本發(fā)明涉及網絡數(shù)據(jù)分析與還原領域，尤其是一種基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法及系統(tǒng)。

背景技術：

獲取數(shù)據(jù)包的目的是為了對這些數(shù)據(jù)包進行分析與判斷,從而獲得網絡的信息內容。網絡數(shù)據(jù)包的分析與判斷技術已廣泛應用于入侵檢測、防火墻、網絡測量等領域。目前,比較常用的數(shù)據(jù)包分析技術包括無狀態(tài)數(shù)據(jù)包分析技術和有狀態(tài)數(shù)據(jù)包分析技術。無狀態(tài)數(shù)據(jù)包分析技術是最早采用的網絡數(shù)據(jù)包分析技術。例如傳統(tǒng)的防火墻就采用無狀態(tài)技術來過濾數(shù)據(jù)包。無狀態(tài)技術不需要保持每個數(shù)據(jù)包的狀態(tài),它只需要系統(tǒng)為分析軟件提供規(guī)則集。當采集設備接收到數(shù)據(jù)包時,就根據(jù)規(guī)則集的規(guī)則對該數(shù)據(jù)包進行檢查,如果匹配,表示中標,否則,不中標。無狀態(tài)數(shù)據(jù)包分析的優(yōu)點是不需要消費過多的內存,因為這種技術不需要保存每個包的狀態(tài)但缺點也是明顯的,這些缺點主要包括、需要消耗大量的計算時間,因為對每個包,都需要進行比對檢查,當規(guī)則集數(shù)量較大時,檢索規(guī)則集的時間將非常巨大。

技術實現(xiàn)要素：

本發(fā)明的目的在于克服現(xiàn)有技術的不足，提供一種基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法及系統(tǒng)，能快速分析新協(xié)議及應用層數(shù)據(jù)包還原重組速度快。

本發(fā)明的目的是通過以下技術方案來實現(xiàn)的：基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法，其特征在于，包括以下步驟：

應用層協(xié)議標志特征提取；

區(qū)分應用層協(xié)議：對數(shù)據(jù)包進行協(xié)議區(qū)分；

判斷數(shù)據(jù)包到達的超時時間；

將所有數(shù)據(jù)包進行拼接；

優(yōu)選的，所述的區(qū)分應用層協(xié)議是對數(shù)據(jù)包進行協(xié)議區(qū)分，將屬于網絡層及傳輸層的數(shù)據(jù)包進行剔除。

優(yōu)選的，區(qū)分應用層協(xié)議通過數(shù)據(jù)包中是否包括會話開始標志和會話結束標志，并判斷應用層的會話開始與結束。

優(yōu)選的，所述的會話開始標志與會話結束標志是一個特殊字符串或應用協(xié)議的標志位。

優(yōu)選的，所述的數(shù)據(jù)包進行剔除后組合為一個數(shù)據(jù)包的隊列即有效數(shù)據(jù)包列。

優(yōu)選的，所述的有效數(shù)據(jù)包列是一個滑動窗口。

基于應用層協(xié)議進行數(shù)據(jù)分析與還原的系統(tǒng)，其特征在于，包括：特征提取模塊、應用層協(xié)議區(qū)分模塊、判斷模塊、數(shù)據(jù)包拼接模塊和會話記錄獲取模塊；特征提取模塊與應用層協(xié)議區(qū)分模塊相連，應用層協(xié)議區(qū)分模塊與判斷模塊相連，判斷模塊與數(shù)據(jù)包拼接模塊相連，數(shù)據(jù)包拼接模塊和會話記錄獲取模塊相連。

優(yōu)選的，所述的特征提取模塊對應用層協(xié)議標志特征提取；應用層協(xié)議區(qū)分模塊對數(shù)據(jù)包進行協(xié)議區(qū)分；判斷模塊判斷數(shù)據(jù)包到達的超時時間；數(shù)據(jù)包拼接模塊將所有數(shù)據(jù)包進行拼接；會話記錄獲取模塊獲取會話完整記錄。

優(yōu)選的，所述的應用層協(xié)議區(qū)分模塊，通過數(shù)據(jù)包中是否包括會話開始標志和會話結束標志，并判斷應用層的會話開始與結束

本發(fā)明的有益效果是：本發(fā)明具有快速分析新協(xié)議，應用層數(shù)據(jù)包還原重組速度快的特點。

附圖說明

圖1為基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法流程圖；

圖2為基于應用層協(xié)議進行數(shù)據(jù)分析與還原的系統(tǒng)框架圖。

具體實施方式

下面結合附圖進一步詳細描述本發(fā)明的技術方案，但本發(fā)明的保護范圍不局限于以下所述。

如圖1所示，基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法，包括以下步驟：

應用層協(xié)議標志特征提取；

區(qū)分應用層協(xié)議：對數(shù)據(jù)包進行協(xié)議區(qū)分；

判斷數(shù)據(jù)包到達的超時時間；

將所有數(shù)據(jù)包進行拼接；

獲取會話完整記錄。

所述的區(qū)分應用層協(xié)議，是對數(shù)據(jù)包進行協(xié)議區(qū)分，將屬于網絡層及傳輸層的數(shù)據(jù)包進行剔除。

所述的區(qū)分應用層協(xié)議通過數(shù)據(jù)包中是否包括會話開始標志和會話結束標志，并判斷應用層的會話開始與結束。

所述的會話開始標志與會話結束標志是一個特殊字符串或應用協(xié)議的標志位。

所述的數(shù)據(jù)包進行剔除后組合為一個數(shù)據(jù)包的隊列即有效數(shù)據(jù)包列。

所述的有效數(shù)據(jù)包列是一個滑動窗口。

基于應用層協(xié)議進行數(shù)據(jù)分析與還原的系統(tǒng)，包括：特征提取模塊、應用層協(xié)議區(qū)分模塊、判斷模塊、數(shù)據(jù)包拼接模塊和會話記錄獲取模塊；特征提取模塊與應用層協(xié)議區(qū)分模塊相連，應用層協(xié)議區(qū)分模塊與判斷模塊相連，判斷模塊與數(shù)據(jù)包拼接模塊相連，數(shù)據(jù)包拼接模塊和會話記錄獲取模塊相連。

所述的特征提取模塊對應用層協(xié)議標志特征提取；應用層協(xié)議區(qū)分模塊對數(shù)據(jù)包進行協(xié)議區(qū)分；判斷模塊判斷數(shù)據(jù)包到達的超時時間；數(shù)據(jù)包拼接模塊將所有數(shù)據(jù)包進行拼接；會話記錄獲取模塊獲取會話完整記錄。

所述的應用層協(xié)議區(qū)分模塊，通過數(shù)據(jù)包中是否包括會話開始標志和會話結束標志，并判斷應用層的會話開始與結束

以上所述僅是本發(fā)明的優(yōu)選實施方式，應當理解本發(fā)明并非局限于本文所披露的形式，不應看作是對其他實施例的排除，而可用于各種其他組合、修改和環(huán)境，并能夠在本文所述構想范圍內，通過上述教導或相關領域的技術或知識進行改動。而本領域人員所進行的改動和變化不脫離本發(fā)明的精神和范圍，則都應在本發(fā)明所附權利要求的保護范圍內。

技術特征：

技術總結
本發(fā)明公開了一種基于應用層協(xié)議進行數(shù)據(jù)分析與還原的方法，包括以下步驟：應用層協(xié)議標志特征提??；區(qū)分應用層協(xié)議：對數(shù)據(jù)包進行協(xié)議區(qū)分；判斷數(shù)據(jù)包到達的超時時間；將所有數(shù)據(jù)包進行拼接；基于應用層協(xié)議進行數(shù)據(jù)分析與還原的系統(tǒng)，其特征在于：所述的特征提取模塊對應用層協(xié)議標志特征提?。粦脤訁f(xié)議區(qū)分模塊對數(shù)據(jù)包進行協(xié)議區(qū)分；判斷模塊判斷數(shù)據(jù)包到達的超時時間；數(shù)據(jù)包拼接模塊將所有數(shù)據(jù)包進行拼接；會話記錄獲取模塊獲取會話完整記錄。本發(fā)明具有快速分析新協(xié)議，應用層數(shù)據(jù)包還原重組速度快的特點。

技術研發(fā)人員：彭光輝;屈立笳;陶磊;蘇禮剛;林偉;黃麗洪
受保護的技術使用者：成都國騰實業(yè)集團有限公司
技術研發(fā)日：2017.05.03
技術公布日：2017.08.04