[发明专利]一种基于Hadoop的应用层协议识别方法

权利要求书

1.一种基于Hadoop的应用层协议识别方法，其特征在于包括以下步骤：

（1）、将已知的应用层协议数据包的特征串放入HBase数据库中，所述的特征串的格式为特征字段1、偏移量1、特征字段2、偏移量2、……、特征字段n、偏移量n，特征字段与偏移量之间用分隔符分隔，以便区分；

如果特征串的第一个特征字段即特征字段1的偏移量为0，则将该特征串以及特征串的属于那种应用层协议的说明放入HBase数据库的表0中，具体的存放格式为第一个特征字段的前2个字符作为列族，第3、4个字符作为行键，同时，采用列修饰符对该特征串进行编号，其中，列修饰符编号从1开始，以区别前四个字符相同的特征串，将整个特征串以及特征串的属于那种应用层协议的说明作为特征值放入列族、行键和列修饰符对应的表格中；

否则，将整个特征串以及特征串的属于那种应用层协议的说明放入HBase数据库的表1中；

（2）、首先用Hadoop平台的Map函数对从网络上捕获的数据包进行预处理，提取出应用层协议数据包，然后将提取的应用层协议数据包进行聚类，将相同应用层数据包作为一条数据包进行识别，这样减少了整个程序运行的时间；

（3）、用Hadoop平台的Reduce函数对聚类后的应用层协议数据包进行识别：

提取聚类后的应用层协议数据包的前4个字符，用这4个字符的前2个字符作为列族，第3、4个字符作为行键，从HBase数据库的表0中提取特征值，并存放在集合A1里；

如果集合A1不为空，则用聚类后的应用层协议数据包依次与集合A1中的特征值的特征串进行匹配，如果特征值的特征串的每个特征字段依据其偏移量在应用层协议数据包中找到，则认为特征值匹配成功，一旦特征值匹配成功则将特征值的特征串属于那种应用层协议的返回；否则认为特征值匹配不成功；

如果集合A1为空或集合A1不为空但特征值匹配不成功，则从HBase数据库的表1中提取特征值，并存放在集合A2中，然后用聚类后的应用层协议数据包依次与集合A2中的特征值的特征串进行匹配，如果特征值的特征串的每个特征字段依据其偏移量在应用层协议数据包中找到，则认为特征值匹配成功，一旦特征值匹配成功则将特征值的特征串属于那种应用层协议的返回；否则认为特征值匹配不成功，返回聚类后的应用层协议数据包不能识别。

2.根据权利要求1所述的应用层协议识别方法，其特征在于，所述的特征串匹配为：

1）、对变量i赋值为0；

2）、判断变量i是否大于特征值集合的范围即特征值数量，如果大于，则特征串匹配失败，如果不大于，则进行步骤3）；

3）、取特征值集合A的第i个特征值；

4）、对特征值依据分隔符进行分离，得到特征字段1、偏移量1、特征字段2、偏移量2、……、特征字段n、偏移量n以及特征串属于那种应用层协议的说明，并依次存入数组vals中；

5）、对变量j赋值为0，对变量b赋值为false；

6）、判断变量j是否大于数组vals元素数量-2；如果是，则表示该特征值已经匹配完成，进入步骤7），否则进入步骤8）；

7）、判断变量b的值是否为true，是则特征串匹配成功，将特征值的特征串属于那种应用层协议的返回；否则将变量i加1即i=i+1，返回步骤2）；

8）、判断数组第j+1个元素即vals[j+1]是否为a？

如果是，则在应用层协议数据包中查找，看是否存在元素vals[j+1]，存在，则变量b赋值为true，变量j加2，返回步骤6），不存在，则变量b赋值为false，变量i加1，返回步骤2），即进行下一特征串匹配；

如果不是，则判断元素vals[j]在应用层协议数据包中的偏移量是否与元素vals[j+1]相等，相等，则则变量b赋值为true，变量j加2，返回步骤6），不相等，则变量b赋值为false，变量i加1，返回步骤2），即进行下一特征串匹配。