[发明专利]一种报文检测方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种报文检测方法及装置。

背景技术

DPI(Deep Packet Inspection，深度包检测)是一种包(报文)检测技术，它除了对IP包中的源IP地址、目的IP地址、源端口、目的端口、会话信息等(IP包层4以下数据)信息进行检测分析外，还对IP包中的荷载Payload(应用层数据)进行深入分析，从而可以更高效地识别出网络上的各种应用。

目前，DPI技术已广泛应用于流量控制、内容计费和网络安全等领域。在DPI技术应用中，报文检测过程中的协议识别是一个关键的技术，后续的分析处理都需要依据协议识别的结果，协议识别的速度、广度和精度在很大程度上决定了DPI设备性能的好坏。

参见图1，为现有DPI技术中进行协议识别的流程示意图，包括如下步骤：

1)对接收的报文进行流表匹配，如果匹配成功，则进行策略执行；如果不成功，则执行步骤2；

现有技术无论对关联协议(控制通道数与数据通道分离的协议)还是非关联协议都进行流表匹配，这里的流表匹配是指对接收到的报文中的匹配信息与流表中存储的匹配信息进行匹配，该匹配信息一般包括：协议域(Type)、源IP地址(SIP)、源端口(SPort)、目的IP地址(DIP)、目的端口(DPort)等信息(以上五个信息简称五元组信息)。流表中的五元组信息确定了报文所在流中的相关信息，流中的相关信息内容并不限定，如可以包括用户ID、策略动作、统计类型、协议ID等信息，但一般都会包括策略动作信息，当流表匹配成功时，就可以通过五元组信息的索引查找得到相关的策略动作，并进行策略执行。

2)对报文进行规则匹配，输出匹配结果；

如果流表匹配不成功，则说明并没有对应的策略，此时，需要进行协议识别、策略管理等步骤来建立五元组信息与策略的对应关系。其中，协议识别首先对报文进行规则匹配，规则匹配是指提取报文中的相关信息与规则库中的规则进行匹配以对报文进行识别，规则匹配时，由于规则库数据庞大以及需要进行匹配算法运算，因此，其处理速度往往较慢。

3)根据匹配结果进行协议验证，识别出相关协议；

协议验证对规则匹配输出后的结果进行验证分析，从而识别出相关协议。

4)根据识别的协议进行策略管理，同时更新流表；

协议识别成功后，可以将报文上送到CPU进行策略管理，并更新流表中的相关信息，包括五元组信息与策略之间的对应关系；通过更新流表，当下一次有报文进入时，便可以根据流表中的五元组信息索引到相关的策略进行策略执行。

发明人在实现本发明的过程中，发现现有技术至少存在如下缺点：

当流表匹配不成功时，需要通过规则匹配、协议验证、策略管理等步骤进行协议识别及流表更新，而规则匹配、协议验证等步骤处理速度往往较慢，因此，使得协议识别速度得不到进一步提升。

发明内容

本发明实施例提供一种报文检测方法及装置，用于提高协议识别速度，所述方法，其中：

一种报文检测方法，包括如下步骤：

接收报文，对所述报文进行流表匹配；

当所述流表匹配不成功时，对所述报文进行关联识别表匹配；所述关联识别匹配包括对所述报文中的三元组信息进行匹配，所述三元组信息包括协议域、源IP、源端口或者所述三元组信息包括协议域、目的IP、目的端口；

当所述关联识别表匹配成功时，输出与所述关联识别表匹配成功的协议信息。

以及，

一种报文检测方法，包括如下步骤：

将接收到的报文中的第一匹配信息与关联识别表中的第一匹配信息进行关联识别表匹配；所述关联识别表中的第一匹配信息通过提取用于创建数据通道的控制报文内容得到，所述第一匹配信息与报文协议相对应，所述报文协议由所述控制报文经协议识别后得到；

当所述关联识别表匹配成功时，输出所述关联识别表匹配成功后的协议信息。

以及，

一种关联协议识别装置，包括：

接收单元，用于接收报文；

关联识别表匹配单元，用于将接收单元接到的报文中的第一匹配信息与关联识别表中的第一匹配信息进行关联识别表匹配；所述关联识别表中的第一匹配信息通过提取用于创建数据通道的控制报文内容得到，所述第一匹配信息与报文协议相对应，所述报文协议由所述控制报文经协议识别后得到；当所述关联识别表匹配成功时，输出所述关联识别表匹配成功后的协议信息。