專利名稱:一種深度報(bào)文檢測方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域����,尤其是涉及業(yè)務(wù)識(shí)別與控制系統(tǒng)中提高報(bào)文檢 測命中率的 一種深度報(bào)文檢測方法和裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展���,在網(wǎng)絡(luò)上承載的內(nèi)容越來越豐富����,網(wǎng)絡(luò)服務(wù) 供應(yīng)商對(duì)客戶提供了越來越多的服務(wù)內(nèi)容�����,這些服務(wù)可以區(qū)分成不同的應(yīng)用��。 這就要求網(wǎng)絡(luò)設(shè)備能夠提供較復(fù)雜的報(bào)文處理能力��,區(qū)分不同的應(yīng)用�,為不同 的應(yīng)用提供不同級(jí)別的帶寬。
以前����,網(wǎng)絡(luò)設(shè)備都是通過4層以下的報(bào)文頭信息來區(qū)別不用的應(yīng)用,常用 的有二層MAC地址、五元組等����。但是隨著網(wǎng)絡(luò)應(yīng)用越來越豐富,單純的靠4層 以下的報(bào)文頭信息已經(jīng)不能完全的區(qū)分不同的應(yīng)用�,這時(shí)就需要查看4層以上 甚至是報(bào)文內(nèi)容,對(duì)應(yīng)用層進(jìn)行分析�����,進(jìn)而區(qū)分不同的應(yīng)用��,這就是深度報(bào)文 檢測的產(chǎn)生���。
用層協(xié)議進(jìn)行分析�。特征字可以才艮據(jù)用戶自身的需求來進(jìn)行配置���,但在實(shí)際應(yīng) 用中��,報(bào)文內(nèi)容的隨機(jī)性很強(qiáng)����,用戶配置的特征字可能達(dá)不到效果�,會(huì)造成一 定程度上的誤命中。誤命中會(huì)導(dǎo)致對(duì)一些流量采取不適當(dāng)?shù)牟呗?����,影響業(yè)務(wù)的 正常�。
目前有很多業(yè)務(wù)都屬于嵌套型業(yè)務(wù),即在一種應(yīng)用上承載另一種應(yīng)用��,比 ^口BT (Bit Torrent)分發(fā)十辦i義�����、POCO (People Connection)點(diǎn)只于點(diǎn)業(yè)務(wù)�、SIP (The Session Initiation Protocol會(huì)話啟動(dòng)協(xié)議)等應(yīng)用的很多交互報(bào)文都是通過 HTTP (Hypertext Transfer Protocol超文本傳4俞協(xié)i義)協(xié)i義來7K載,HTTP就屬 于承載型業(yè)務(wù)���,真實(shí)的業(yè)務(wù)其實(shí)是BT��、 POCO����、 VOIP( Voice over Internet Protocol語音交互協(xié)議)等�。目前的深度報(bào)文檢測方法都是比較簡單地基于一個(gè)或多個(gè) 特征字的組合來進(jìn)行,這種檢測方法很難檢測出嵌套型業(yè)務(wù)����。
現(xiàn)有技術(shù)中為了能夠?qū)⒄鎸?shí)業(yè)務(wù)檢測出來�,通常會(huì)配置復(fù)雜的特征字組合 來檢測����,這樣會(huì)大大影響軟件的性能,比如降低了特征字查找的速度和報(bào)文轉(zhuǎn) 發(fā)的速度等��,在流量大的情況下還會(huì)有丟包現(xiàn)象�。而且如果出現(xiàn)多重嵌套的業(yè) 務(wù)那就更不好檢測了。
發(fā)明內(nèi)容
本發(fā)明的目的在于公開一種深度報(bào)文檢測方法和裝置���,通過配置遞進(jìn)查找 關(guān)系提高了檢測命中率���。
本發(fā)明公開了 一種深度報(bào)文檢測方法,在服務(wù)器中運(yùn)行特征字配置文件識(shí)
別報(bào)文類型�;包括如下步驟所述服務(wù)器根據(jù)所述特征字配置文件首先對(duì)報(bào)文 進(jìn)行承載型業(yè)務(wù)特征字檢測,如果檢測結(jié)果確認(rèn)為承載型業(yè)務(wù)���,根據(jù)所述特征 字配置文件的設(shè)置進(jìn)一步對(duì)報(bào)文進(jìn)行嵌套型業(yè)務(wù)特征字檢測���。
所述特征字配置文件的設(shè)置是,在確定承載型業(yè)務(wù)類型之后����,再檢測嵌套 型業(yè)務(wù)特征字。
本發(fā)明公開的深度報(bào)文檢測方法��,還包括根據(jù)檢測結(jié)果確定業(yè)務(wù)類型��, 再根據(jù)所述業(yè)務(wù)類型下發(fā)策略���。
所述承載型業(yè)務(wù)包括HTTP超文本傳輸協(xié)議業(yè)務(wù)���;所述嵌套型業(yè)務(wù)包括BT 分發(fā)協(xié)議業(yè)務(wù)、P0C0點(diǎn)對(duì)點(diǎn)業(yè)務(wù)����、和SIP會(huì)話啟動(dòng)協(xié)議業(yè)務(wù)。�。
本發(fā)明還公開了 一種深度報(bào)文檢測裝置,用于運(yùn)行識(shí)別報(bào)文類型的特征字 配置文件���;包括用于存放所述特征字配置文件的內(nèi)存模塊��,和用于對(duì)報(bào)文進(jìn)行 特征字檢測的特征字檢測模塊���;所述特征字檢測模塊根據(jù)所述特征字配置文件 首先對(duì)報(bào)文進(jìn)行承載型業(yè)務(wù)特征字檢測���,如果檢測結(jié)果確認(rèn)為承載型業(yè)務(wù),再 根據(jù)所述特征字配置文件的設(shè)置進(jìn)一步對(duì)報(bào)文進(jìn)行嵌套型業(yè)務(wù)特征字檢測���。
本發(fā)明還公開的深度報(bào)文檢測裝置�����,還包括策略下發(fā)模塊��,所述策略下發(fā)模塊根據(jù)所述特征字檢測模塊輸出的檢測結(jié)果確定業(yè)務(wù)類型���,根據(jù)所述業(yè)務(wù) 類型下發(fā)策略。
所述特征字配置文件在所述內(nèi)存模塊中的內(nèi)存表項(xiàng)1里存放所述承載型業(yè)
務(wù)特征字�����,在所述內(nèi)存模塊中的內(nèi)存表項(xiàng)2里存放所述嵌套型業(yè)務(wù)特征字�;所 述特征字檢測模塊先根據(jù)內(nèi)存表項(xiàng)1中的所述承載型業(yè)務(wù)特征字對(duì)報(bào)文進(jìn)行檢 測,命中所述承載型業(yè)務(wù)特征字之后���,自動(dòng)再根據(jù)所述內(nèi)存表項(xiàng)2中的所述嵌 套型業(yè)務(wù)特征字對(duì)報(bào)文進(jìn)行檢測�����,如果又命中了則確定為嵌套型業(yè)務(wù),下發(fā)嵌 套型業(yè)務(wù)策略;否則確定為承載型業(yè)務(wù),下發(fā)承載型業(yè)務(wù)策略。
所述承載型業(yè)務(wù)包括HTTP超文本傳輸協(xié)議業(yè)務(wù)�����;所述嵌套型業(yè)務(wù)包括BT 分發(fā)協(xié)議業(yè)務(wù)����、POCO業(yè)務(wù)����、和SIP會(huì)話啟動(dòng)協(xié)議業(yè)務(wù)
本發(fā)明公開的一種深度報(bào)文檢測方法和裝置,通過配置遞進(jìn)查找關(guān)系對(duì)報(bào) 文分別進(jìn)行承載型和嵌套型業(yè)務(wù)檢測��,提高了檢測命中率�����。它的優(yōu)點(diǎn)如下可 以有效提高深度報(bào)文檢測的命中率�,減少誤命中;特征字組合簡單���;容易修改����, 便于擴(kuò)展。
圖1是本發(fā)明的深度報(bào)文檢測方法的流程圖�。
圖2是本發(fā)明的深度報(bào)文檢測裝置的功能模塊框圖。
具體實(shí)施例方式
本發(fā)明所述方法的處理步驟如下
第一步���、分析承載型業(yè)務(wù)應(yīng)用(如HTTP等)�,確定業(yè)務(wù)特性以及能識(shí)別承 載業(yè)務(wù)應(yīng)用的特征字等���;
第二步�����、分析嵌套型業(yè)務(wù)應(yīng)用��,確定能識(shí)別每層級(jí)的業(yè)務(wù)應(yīng)用的特征字���, 在每層查找過程中可結(jié)合多個(gè)關(guān)鍵字組合配置;
第三步�、對(duì)于嵌套型業(yè)務(wù)的識(shí)別,結(jié)合每層級(jí)的特征識(shí)別方法確定最終的業(yè)務(wù)識(shí)別的遞逬查找方案(即�,先檢測出基本承載業(yè)務(wù)類型,再深入的逐層分析 真正的業(yè)務(wù)類型);
第四步�、通過命令行來配置遞進(jìn)查找關(guān)系,如對(duì)于HTTP業(yè)務(wù)��,通過配置它 的特性��,指示在確定是HTTP業(yè)務(wù)應(yīng)用之后����,還需要再次進(jìn)行特征字查找,并最 終確定可能的真實(shí)業(yè)務(wù)�����;
第五步�����、保存修改后的配置文件�����,運(yùn)行命令使配置文件生效�。 下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明做進(jìn)一 步詳細(xì)說明�����。
如圖1所示是本發(fā)明的深度報(bào)文檢測方法的流程圖,本發(fā)明的深度報(bào)文檢測 方法的具體實(shí)施方式
如下
步驟101���、確定當(dāng)前各種不同業(yè)務(wù)特征字的初始配置���; 步驟102 、確定承載型業(yè)務(wù)應(yīng)用和嵌套型業(yè)務(wù)應(yīng)用�;
步驟102,具體是這樣實(shí)現(xiàn)的在實(shí)際環(huán)境里運(yùn)行這些業(yè)務(wù),通過i爪包工具 截獲通信過程中的交互報(bào)文��,分析報(bào)文內(nèi)容����,明確哪些是承載型業(yè)務(wù),哪些是 嵌套型業(yè)務(wù)���;
步驟103���、針對(duì)承載型業(yè)務(wù),詳細(xì)分析其報(bào)文的凈荷�,找到最能體現(xiàn)該業(yè)務(wù) 特征的字段,并以此作為該業(yè)務(wù)的特征字�����;
步驟104、針對(duì)嵌套型業(yè)務(wù)���,詳細(xì)分析其報(bào)文的凈荷����,明確各層級(jí)業(yè)務(wù)之間 的關(guān)系���,分別找到最能體現(xiàn)各層級(jí)業(yè)務(wù)特征的字段�����,并以此作為各層級(jí)業(yè)務(wù)的 特征字;
步驟105�����、配置承載型業(yè)務(wù)的特征字����,再配置嵌套型業(yè)務(wù)里各層級(jí)的特征字, 最后再通過設(shè)置標(biāo)志位把嵌套型業(yè)務(wù)各層級(jí)之間的特征字有效地關(guān)聯(lián)在一起�; 如果用戶需要對(duì)不同的業(yè)務(wù)采用不同的傳輸和轉(zhuǎn)發(fā)策略,例如對(duì)承載型業(yè)
務(wù)采取策略l,對(duì)嵌套型業(yè)務(wù)采取策略2�����,那么就可以通過配置遞進(jìn)查找關(guān)系來
實(shí)現(xiàn)(假設(shè)承載型業(yè)務(wù)的特征字為A,嵌套型業(yè)務(wù)的特征字為B):通過設(shè)置承
載型業(yè)務(wù)和嵌套型業(yè)務(wù)的屬性�,設(shè)備會(huì)自動(dòng)解析出它們的特征字以及特征字之
間的遞進(jìn)關(guān)系;例如設(shè)備通過自動(dòng)解析之后����,在內(nèi)存表項(xiàng)1里存放承載型業(yè)務(wù)的特征字A,內(nèi)存表項(xiàng)2里存放嵌套型業(yè)務(wù)的特征字B�,遞進(jìn)關(guān)系就體現(xiàn)在設(shè) 備會(huì)先去內(nèi)存表項(xiàng)1里查找,在命中特征字A之后會(huì)自動(dòng)再轉(zhuǎn)向內(nèi)存表項(xiàng)2里 進(jìn)行查找�;如果又命中了特征字B,那么就能確定是嵌套型業(yè)務(wù)應(yīng)用���,采取策略 2�,反之就認(rèn)為是承載型業(yè)務(wù)應(yīng)用��,采取策略1;這樣就能檢測出真正的業(yè)務(wù)應(yīng) 用�����,從而下發(fā)正確的策略���,減少誤命中�。
步驟106、保存修改后的配置文件�,運(yùn)行命令使其生效,得到當(dāng)前各種業(yè)務(wù) 屬性及其特征字的最終配置����。
下面以P0C0應(yīng)用為例X于本發(fā)明的實(shí)際應(yīng)用進(jìn)4亍-說明
首先,由于POCO應(yīng)用是嵌套在HTTP應(yīng)用之中的�����,所以先明確HTTP應(yīng)用是 承載型業(yè)務(wù)��,POCO應(yīng)用是嵌套型業(yè)務(wù)�,它們有各自的特征字;若只關(guān)心其中一 種應(yīng)用則不需要配置遞進(jìn)查找關(guān)系�����,同時(shí)關(guān)心這兩種應(yīng)用��,當(dāng)前的配置是不能 滿足要求的�����,因此就需要配置遞進(jìn)查找關(guān)系�。
其次,在命令行或網(wǎng)管的配置界面下���,每一種應(yīng)用會(huì)有相應(yīng)的屬性�����,默認(rèn) 都是普通型業(yè)務(wù)�,當(dāng)配置HTTP應(yīng)用的屬性為承載型業(yè)務(wù)時(shí)����,表明當(dāng)識(shí)別出是HTTP 應(yīng)用的話還要接著判斷是不是承載了其它應(yīng)用,即還需要對(duì)該應(yīng)用做進(jìn)一 步的 特征字查找�����。
再者����,把P0C0應(yīng)用和HTTP應(yīng)用關(guān)聯(lián)起來,表明P0C0應(yīng)用是承載在HTTP 應(yīng)用下的嵌套型應(yīng)用�����。當(dāng)確定是HTTP應(yīng)用之后需要做進(jìn)一步的特征字查找,如 果第二次查找識(shí)別出相關(guān)POC0應(yīng)用的特征字���,則就確定是P0C0應(yīng)用���,反之就 確定是HTTP應(yīng)用。
當(dāng)然��,如果存在多級(jí)以上的嵌套�����,比如說��,POCO應(yīng)用里又嵌套了其它應(yīng)用�, 則需要把P0C0應(yīng)用的屬性也配置為承載型業(yè)務(wù)即可。
權(quán)利要求
1.一種深度報(bào)文檢測方法�,在服務(wù)器中運(yùn)行特征字配置文件識(shí)別報(bào)文類型;其特征在于����,包括如下步驟所述服務(wù)器根據(jù)所述特征字配置文件首先對(duì)報(bào)文進(jìn)行承載型業(yè)務(wù)特征字檢測,如果檢測結(jié)果確認(rèn)為承載型業(yè)務(wù)����,根據(jù)所述特征字配置文件的設(shè)置進(jìn)一步對(duì)報(bào)文進(jìn)行嵌套型業(yè)務(wù)特征字檢測。
2. 如權(quán)利要求1所述的檢測方法��,其特征在于���,所述特征字配置文件的設(shè)置是�,在確定承載型業(yè)務(wù)類型之后����,再檢測嵌套型業(yè)務(wù)特征字。
3. 如權(quán)利要求1或2所述的檢測方法���,其特征在于��,還包括如下步驟根據(jù)-險(xiǎn)測結(jié)果確定業(yè)務(wù)類型�����,再根據(jù)所述業(yè)務(wù)類型下發(fā)策略���。
4. 如權(quán)利要求3所述的檢測方法,其特征在于�,所述承載型業(yè)務(wù)包括HTTP超文本傳輸協(xié)議業(yè)務(wù);所述嵌套型業(yè)務(wù)包括BT分發(fā)協(xié)議業(yè)務(wù)�����、P0C0點(diǎn)對(duì)點(diǎn)業(yè)務(wù)、和SIP會(huì)話啟動(dòng)協(xié)議業(yè)務(wù)�。
5. —種深度報(bào)文檢測裝置,用于運(yùn)行識(shí)別報(bào)文類型的特征字配置文件�����;其特征在于�����,包括用于存放所述特征字配置文件的內(nèi)存模塊���,和用于對(duì)報(bào)文進(jìn)行特征字檢測的特征字檢測模塊���;所述特征字檢測模塊根據(jù)所述特征字配置文件首先對(duì)報(bào)文進(jìn)行承載型業(yè)務(wù)特征字檢測,如果檢測結(jié)果確認(rèn)為承載型業(yè)務(wù)�����,再根據(jù)所迷特征字配置文件的設(shè)置進(jìn)一步對(duì)報(bào)文進(jìn)行嵌套型業(yè)務(wù)特征字檢測��。
6. 如權(quán)利要求5所述的檢測裝置,其特征在于���,所述裝置還包括策略下發(fā)模塊,所述策略下發(fā)模塊根據(jù)所述特征字檢測模塊輸出的檢測結(jié)果確定業(yè)務(wù)類型����,根據(jù)所述業(yè)務(wù)類型下發(fā)策略。
7. 如權(quán)利要求5或6所述的檢測裝置��,其特征在于�����,所述特征字配置文件在所述內(nèi)存模塊中的內(nèi)存表項(xiàng)1里存放所述承載型業(yè)務(wù)特征字�,在所述內(nèi)存模塊中的內(nèi)存表項(xiàng)2里存放所述嵌套型業(yè)務(wù)特征字;所述特征字檢測模塊先根據(jù)內(nèi)存表項(xiàng)1中的所述承載型業(yè)務(wù)特征字對(duì)報(bào)文進(jìn)行檢測�,命中所述承載型業(yè)務(wù)特征字之后,自動(dòng)再根據(jù)所述內(nèi)存表項(xiàng)2中的所述嵌套型業(yè)務(wù)特征字對(duì)報(bào)文進(jìn)行檢測��,如果又命中了則確定為嵌套型業(yè)務(wù)��,下發(fā)嵌套型業(yè)務(wù)策略����;否則確定為承載型業(yè)務(wù),下發(fā)承載型業(yè)務(wù)策略。
8.如權(quán)利要求7所述的檢測裝置�����,其特征在于��,所述承栽型業(yè)務(wù)包括HTTP超文本傳輸協(xié)議業(yè)務(wù)��;所述嵌套型業(yè)務(wù)包括BT分發(fā)協(xié)議業(yè)務(wù)����、P0C0業(yè)務(wù)、和SIP會(huì)話啟動(dòng)協(xié)議業(yè)務(wù)�����。
全文摘要
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域��,尤其涉及一種深度報(bào)文檢測方法和裝置���,在服務(wù)器中運(yùn)行特征字配置文件識(shí)別報(bào)文類型��;包括如下步驟所述服務(wù)器根據(jù)所述特征字配置文件首先對(duì)報(bào)文進(jìn)行承載型業(yè)務(wù)特征字檢測�,如果檢測結(jié)果確認(rèn)為承載型業(yè)務(wù)�����,再根據(jù)所述特征字配置文件的設(shè)置進(jìn)一步對(duì)報(bào)文進(jìn)行嵌套型業(yè)務(wù)特征字檢測。本發(fā)明通過配置遞進(jìn)查找關(guān)系對(duì)報(bào)文分別進(jìn)行承載型和嵌套型業(yè)務(wù)檢測�,提高了檢測命中率。而且特征字組合簡單��;容易修改�,便于擴(kuò)展�����。
文檔編號(hào)H04L29/06GK101582897SQ20091010782
公開日2009年11月18日 申請日期2009年6月2日 優(yōu)先權(quán)日2009年6月2日
發(fā)明者方新球 申請人:中興通訊股份有限公司