[发明专利]一种用于网络数据流识别的协议特征库维护使用方法

说明书

技术领域

本发明涉及通信网络流量识别领域，更具体的，本发明涉及一种协议特征库的维护使用方法。

背景技术

伴随着网络流量的暴增，新的网络业务类型层出不穷，为了掌握通信网络的业务流量分布和用户对各种业务的使用情况，从而更好地发现促进业务发展和影响网络正常运营的因素，必须首先对通信网络中的数据流量进行有效的识别。

DPI(Deep Packet Inspection)深度包检测技术是当前流量识别的主流技术。DPI是一种基于应用层的流量检测技术，通过识别报文负载中的特征字段来捕捉相应的业务流量。该方法使用一个协议特征库存储网络数据流特征信息，以网络流为单位进行判定，将网络数据流与协议特征库进行匹配，其负载包含某个应用的特征字段，则判定该网络流属于这个应用。

协议特征库是网络中协议特征规范化描述的集合，对于每个协议都有多条规则组成，一条规则可以确定一个协议，而每条规则又由几个特征签名组成。协议特征库中包含P2P类软件、IM软件、VoIP类软件、视频类软件、炒股类软件、下载以及游戏类等常用软件特征。协议特征库需要不断的更新升级，根据应用流量的变化而经常变化，否则就会识别失败。

面对日趋复杂的协议特征库文件情况，如何有效地组织应用协议特征库提高通信网络中的数据流量识别效率显得十分重要。但目前尚未有相关技术方案出现。

发明内容

为了适应多种多样的协议特征，同时便于提取各个种类的协议，以满足针对特定协议类型识别的要求，本发明提出了一种用于网络数据流识别的协议特征库维护使用方法。

本发明技术方案提供一种用于网络数据流识别的协议特征库维护使用方法，利用Lua语言描述协议特征库，业务识别系统的业务线程获取网络数据包，识别网络数据流量，所述业务线程包括业务线程0和其他业务线程；协议特征库支持两个实例，分别记为特征库实例0和特征库实例1，每个业务线程保持一个特征库实例的句柄；业务线程特征匹配时，使用对应的特征库实例进行匹配；

系统进程的处理方式如下，

首先，系统进程启动并加载协议特征库，同时保存协议特征库的修改时间；每个业务线程都使用特征库实例0，特征库实例1空闲；业务线程0维护一个数值consist_num，标识当前和业务线程0使用相同特征库实例的线程数目，启动时consist_num为业务线程总数目；

然后，系统进程注册SIGHUP信号处理程序，启动所有业务线程，其中SIGHUP是自定义的信号名称，用于在协议特征库更新后通知重新加载协议特征库；

SIGHUP信号处理程序捕获到SIGHUP信号后，设置g_reload_cfg_flag标志，其中g_reload_cfg_flag是自定义的标志名称，用于标识是否重新加载协议特征库；

业务线程周期性的进行心跳检查，

在业务线程0心跳检查时，若g_reload_cfg_flag标志被设置并且协议特征库的修改时间与保存的不一样，而且consist_num等于业务线程总数目，则进行如下操作，

更新协议特征库修改时间；设置consist_num为1；重新加载协议特征库到空闲的特征库实例中；将业务线程0的特征库句柄切换到空闲的特征库实例；通知其他业务线程重新加载协议特征库，包括发出“重新加载特征库消息”；

其它业务线程心跳检查时不做处理，收到“重新加载特征库消息”后，才将特征库句柄切换到空闲的特征库实例，并通知业务线程0“特征库重新加载完毕”；

业务线程0收到其它业务线程发送来的“特征库重新加载完毕”的消息后，累加consist_num，当consist_num等于业务线程数目时，所有的业务线程都已经切换到新的协议特征库了，此时业务线程0释放空闲的特征库实例；重新加载协议特征库完成，其它线程将网络数据流与协议特征库进行匹配，判定该网络流所属的协议类型。

而且，协议特征库的字段包含name、id、grp和rules，name为协议名称，id为协议ID，grp为协议所属协议组，rules为特征匹配规则。

而且，遍历协议特征库中的每一个协议，读取协议特征库的字段grp，根据获取的grp判断所属的协议组，根据协议所属的协议组统计各组的协议个数，输出指定协议组类型的所有协议形成独立的特征库文件，用于指定类别协议的识别。

而且，所述特征匹配规则由12种表达式组成，描述如下，