[发明专利]协议识别方法、装置及系统

说明书

技术领域

本发明涉及协议识别技术领域，尤其涉及一种能够对所有协议进行快速而有效识别的协议识别方法、装置及系统。

背景技术

目前，现有技术中提供的协议识别技术可以根据其所适用的协议类型划分为以下三种：

第一种是基于固定的知名端口的协议识别技术，其主要是针对基于固定的知名端口进行传输数据的一类网络协议，例如FTP(File Transfer Protocol，文件传输协议)，TELNET(远程登录协议)，SMTP(Simple Mail Transfer Protocol，简单邮件传输协议)，SSH(Secure Shell Protocol，安全外壳协议)等。显然，该种协议识别技术较为简单，但识别的协议有很大局限。

第二种是基于特征码匹配的协议识别技术，其主要是针对通过第一种协议识别技术无法识别，但又可以通过协议应用层内容的特征码进行识别的一类网络协议，例如HTTP等。显然，该种协议识别技术可以弥补第一种协议识别技术的某些缺陷。

第三种是基于流量的协议识别技术，其主要是针对通过第一、二种协议识别技术无法识别的一类网络协议，例如BT(BitTorrent，比特洪流)，Emule(电骡)等。该种协议识别技术主要是根据P2P的流量特点对大量数据包进行统计识别。显然，该种协议识别技术不适合做网络安全领域的协议识别。这是因为网络安全领域协议识别的首要要求是识别效率要高，如果对大量数据包进行统计识别，则必然大大降低协议识别的效率，也会降低网络安全设备的性能。

综上所述，上述现有的几种协议识别技术都存在诸多弊端，尤其是针对经过加密或特征模糊的网络协议更是无法有效识别。

发明内容

本发明提供一种协议识别方法、装置及系统，能够对所有协议进行快速识别，尤其是对现有技术难以识别的协议进行快速而有效的识别。

本发明提供一种协议识别方法，包括：根据预定义特征对接收到的数据包进行识别，并按照预定义协议识别状态对识别结果进行设置；如果所述识别结果的设置值表示需要进一步确认，则根据所述预定义特征继续对下一个数据包进行识别；否则，结束协议识别过程并输出所述识别结果。

优选的，在所述根据预定义特征对接收到的数据包进行识别的步骤之前，所述方法还包括：对接收到的数据包进行过滤，去除数据内容为空的数据包。

优选的，所述方法还包括：当用于协议识别的数据包的个数达到最大阈值时，结束协议识别过程。

优选的，所述预定义特征是针对每种协议的特点预先定义的协议特征的集合。

优选的，所述预定义特征根据实际需要进行扩展和/或修改。

优选的，所述预定义协议识别状态包括：未被识别的协议状态、识别结束状态、每种协议中所有需要进一步确认的状态的集合。

优选的，所述预定义协议识别状态根据实际需要进行扩展和/或修改。

同时，本发明也提供一种协议识别装置，包括：识别单元，用于根据预定义特征对接收到的数据包进行识别；设置单元，用于按照预定义协议识别状态对识别结果进行设置；控制单元，用于当所述识别结果的设置值表示需要进一步确认时，控制所述识别单元根据所述预定义特征继续对下一个数据包进行识别；以及当所述识别结果的设置值表示最终结果时，则结束协议识别过程并输出所述识别结果。

优选的，所述装置还包括：过滤单元，用于对接收到的数据包进行过滤，去除数据内容为空的数据包，并将过滤后的数据包输入至所述识别单元。

优选的，所述控制单元，还用于确定所述识别单元已经识别过的数据包的个数，以当所述个数小于最大阈值时，则控制所述识别单元根据预定义特征继续对下一个数据包进行识别，否则结束协议识别过程并输出识别结果。

优选的，所述装置还包括：特征预设单元，用于针对每种协议的特点预先定义协议特征的集合。

优选的，所述特征预设单元根据实际需要对所述协议特征进行扩展和/或修改。

优选的，所述装置还包括：协议识别状态预设单元，用于预定义协议识别状态，所述协议识别状态包括：未被识别的协议状态、识别结束状态、每种协议中所有需要进一步确认的状态的集合。

优选的，所述协议识别状态预设单元根据实际需要对协议识别状态进行扩展和/或修改。

此外，本发明还提供一种协议识别系统，包括如前所述的协议识别装置。