[发明专利]识别协议及内容的方法、存储设备、安全网关、服务器

说明书

本申请实施例提供识别协议及内容的方法、存储设备、安全网关、服务器，所述识别协议的方法包括：获取并解析待识别网络协议的数据流；确认所述数据流包括的数据包的传输层携带的端口号属于注册端口号，则根据协议内容特征和第一特征库中的模式串再次识别所述数据包的协议类型；或者确认所述数据流包括的数据包的传输层携带的端口号属于动态端口号或者属于使用频率小于设定阈值的端口号，则将提取的所述数据流的协议特征与第二特征库中的模式串匹配以确认所述数据流的协议类型。本申请的实施例对于通过端口号确定的协议类型，还需要根据协议内容再次确认协议类型，以提升固定端口协议类型识别的准确率。

技术领域

本申请涉及网络协议类型识别领域，具体而言本申请实施例涉及识别协议及内容的方法、存储设备、安全网关、服务器。

背景技术

在当前5G、云服务等技术迅速发展态势下，网络直播、视频点播等视听媒体内容在网络中所占比例在不断增大，视听媒体内容已经成为人们生活中不可缺少的部分。而在高通量的视听媒体数据中，存在一些不合规或者垃圾的音视频流，同时某些网络传输机制的需要统计网络中各种协议（例如音视频协议）的比例，而相关协议较多，且存在一些私有的协议也可进行数据（例如，音视频）的传输。

出于以上考虑，需要对当前传输协议（例如，音视频传输协议）进行有效的识别与检测，实现对有害内容的音视频快速审计和过滤。而当前对于协议（例如，音视频传输协议）的识别与分析研究较少，传统的协议识别与分析大多针对已有的协议进行研究，如基于端口或者报文负载的协议识别，而针对未知的协议及私有协议研究正在发展阶段，同时如何提高识别的准确率及效率也是协议识别的关键点。

本申请的发明人发现为了满足日益增长的视频媒体安全防护要求，需要一种高效的网络协议（例如，视听媒体协议）检测识别方法已是刻不容缓。

发明内容

本申请实施例的目的在于提供识别协议及内容的方法、存储设备、安全网关、服务器，采用本申请实施例的协议识别方法可以提升网络协议识别的效率和准确率。

第一方面，本申请的一些实施例提供一种识别协议的方法，所述方法包括：获取并解析待识别网络协议的数据流；确认所述数据流包括的数据包的传输层携带的端口号属于注册端口号，则根据协议内容特征和第一特征库中的模式串再次识别所述数据包的协议类型；或者确认所述数据流包括的数据包的传输层携带的端口号属于动态端口号或者属于使用频率小于设定阈值的端口号，则将提取的所述数据流的协议特征与第二特征库中的模式串匹配以确认所述数据流的协议类型。

本申请的实施例对于通过端口号确定的协议类型，还需要根据协议内容再次确认协议类型，以提升固定端口协议类型识别的准确率，进一步对于未知协议可以采用多模式匹配算法提取这些数据流的频繁串以丰富对应的特征集，方便对采用这类协议的数据流的协议类型识别。

在一些实施例中，所述确认所述数据流包括的数据包的传输层携带的端口号属于注册端口号，则根据协议内容特征和第一特征库中的模式串再次识别所述数据包的协议类型，包括：根据所述数据包对应的数据流提取待识别协议的特征；根据所述待识别协议的特征与预先建立的所述第一特征库中的特征进行比对，以确定所述待识别协议的类型，其中，所述第一特征库是通过提取已知协议类型的特征得到的，所述第一特征库包括单一规则和组合规则，所述组合规则是将所述至少一条单一规则进行哈希运算得到的。

本申请的一些实施例通过将单一规则组成混合规则进行字符串匹配，可以提高协议类型识别的准确率。

在一些实施例中，所述确认所述数据包的传输层携带的端口号属于注册端口号，则根据协议内容特征和第一特征库中的模式串再次识别所述数据包的协议类型，包括：根据RK字符串匹配算法比对所述待识别协议的特征和所述第一特征库中的特征。

本申请的一些实施例通过利用已知协议的特征建立特征库，根据RK算法（即Rabin-Karp算法）对提取的待识别协议的特征与各类已知协议特征进行比对匹配，以识别待识别协议的具体类型。