[发明专利]报文序列查找方法、协议分析引擎和协议分析仪

说明书

技术领域

本发明涉及一种信息查找方法和处理器，尤其涉及一种报文序列查找方法、协议分析引擎和协议分析仪。

背景技术

协议分析仪是一种可以用来捕获并记录流经网络或者其中一部分数据的工具，可以根据适当的RFC或者其他规范来对所捕获的数据报文进行解码，显示其中的内容，方便用户分析网络状态。

协议分析仪不仅对于网络管理和故障检测而言非常重要，同样有益于协议的开发和执行、网络安全和网络协议学习等等。

根据协议分析仪的定义，它包括若干重要的组成部分，其中有嗅探器(sniffer)、解码器(decoder)和分析引擎，其中，嗅探器可以用来捕获网络报文，解码器则用来根据特定的规范来对报文进行解码，而分析引擎则可以用来帮助分析所捕获的网络报文，以发现特定的问题、验证网络中的特定状态，所以，也可以将分析引擎称为协议分析引擎。

现有技术中有些协议分析仪可以用来分析特定网络中的特定问题，比如在防火墙中使用的状态包过滤技术，但是，此种协议分析仪只可以分析特定的问题，不能普遍适用于其他情况，例如中科网威公司的“长城”防火墙，只能够根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络接口等数据包进行控制，记录通过防火墙的连接状态，通过连接状态进行过滤，而网络中的分析需求各不相同，如果要分析其它的需求，比如分析从源地址到目标地址之间哪个报文丢失、在何处丢失等等其他一些需求时，该分析仪则无法实现该功能。

现有技术中还有一些分析仪，针对不同的分析需求，可以使用不同的插件(plug-in)，每个插件都是使用一种程序语言编写的程序，执行该程序便可以满足特定的分析需求，但是，因为网络中所存在的问题各不相同，所以需要准备大量的专用分析插件，而且各个插件还可能使用不同的程序语言，难以在其他的分析仪中重复使用，也增加了维护的负担。

发明内容

本发明旨在提供一种省去大量专用分析插件的报文序列查找方法、协议分析引擎和协议分析仪。

为实现上述目的，本发明提出了一种报文序列查找的方法，根据输入的过滤条件和所述过滤条件的序列表达式，在捕获的报文序列中查找并保存匹配的报文序列，所述序列表达式用于在符合所述过滤条件的报文中查找符合特定联系的报文序列。

优选地，还根据输入的停止条件，与所述过滤条件和所述过滤条件的序列表达式，在捕获的报文序列中查找并保存匹配的报文序列，所述停止条件用于限定所述捕获的报文序列的查找范围。

优选地，所述过滤条件中包含报文信息，所述报文信息包括报文属性和/或报文内容。

优选地，所述过滤条件中包含使用逻辑运算符组合的不同报文信息。

优选地，所述在捕获的报文序列中查找并保存匹配的报文序列进一步包括：

找到一条报文序列后，将其保存，并从所述报文序列中第一个匹配的报文之后的报文开始查找其他匹配的报文序列。

优选地，还包括：将所查找到的报文序列和对应的信息保存成结果文件。

优选地，还包括：根据输入的深入分析标准，对所述保存的报文序列进行进一步过滤，所述深入分析标准为所述保存的报文序列信息的表达式，所述报文序列信息包括报文序列属性和/或报文序列内容。

本发明还提供了一种协议分析引擎，包括一个输入端口和一个分析单元，其中，

所述输入端口，用于接收输入的过滤条件和所述过滤条件的序列表达式，所述序列表达式用于在符合所述过滤条件的报文中查找符合特定联系的报文序列，

所述分析单元，用于根据所述输入的过滤条件和所述过滤条件的序列表达式，在捕获的报文序列中查找并保存匹配的报文序列。

优选地，所述输入端口还用于接收输入的停止条件，用于限定所述捕获的报文序列的查找范围，所述正分析单元用于将所述输入的过滤条件、过滤条件序列表达式和停止条件，在捕获的报文序列中查找并保存匹配的报文序列。

优选地，所述输入端口还用于接收输入的深入分析标准，用于对所述保存的报文序列进行进一步过滤，所述深入分析标准为所述保存的报文序列信息的表达式，所述报文序列信息包括报文序列属性和/或报文序列内容，所述协议分析引擎还包括一个后续处理单元，用于根据所述深入分析标准，对所述分析单元所查找到的报文序列进行过滤。

本发明还提供了一种协议分析仪，包括一个嗅探器和一个解码器，其中，所述嗅探器用于捕获网络报文，所述解码器用于根据特定的规范来对所捕获的报文进行解码，还包括如上任意所述的一种协议分析引擎。