[发明专利]一种可编排的流量协议识别与解析方法、装置及设备

说明书

本申请提供一种可编排的流量协议识别与解析方法、装置及设备，该方法包括：若数据包的协议特征与第一协议识别插件的协议特征匹配，则将第一协议识别插件对应的协议确定为协议级别下的目标协议；若多个协议级别下的目标协议中存在具有子协议的候选目标协议，则将数据包输入给候选目标协议对应的至少一个子协议识别插件；若数据包的协议特征与第一子协议识别插件的协议特征匹配，则将第一子协议识别插件对应的子协议确定为候选目标协议下的子协议；将数据包输入给每个协议级别下的目标协议对应的协议解析插件，由协议解析插件从数据包中解析出该协议级别下的协议解析结果。通过本申请的技术方案，能够有效提升协议识别的效率和准确率。

技术领域

本申请涉及网络安全技术领域，尤其是涉及一种可编排的流量协议识别与解析方法、装置及设备。

背景技术

随着信息技术的不断进步，网络流量分析技术越来越重要，基于网络流量分析技术，能够使运维人员了解当前网络状态，如流量分布情况、流量带宽情况等，基于网络流量分析技术，能够使运维人员了解当前网络的安全情况，如当前网络是否存在网络攻击、当前网络存在哪种类型的网络攻击等。

在网络流量分析技术中，需要对数据包协议进行识别，即分析数据包采用哪些协议，即基于端口或关键特征分析数据包协议。比如说，针对80端口的数据包，确定数据包协议为HTTP（Hyper Text Transfer Protocol，超文本传输协议）协议，针对22端口的数据包，确定数据包协议为SSH（Secure Shell，安全外壳协议）协议，针对带有GET HTTP/1.1的数据包，确定数据包协议为HTTP协议。

但是，在上述方法中，需要依赖端口或关键特征分析数据包协议，存在协议识别不准确，存在大量漏报情况和误报情况，即无法准确分析数据包协议。

发明内容

本申请提供一种可编排的流量协议识别与解析方法，应用于电子设备，所述电子设备包括多个协议级别的协议识别插件和协议解析插件，所述方法包括：

针对每个协议级别，将数据包输入给所述协议级别的至少一个协议识别插件；若数据包的协议特征与第一协议识别插件的协议特征匹配，则将所述第一协议识别插件对应的协议确定为所述协议级别下的目标协议；

若所述多个协议级别下的目标协议中存在具有子协议的候选目标协议，则将数据包输入给所述候选目标协议对应的至少一个子协议识别插件；若数据包的协议特征与第一子协议识别插件的协议特征匹配，则将所述第一子协议识别插件对应的子协议确定为所述候选目标协议下的子协议；

将数据包输入给每个协议级别下的目标协议对应的协议解析插件，由所述协议解析插件从数据包中解析出该协议级别下的协议解析结果；

输出所述数据包对应的所述多个协议级别下的目标协议、所述候选目标协议下的子协议、所述多个协议级别下的协议解析结果。

本申请提供一种可编排的流量协议识别与解析装置，应用于电子设备，所述电子设备包括多个协议级别的协议识别插件和协议解析插件，所述装置包括：

目标协议解析模块，用于针对每个协议级别，将数据包输入给所述协议级别的至少一个协议识别插件；若数据包的协议特征与第一协议识别插件的协议特征匹配，则将第一协议识别插件对应的协议确定为该协议级别下的目标协议；

子协议解析模块，用于若多个协议级别下的目标协议中存在具有子协议的候选目标协议，则将数据包输入给所述候选目标协议对应的至少一个子协议识别插件；若数据包的协议特征与第一子协议识别插件的协议特征匹配，则将所述第一子协议识别插件对应的子协议确定为所述候选目标协议下的子协议；

内容解析模块，用于将数据包输入给每个协议级别下的目标协议对应的协议解析插件，由协议解析插件从数据包中解析出该协议级别下的协议解析结果；