[发明专利]网络协议识别方法及装置

权利要求书

1.一种网络协议识别方法，其特征在于，包括：

基于数据平面开发套件，从网卡获取数据包；

判断所述数据包的传输层的协议类型，确定传输层的协议类型是TCP或UDP；

若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议；若是UDP，则基于Hyperscan引擎的块模式扫描所述数据包，识别所述数据包采用的运行于UDP协议之上的协议；

所述若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议的具体步骤包括：

基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的TCP协议，作为所述数据包采用的运行于TCP协议之上的协议；

所述若是UDP，则基于Hyperscan引擎的块模式扫描所述数据包，识别所述数据包采用的运行于UDP协议之上的协议的具体步骤包括：

基于Hyperscan引擎的块模式和预先获取的块模式协议识别规则扫描所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的UDP协议，作为所述数据包采用的运行于UDP协议之上的协议。

2.根据权利要求1所述的网络协议识别方法，其特征在于，所述确定传输层的协议类型是TCP或UDP，与所述若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议之间，还包括：

将所述数据包重整为有序数据。

3.根据权利要求1所述的网络协议识别方法，其特征在于，所述基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包的具体步骤包括：

若判断获知数据包不是HTTP数据，则基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包。

4.根据权利要求3所述的网络协议识别方法，其特征在于，所述基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包的具体步骤包括：

若判断获知数据包是HTTP数据，则对所述数据包进行HTTP解码后，基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描解码后的重整后的所述数据包。

5.根据权利要求1至4任一所述的网络协议识别方法，其特征在于，所述基于数据平面开发套件，从网卡获取数据包，与判断所述数据包的传输层的协议类型之间，还包括：

对所述数据包的IP层进行预处理。

6.一种网络协议识别装置，其特征在于，包括：

数据采集模块，用于基于数据平面开发套件，从网卡获取数据包；

会话管理模块，用于判断所述数据包的传输层的协议类型，确定传输层的协议类型是TCP或UDP；

数据扫描模块，用于若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议；若是UDP，则基于Hyperscan引擎的块模式扫描所述数据包，识别所述数据包采用的运行于UDP协议之上的协议；

所述数据扫描模块，具体用于基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的TCP协议，作为所述数据包采用的运行于TCP协议之上的协议；

所述数据扫描模块，还具体用于基于Hyperscan引擎的块模式和预先获取的块模式协议识别规则扫描所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的UDP协议，作为所述数据包采用的运行于UDP协议之上的协议。

7.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至5任一所述的网络协议识别方法的步骤。

8.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求至1至5任一所述的网络协议识别方法的步骤。