù)據(jù)包協(xié)議檢測(cè)����,對(duì)ip及所用協(xié)議類型進(jìn)行輸出,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理����。本發(fā)明基于DPI的應(yīng)用協(xié)議分析方法�,實(shí)現(xiàn)的系統(tǒng)包括下述模塊數(shù)據(jù)包捕獲模塊����,用于獲取數(shù)據(jù)包并進(jìn)行數(shù)據(jù)包的解析,捕獲數(shù)據(jù)包通常以驅(qū)動(dòng)模式進(jìn)行網(wǎng)絡(luò)鉤子的注冊(cè)來獲取數(shù)據(jù)包���,本發(fā)明采用在tcp/ip協(xié)議棧中加入數(shù)據(jù)捕獲代碼來達(dá)到獲取數(shù)據(jù)包�;協(xié)議預(yù)處理模塊�����,用于處理已經(jīng)定義好的協(xié)議特征�����,此模塊將定義好的協(xié)議特征讀入并進(jìn)行分類建立模式樹����,為匹配做準(zhǔn)備��;協(xié)議處理模塊����,進(jìn)行應(yīng)用協(xié)議的分析����,此模塊將數(shù)據(jù)包捕獲模塊所分析到的信息與協(xié)議預(yù)處理模塊所建立的模式樹進(jìn)行信息匹配�����,得出所屬應(yīng)用協(xié)議類型�;協(xié)議處理模塊,采用多模式匹配算法���,首先由協(xié)議預(yù)處理模塊進(jìn)行協(xié)議特征的模式樹建立���,其次在獲取的數(shù)據(jù)包中查找模式樹中存在的特征,以達(dá)到一次性匹配多種協(xié)議特征��,從而提高匹配效率�����;應(yīng)用協(xié)議信息輸出模塊�,用于將所得到的應(yīng)用協(xié)議信息輸出,包括ip,此ip所使用協(xié)議等信息����。
權(quán)利要求
1.一種基于DPI的應(yīng)用協(xié)議分析方法,采用抓包工具獲取各種應(yīng)用軟件數(shù)據(jù)包�����,然后通過下述步驟確定獲取的應(yīng)用軟件屬于哪一類或哪一種應(yīng)用軟件��,其特征是1)在tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層���;2)通過DPI七層應(yīng)用協(xié)議深度分析算法來建立樹型結(jié)構(gòu)的應(yīng)用協(xié)議匹配模型�;3)獲取網(wǎng)絡(luò)數(shù)據(jù)包并分析數(shù)據(jù)包的特征應(yīng)用�,得到網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議信息,然后以擁有多模式匹配算法的應(yīng)用協(xié)議匹配模型進(jìn)行協(xié)議匹配���,確定所屬的協(xié)議類型屬于哪一類或哪一種應(yīng)用軟件�����。
2.根據(jù)權(quán)利要求1所述的基于DPI的應(yīng)用協(xié)議分析方法�,其特征是在步驟1)中���,應(yīng)用協(xié)議分析層以虛擬函數(shù)的方式加入tcp/ip協(xié)議棧中�����,在完整的ip數(shù)據(jù)報(bào)文到達(dá)tcp/ip協(xié)議棧先校驗(yàn)數(shù)據(jù)包是否正常�,如果數(shù)據(jù)包正常����,那么下一步數(shù)據(jù)包將進(jìn)入應(yīng)用協(xié)議分析層, 進(jìn)行數(shù)據(jù)包的分析處理��,輸出相應(yīng)的應(yīng)用協(xié)議信息�,最后再將報(bào)文發(fā)送出去。
3.根據(jù)權(quán)利要求1或2所述的基于DPI的應(yīng)用協(xié)議分析方法����,其特征是在步驟2)中, 采用基于數(shù)據(jù)包特征匹配的應(yīng)用協(xié)議深度分析算法��,對(duì)各種應(yīng)用軟件所使用的協(xié)議特征進(jìn)行分析���,并將其記錄為特定格式特征字符串文本存儲(chǔ)起來����,建立應(yīng)用協(xié)議匹配模型;特定格式的特征字符串由ip���,端口����,以及包括數(shù)據(jù)特征字符串信息組成�。
4.根據(jù)權(quán)利要求3所述的基于DPI的應(yīng)用協(xié)議分析方法,其特征是在步驟幻中�,初始化應(yīng)用協(xié)議匹配模型,讀取特征字符串�,對(duì)特征串建立為樹的結(jié)構(gòu)進(jìn)行存儲(chǔ);編寫多模式匹配算法�����,根據(jù)偏移量進(jìn)行斷點(diǎn)特征串的預(yù)處理��;進(jìn)行樹的遍歷達(dá)到匹配數(shù)據(jù)包是否含有應(yīng)用特征串確定數(shù)據(jù)包協(xié)議類型����。
5.根據(jù)權(quán)利要求4所述的基于DPI的應(yīng)用協(xié)議分析方法,其特征是在應(yīng)用協(xié)議匹配模型中加入連接跟蹤記錄的存儲(chǔ)�,為匹配到的協(xié)議數(shù)據(jù)包信息記錄,為相同的連接進(jìn)行標(biāo)記��,以減少每個(gè)數(shù)據(jù)包都需進(jìn)行匹配的時(shí)間;最后對(duì)ip及所用協(xié)議類型進(jìn)行輸出����,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理�����。
6.根據(jù)權(quán)利要求5所述的基于DPI的應(yīng)用協(xié)議分析方法�,其特征是所述連接跟蹤記錄的存儲(chǔ)采用記錄表方式,所述記錄表包括字段源端口����、目的端口、源ip���、目的ip��、協(xié)議類型���,在特征模式樹和連接跟蹤記錄表初始化后,應(yīng)用協(xié)議層自動(dòng)生效���,數(shù)據(jù)包從而進(jìn)入該分析層進(jìn)行數(shù)據(jù)包的處理首先判斷此數(shù)據(jù)包的信息是否在該連接記錄表中�,如果有那么就直接返回協(xié)議棧發(fā)送出去,如果沒有��,那么建立連接記錄進(jìn)行數(shù)據(jù)包協(xié)議檢測(cè)��,對(duì)ip及所用協(xié)議類型進(jìn)行輸出���,并將數(shù)據(jù)包交付協(xié)議棧進(jìn)行最終的發(fā)送處理��。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)應(yīng)用協(xié)議分析方法���,特別是涉及一種DPI七層應(yīng)用協(xié)議深度分析方法。采用抓包工具獲取各種應(yīng)用軟件數(shù)據(jù)包�����,然后通過下述步驟確定獲取的應(yīng)用軟件屬于哪一類或哪一種應(yīng)用軟件����,1)在tcp/ip協(xié)議棧中加入應(yīng)用協(xié)議分析層;2)通過深度包分析算法來建立應(yīng)用協(xié)議匹配模型��;3)獲取網(wǎng)絡(luò)數(shù)據(jù)包并分析數(shù)據(jù)包的特征應(yīng)用��,得到網(wǎng)絡(luò)數(shù)據(jù)包的應(yīng)用協(xié)議信息����,然后以擁有多模式匹配算法的應(yīng)用協(xié)議匹配模型進(jìn)行協(xié)議匹配���,確定所屬的協(xié)議類型屬于哪一類或哪一種應(yīng)用軟件。本發(fā)明以抓包工具進(jìn)行各種應(yīng)用軟件數(shù)據(jù)包的獲取��,并以高效的擁有多模式匹配算法的DPI深度包檢測(cè)技術(shù)進(jìn)行協(xié)議匹配��,能夠達(dá)到對(duì)數(shù)據(jù)包進(jìn)行快速應(yīng)用協(xié)議分析�,提高分析效率和準(zhǔn)確性����。
文檔編號(hào)H04L29/06GK102347949SQ20111028997
公開日2012年2月8日 申請(qǐng)日期2011年9月28日 優(yōu)先權(quán)日2011年9月28日
發(fā)明者張水華 申請(qǐng)人:上海西默通信技術(shù)有限公司