[发明专利]高速网络协议深度检测装置及检测方法

说明书

技术领域

本发明涉及网络协议识别领域，尤其涉及一种高速网络协议深度检测装置及检测方法。

背景技术

在当今高速大容量的Internet环境中，内容安全是网络安全的重要组成部分。对于网络管理来说，最重要的就是识别和区分网络流量，通过协议识别可以对网络进行流量控制、网络计费、内容过滤、以及流量管理。

传统的协议识别采用的是端口识别，这种识别能达到较高的速率，但是现在大量的应用层协议为了避免识别，逃避防火墙的检查，不使用固定的端口进行通信.这不仅包括众多近年新出现的P2P协议，而且包括了越来越多的传统协议，比如BitTorrent、eMule等P2P协议，其采用动态端口进行通信；Skype、QQ等协议则共用80端口。越来越多诸如此类协议的产生，使得端口识别已无能无力，因此近年来很多的研究工作都致力于开发新的方法来识别应用层协议。

发明内容

针对上述问题，本发明的目的在于提供一种高速网络协议深度检测装置及检测方法，较好的避开复杂的DFA构建过程，节省了存储空间，充分利用芯片的线速处理能力和硬件流水线技术提高了性能。

为达到上述目的，本发明所述一种高速网络协议深度检测装置，包括管理单元、控制单元及转发分析处理单元，其中；

管理单元，设置各种协议处理规则及处理策略并传送到控制单元；同时接收控制单元反馈回的信息；

控制单元，接收管理单元传送的协议处理规则及处理策略并转化为转发分析处理规则传送到转发分析处理单元；同时监控转发分析处理单元的实时信息传送到控制单元；

转发分析处理单元，根据转发分析处理规则处理输入的报文流，并输出处理后的报文流。

优选地，所述转发分析处理单元包括精确匹配模块、正则表达式匹配模块及转发决策模块，其中；

精确匹配模块，对输入的报文流进行精确匹配处理，将匹配成功的报文流直接传送到转发决策模块；

正则表达式匹配模块，对未精确匹配成功的报文流进行匹配处理，将匹配成功的报文流传送到转发决策模块；

转发决策模块，对匹配成功的报文流进行转发决策处理后输出。

优选地，所述正则表达式匹配模块包括缓存确定型有限自动机、配置信息存储单元、正则表达式匹配信息存储单元以及流程控制模块，其中；

缓存确定型有限自动机，对未精确匹配成功的报文流进行字符串匹配处理并传送到配置信息存储单元；

正则表达式匹配信息存储单元，存储正则表达式匹配信息；

配置信息存储单元，存储字符串匹配处理后的报文流，并与正则表达式匹配信息存储单元交互，按正则表达式匹配信息对报文流进行正则表达式匹配，并将处理后的报文流传送到流程控制模块；

流程控制模块，接收控制单元发出的流程控制指令，将处理后的报文流输出。

优选地，所述正则表达式匹配信息存储单元内的信息由控制单元写入。

为达到上述目的，本发明所述一种检测方法，包括以下步骤：

对输入的报文流进行基于特征字与掩码相结合的精确匹配；

根据精确匹配结果判断是否进行正则表达式匹配：

若精确匹配成功，则直接进行转发决策处理。

反之，则进行正则表达式匹配，然后进行转发决策处理。

本发明的有益效果为：

本发明提供一种高速网络协议深度检测装置及检测方法，可以较好的避开复杂的DFA构建过程，节省了存储空间，并充分利用特定芯片的线速处理能力和硬件流水线技术提高性能。

附图说明

图1是本发明实施例所述高速网络协议深度检测装置的结构图；

图2是实施例所述转发分析处理单元的结构分布图；

图3是实施例所述正则表达式匹配模块的结构以及和控制单元的关系图。

具体实施方式

下面结合说明书附图对本发明做进一步的描述。

如图1所示，本发明实施例所述一种高速网络协议深度检测装置，包括管理单元、控制单元及转发分析处理单元，其中；

管理单元，提供给网络管理人员使用telnet，web，ssh，snmp，cli等方式来管理设备，设置各种协议处理规则及处理策略并传送到控制单元；同时接收控制单元反馈回的信息；