[发明专利]一种解除封装的协议识别方法及系统

说明书

技术领域

本发明涉及互联网技术领域，特别涉及一种解封装的协议识别方法及系统。

背景技术

IT业在世界范围内迅猛发展，尤其Internet的发展，连入internet的计算机数迅速增加，各行各业对internet的依赖性不断增强。但伴随着Internet的发展，也不断出现新的技术问题，如IP地址耗尽，网络资源征用和网络安全等。代理服务器的出现缓解了上述问题，代理服务器使用的是Proxy，Socks封装协议，它们代替内网的客户端向浏览器发出资源请求，而请求可以在代理服务器本身得到服务，也可以传向其他服务器。

在一般协议识别技术中，采用粗粒度的识别方法，即封装协议的报文经过应用程序中的识别模块识别为相应的封装协议，但这种识别结果不能满足封装应用识别和应用控制的力度要求。例如QQ登录时候网络设置中可以选择代理，比如SOCKS代理，如选择代理后，则QQ会被误识别为SOCKS协议，这种识别结果显然不能满足协议识别的需求。

发明内容

(一)所要解决的技术问题

通过本发明提供一种解封装的协议识别方法及系统，解决了将被封装协议识别为封装协议的问题。

(二)技术方案

本发明提供一种解除封装的协议识别方法，该方法包括：

S1、获取封装协议的报文，提取封装协议的特征码；

S2、获取应用协议的报文，提取应用协议的特征码；

S3、对所述封装协议和应用协议的特征码进行编译形成特征库并加载；

S4、扫描主机发送的所有连接，若发现当前连接的报文匹配命中所述特征库中封装协议的特征码，则继续扫描当前连接的后续报文，若后续报文匹配命中所述特征库中应用协议的特征码，则将所述当前连接识别为应用协议，否则，将所述当前连接识别为封装协议。

本发明还提供了一种解除封装的协议识别系统，该系统包括：

特征码提取模块，用于提取封装协议和应用协议的特征码，将特征码发送给特征码编译模块；

特征码编译模块，与所述特征码提取模块连接，用于对所述特征码进行编译形成特征库；

协议识别模块，与所述特征码编译模块连接，用于扫描主机发送的所有连接，若发现当前连接的报文匹配命中所述特征库中封装协议的特征码，则继续扫描当前连接的后续报文，若后续报文匹配命中所述特征库中应用协议的特征码，则将所述当前连接识别为应用协议，否则，将所述当前连接识别为封装协议。

其中，所述协议识别模块采用深度包检测技术。

(三)有益效果

本发明实现方法和原有的粗粒度识别方法不同，原有粗粒度识别方法，命中某种协议后即将其连接识别为命中的协议，本发明从更深层次挖掘封装协议的特征，从封装协议后续的报文中提取被封协议的特征，从而区分了使用相同封装协议下的不同应用协议，从而提高了协议识别和应用控制的粒度。

附图说明

图1为本发明所提供方法的步骤流程图；

图2为本发明所提供系统的模块连接图。

具体实施方式

下面结合附图和具体实施例，对本发明的具体实施方式做进一步详细说明。

本发明提供给了一种解除封装的协议识别方法，本发明中封装是指一条连接中封装协议中包含着另一个协议即被封装协议，简单起见，这里封装协议采用SOCKS协议，应用协议即被封装协议采用QQ登陆的应用协议，该方法包括：

S1、获取封装协议的报文，提取封装协议的特征码：

优选地，通过打开抓包工具，抓取SOCKS协议一定的数据包，保存数据包，获取到SOCKS的报文。针对所述的SOCKS的报文提取SOCKS协议的特征码。

S2、获取应用协议的报文，提取应用协议的特征码；

QQ通过SOCKS代理服务器登陆，抓包工具抓取一定数据包获得QQ登陆的报文，并提取特征码。

S3、对所述封装协议和应用协议的特征码进行编译形成特征库并加载：

S4、扫描主机发送的所有连接，若发现当前连接的报文匹配命中所述特征库中封装协议的特征码，则继续扫描当前连接的后续报文，若后续报文匹配命中所述特征库中应用协议的特征码，则将所述当前连接识别为应用协议，否则，将所述当前连接识别为封装协议：