[发明专利]一种网络协议识别方法和装置

说明书

本发明公开一种网络协议识别方法，将相同IP端口的码流数据进行比对，获得各网络协议中固定的特征信息；依照各网络协议中所述特征信息出现的次序将所述特征信息存入协议知识库；将所述协议知识库存储的特征信息构建决策树，所述决策树中的叶子节点标识该叶子节点所在分支的网络协议；根据所述决策树各节点和各节点分支标识的信息，对待识别数据进行协议识别；根据识别到达的叶子节点确定所述待识别数据的网络协议，使用本发明可快速识别码流数据的网络协议。本发明还公开一种网络协议识别装置。

技术领域

本发明涉及网络技术领域，具体涉及一种网络协议的识别技术。

背景技术

随着网络的飞速发展和新应用的不断出现，对网络的安全审计、入侵检测、数据防泄漏等网络信息安全产品的需求量也越来越大，这些网络安全产品主要基于深度包检测技术DPI(Deep Packet Inspection)，而深度包检测技术的核心是应用层协议识别，即鉴别网络链路上传输的数据是采用何种应用层协议，并对这些协议进行还原和分析。具体实现机制是通过深入读取IP包载荷的内容来对OSI 7层协议中的应用层信息进行重组，从而识别出IP包的应用层协议内容，将其作为后续业务处理的依据。

协议识别的关键是进行协议特征匹配，现有技术主要通过以下方式进行协议特征匹配：

静态匹配：通过定义协议库，将抓取到的网络协议与协议库中每个协议的内容进行各个字段的匹配；动态匹配：先提取网络协议的特征，通过定义正则表达式对协议特质进行动态的匹配，一个正则表达式由一系列规则和大量的状态数组组成；树形匹配：将网络协议分组，通过树形结构组织协议库，通过树结构的遍历进行协议匹配。

现有技术存在以下几个缺点：

大数据量下分析性能有限：现有的DPI算法中，对协议的识别是以静态匹配技术为基础，即定义标准的协议库，当发现网络流量数据时用采集的数据包与协议库内容进行遍历匹配，如果存在上千种协议那么对每个数据包就要遍历近千次，大大影响实际使用效果。在这种情况下，采用动态匹配的正则表达式方式模式匹配法作为辅助的效果也非常有限，正则表达式提升了规则定义的灵活度却使分析的性能大大降低，无法实现对高速骨干网络中大数据量、复杂协议的快速定位与识别。另外传统的树形结构协议库也存在弊端，特征提取技术是这部分内容的瓶颈，每种协议的特征是变化的，反复更新协议特征库的方式很难在大数据条件下实际应用，传统的树形结构协议库匹配方法难以识别变化后的协议特征。

对硬件设备进行定制兼容性差：现有技术中为了提高协议分析的性能，会采用定制匹配引擎方式，即将协议匹配工作固化在硬件引擎中，硬件设备能避免软件分时处理所造成的系统开销从而提高了分析性能。但固化硬件采用的是底层编译语言，对硬件依赖较高无法实现程序的及时更新，并且不能跨设备部署即当单台设备达到处理极限时只能通过增加设备的方式解决，在很多无法进行多路镜像的网络环境中这种方式很难发挥作用。

对新增协议无法快速识别：网络技术发展日新月异，新技术新应用层出不穷，新的网络协议不断涌现，这些协议既有根据开源协议进行定制，还有封闭的私有协议，不断变化的因素也对网络协议分析带来了巨大挑战，传统网络协议分析采用静态的特征库技术，只能对已有的网络协议进行识别，对于新增协议无法响应判断，只能被动等待特征库进行更新，如果特征库更新缓慢或者有遗漏则无法发挥协议分析本来的作用。

因此一种大数据量情况下快速识别协议并对新增未知协议进行快速智能识别的方法亟待出现。

发明内容

本发明提供一种网络协议识别方法，所述方法包括：

将相同IP端口的码流数据进行比对，获得各网络协议中固定的特征信息；

依照各网络协议中所述特征信息出现的次序将所述特征信息存入协议知识库；

将所述协议知识库存储的特征信息构建决策树，所述决策树中的叶子节点标识该叶子节点所在分支的网络协议；