[发明专利]一种协议报文的检测方法、系统及设备

权利要求书

1、一种协议报文的检测方法，其特征在于，该方法包括：

收集待检测的协议报文；

获取所述待检测协议报文的标题头指纹特征；

将所述待检测协议报文的标题头指纹特征与存储的指纹特征库中的协议报文的标题头指纹特征进行对比检测。

2、如权利要求1所述的协议报文的检测方法，其特征在于，

为合法或非法的协议报文的标题头指纹特征建立指纹特征库，并存储建立的指纹特征库。

3、如权利要求2所述的协议报文的检测方法，其特征在于，所述为合法或非法的协议报文的标题头指纹特征建立指纹特征库步骤具体为：

收集合法或非法的协议报文；

获取所述合法或非法的协议报文的标题头指纹特征；

将所述获取的标题头指纹特征存储在指纹特征库。

4、如权利要求3所述的协议报文的检测方法，其特征在于，所述收集合法或非法的协议报文或收集待检测的协议报文具体为：

在协议报文发生分片情况时，通过宽松策略或严格策略收集协议报文。

5、如权利要求4所述的协议报文的检测方法，其特征在于，所述获取所述合法或非法的协议报文的标题头指纹特征或所述获取所述待检测协议报文的标题头指纹特征步骤具体为：

对所述获取的合法或非法的协议报文或所述待检测协议报文的码流按字节形式规整；

在规整后的协议报文中获取合法或非法的协议报文内容或待检测协议报文内容；

获取合法或非法的协议报文内容或待检测协议报文内容中的协议报文标题头；

对获取的协议报文标题头进行等价处理；

对等价处理后的协议报文标题头进行哈希处理。

6、如权利要求5所述的协议报文的检测方法，其特征在于，所述对获取的协议报文标题头进行等价处理具体为：

对协议报文标题头的大小写字符或缩写字符视为同一协议报文标题头。

7、如权利要求6所述的协议报文的检测方法，其特征在于，所述方法还包括：

若对比检测时，在所述指纹特征库中找不到与待检测协议报文的标题头指纹特征相匹配的合法协议报文的标题头指纹特征或在所述指纹特征库中找到与待检测协议报文标题头指纹特征相匹配的非法协议报文的标题头指纹特征，则对所述待检测的协议报文进行过滤处理。

8、一种通信设备，其特征在于，所述通信设备包括：

存储模块，用于存储为合法或非法的协议报文的标题头指纹特征建立的指纹特征库；

采集模块，用于收集待检测的协议报文；

处理模块，用于获取采集模块收集的待检测协议报文的标题头指纹特征；

检测模块，用于将处理模块获取的待检测协议报文的标题头指纹特征与存储模块中的标题头指纹特征库进行对比检测。

9、如权利要求8所述的通信设备，其特征在于，所述处理模块包括：

规整处理单元，用于对采集模块收集的待检测协议报文的码流按字节形式规整；

第一获取单元，用于在规整单元规整后的协议报文中获取待检测协议报文内容；

第二获取单元，用于在第一获取单元获取的协议报文内容中获取协议报文标题头；

等价处理单元，用于对第一获取单元获得的协议报文标题头进行等价处理；

哈希处理单元，用于对等价处理单元等价处理后的协议报文标题头进行哈希处理生成标题头指纹特征。

10、如权利要求9所述的通信设备，其特征在于，所述通信设备还包括过滤模块，用于在检测单元对比检测时，在所述存储模块中找不到与待检测协议报文的标题头指纹特征相匹配的合法协议报文的标题头指纹特征或在所述指纹特征库中找到与待检测协议报文标题头指纹特征相匹配的非法协议报文的标题头指纹特征，则对所述待检测的协议报文进行过滤处理。

11、一种网络系统，包括至少一个或以上的网络传输端口以及与所述网络传输端口相连的网络设备，其特征在于，其中：

所述网络传输端口用于传输数据报文；

网络设备用于对所述网络传输端口上的数据报文进行报文检测，收集所述网络传输端口上待检测的协议报文，获取所述待检测协议报文的标题头指纹特征，将所述待检测协议报文的标题头指纹特征与存储的指纹特征库中的协议报文的标题头指纹特征进行对比检测。

12、如权利要求11所述的网络系统，其特征在于，所述网络传输端口与通信终端或通信网关进行连接，对通信终端或通信网关上的数据报文进行传输。