[发明专利]深度报文检测方法和装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种深度报文检测方法和装置。

背景技术

随着互联网技术的快速发展，在网络上承载的内容也越来越丰富，而且网络服务供应商对客户提供了越来越多的服务内容，同时这些服务又是根据不同的应用进行区分。这就要求网络设备能够提供较复杂的报文处理能力，能够区分不同的应用，并为不同的应用提供不同级别的带宽。以前，网络设备都是通过4层以下的报文头信息来区别不用的应用，常用的有二层MAC地址、五元组等。但是随着网络应用越来越丰富，单纯的靠4层以下的报文头信息已经不能完全地区分不同的应用，这时就需要查看4层以上甚至是报文内容，对应用层进行分析，进而区分不同的应用，这就是深度报文检测的产生。

在实现本发明过程中，发明人发现现有技术的深度报文检测是对报文进行特征字匹配和对报文的应用层协议进行分析，然而，不同的网络应用有不同的特征字或者不同的协议特征，如果采用穷举的办法，针对每种网络应用构造识别过程，将是一个非常庞大的工程。

发明内容

本发明旨在提供一种深度报文检测方法和装置，能够解决现有技术的深度报文检测面对报文变化较多时效率较低的问题。

在本发明的实施例中，提供了一种深度报文检测方法，包括以下步骤：对报文初始地设置状态机为起始态，其中，状态机包括：是起始态、递进态、解析态和识别态；根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机；根据重新设置的状态机是起始态、递进态、解析态还是识别态确认识别结果或继续进行特征匹配或应用层协议分析。

优选的，根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机具体包括：如果状态机处于起始态，则进行特征匹配分析；如果分析结果是未匹配任何特征，则设置状态机仍然处于起始态；如果分析结果是匹配全部特征，则设置状态机变迁到识别态；如果分析结果是匹配部分特征，则设置状态机变迁到递进态。

优选的，根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机具体包括：如果状态机处于递进态，则进行特征匹配分析；如果分析结果是匹配部分后续特征，则设置状态机仍然处于递进态；如果分析结果是匹配剩余后续特征，则设置状态机变迁到识别态；如果分析结果是未匹配后续特征或超时，则设置状态机变迁到起始态；如果分析结果是匹配解析特征，则设置状态机变迁到解析态。

优选的，根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机具体包括：如果状态机处于解析态，则进行应用层协议分析；如果分析结果是匹配剩余解析特征，则设置状态机变迁到识别态；如果分析结果是未匹配解析特征或匹配部分后续解析特征，则设置状态机仍然处于解析态；如果分析结果是超时，则设置状态机变迁到起始态。

优选的，根据重新设置的状态机是起始态、递进态、解析态还是识别态确认识别结果或继续进行特征匹配或应用层协议分析具体包括：如果重新设置的状态机是递进态或解析态，则继续根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机；如果重新设置的状态机是识别态，则识别报文成功；如果重新设置的状态机是起始态，则识别报文失败。

在本发明的实施例中，还提供了一种深度报文检测装置，包括：初始模块，用于对报文初始地设置状态机为起始态，其中，状态机包括：是起始态、递进态、解析态和识别态；分析模块，用于根据报文的状态机进行特征匹配或应用层协议分析，并根据分析结果重新设置其状态机；流程模块，用于根据重新设置的状态机是起始态、递进态、解析态还是识别态确认识别结果或继续进行特征匹配或应用层协议分析。

优选的，分析模块具体包括：第一分析单元，用于如果状态机处于起始态，则进行特征匹配分析；第一设置单元，用于如果分析结果是未匹配任何特征，则设置状态机仍然处于起始态；如果分析结果是匹配全部特征，则设置状态机变迁到识别态；如果分析结果是匹配部分特征，则设置状态机变迁到递进态。

优选的，分析模块具体包括：第二分析单元，用于如果状态机处于递进态，则进行特征匹配分析；第二设置单元，用于如果分析结果是匹配部分后续特征，则设置状态机仍然处于递进态；如果分析结果是匹配剩余后续特征，则设置状态机变迁到识别态；如果分析结果是未匹配后续特征或超时，则设置状态机变迁到起始态；如果分析结果是匹配解析特征，则设置状态机变迁到解析态。