數(shù)據(jù)連接的識別方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明實(shí)施例設(shè)及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其設(shè)及一種數(shù)據(jù)連接的識別方法和裝 置�����。
【背景技術(shù)】
[0002] L7-filte;r是一個(gè)Linux內(nèi)核Netfilter子系統(tǒng)的協(xié)議分類器��,它可W識別應(yīng)用 層(0SI layer 7)的數(shù)據(jù)包���。L7-filter作為Linux上的數(shù)據(jù)包識別分類器��,和其他大多 數(shù)分類器不同��,它并不只是查看數(shù)據(jù)包的端口號����、IP地址等簡單屬性��,而是使用正則表達(dá)式 來匹配應(yīng)用層協(xié)議(如HTTP��、FTP等)�����,從而得知當(dāng)前數(shù)據(jù)包術(shù)語何種協(xié)議并打上標(biāo)記。因 此����,L7-mter能夠按不同應(yīng)用層協(xié)議對數(shù)據(jù)包分類,特別是能對P2P協(xié)議高效識別�。目前 L7-mter不僅默認(rèn)能識別實(shí)際網(wǎng)絡(luò)中的上百中協(xié)議,還可W通過添加匹配模式文件方便 的進(jìn)行擴(kuò)展��。
[0003] L7-mter主要用于哪些不能基于端口來處理包信息的情況:分析端口不固定�、 無法預(yù)知的協(xié)議(如P2巧;非標(biāo)準(zhǔn)端口的數(shù)據(jù)包(如HTTP使用8080�����、442端口)���;多種協(xié)議 共享一個(gè)端口(如P2P共用80端口)�。
[0004] L7-mter是用正則表達(dá)式的字符匹配方式辨別數(shù)據(jù)包的�����。表1給出了用于辨別 幾種協(xié)議的正則表達(dá)式的實(shí)例��。參見表1�����,如果數(shù)據(jù)包中開頭是"220"之后有"ftp"字樣, 并且之后數(shù)據(jù)包中包含"331"和"password"字樣���,則可W判斷此鏈接是FTP服務(wù)。如果數(shù) 據(jù)包中包含"111:1口"�����、"����。〇]1]16。1:���;[0]1:"�����、"�����。〇]116]11:-17口6:"����、"。〇]116]11:-16]1邑1:11"的內(nèi)容時(shí)��,貝1|可 W判斷此鏈接是HTTP服務(wù)��。 陽0化]表1
陽007] 數(shù)據(jù)包傳遞給L7-filte;r處理后�����,會(huì)在內(nèi)核等待L7-filter反饋分析結(jié)果�����。 L7-mter創(chuàng)建了兩個(gè)線程��,一個(gè)連接跟蹤線程��,如圖1中虛線部分所示�����,一個(gè)是隊(duì)列跟蹤 線程�,如圖1中實(shí)線部分所示。
[0008] 所述連接跟蹤線程依賴于內(nèi)核的連接跟蹤實(shí)現(xiàn),如果信道數(shù)據(jù)包����,內(nèi)核創(chuàng)建連接 跟蹤并給L7-filter發(fā)送新建連接跟蹤時(shí)間,L7-mter在用戶空間創(chuàng)建連接跟蹤�。所述 隊(duì)列跟蹤線程主要緩存收到的數(shù)據(jù)包到相應(yīng)的連接跟蹤的隊(duì)列中,分析緩存中的內(nèi)容���,然 后給內(nèi)核反饋分析結(jié)果���。具體的詳細(xì)流程如下:
[0009] 獲取數(shù)據(jù)包中應(yīng)用層數(shù)據(jù)的偏移�,因?yàn)閚f_queue基于化tfilter,而化tfilter工 作于網(wǎng)絡(luò)層��,網(wǎng)絡(luò)層中的數(shù)據(jù)包包含有傳輸層頭部�����,必須將其移除����。
[0010] 在用戶空間也有連接跟蹤,每個(gè)連接跟蹤都對應(yīng)了一個(gè)緩存�����,可W存放一個(gè)鏈接 的前10個(gè)數(shù)據(jù)包。
[0011] 如果應(yīng)用已經(jīng)被識別��,則可W直接返回��。如果應(yīng)用沒有被識別�����,則繼續(xù)識別���。識別 之前需要判斷���,連接跟蹤對應(yīng)緩存中的數(shù)據(jù)包數(shù)量是否達(dá)到10個(gè),如果已經(jīng)有10個(gè)數(shù)據(jù)包 了�����,則標(biāo)記連接無法被識別�����,W后也不需要識別了����,所W直接釋放緩存�����。如果數(shù)據(jù)包個(gè)數(shù)小 于10,則可W繼續(xù)識別數(shù)據(jù)包�����。
[0012] 數(shù)據(jù)包拷貝至對應(yīng)的連接緩存中����,調(diào)用正則表達(dá)式匹配���。如果和所有正則表達(dá)式 都匹配失敗,則直接給內(nèi)核反饋分析結(jié)果�,如果匹配成功則獲取相應(yīng)的mark值,然后釋放 緩存�,W后都不再需要分析該連接的數(shù)據(jù)了。
[0013] 現(xiàn)有的L7-filter采用單線程對數(shù)據(jù)包進(jìn)行模式匹配���。由于基于正則表達(dá)式方式 的模式匹配會(huì)消耗比較多的資源�����,尤其是CPU資源��,所W運(yùn)里就會(huì)成為L7-filter的瓶頸��, 導(dǎo)致L7-filter的處理容量比較小��。
【發(fā)明內(nèi)容】
[0014] 針對上述技術(shù)問題����,本發(fā)明實(shí)施例提供了一種數(shù)據(jù)連接的識別方法和裝置,W提 高L7-filter的處理容量�。
[0015] 第一方面,本發(fā)明實(shí)施例提供了一種數(shù)據(jù)連接的識別方法��,所述方法包括:
[0016] 獲取網(wǎng)絡(luò)上傳輸?shù)?,分屬于不同?shù)據(jù)連接的數(shù)據(jù)包;
[0017] 啟動(dòng)至少兩個(gè)模式匹配線程�,對所述數(shù)據(jù)包進(jìn)行并行的模式匹配;
[0018] 根據(jù)所述模式匹配的結(jié)果識別所述數(shù)據(jù)連接的協(xié)議類別��。
[0019] 第二方面���,本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)連接的識別裝置����,所述裝置包括:
[0020] 數(shù)據(jù)包獲取模塊,用于獲取網(wǎng)絡(luò)上傳輸?shù)?����,分屬于不同?shù)據(jù)連接的數(shù)據(jù)包�;
[0021] 并行匹配模塊,用于啟動(dòng)至少兩個(gè)模式匹配線程���,對所述數(shù)據(jù)包進(jìn)行并行的模式 匹配����;
[0022] 識別模塊��,用于根據(jù)所述模式匹配的結(jié)果識別所述數(shù)據(jù)連接的協(xié)議類別�����。
[0023] 本發(fā)明實(shí)施例提供的數(shù)據(jù)連接的識別方法和裝置���,通過獲取網(wǎng)絡(luò)上傳輸?shù)模謱?于不同數(shù)據(jù)連接的數(shù)據(jù)包���,啟動(dòng)至少兩個(gè)模式匹配線程�,對所述數(shù)據(jù)包進(jìn)行并行的模式匹 配,根據(jù)所述模式匹配的結(jié)果識別所述數(shù)據(jù)連接的協(xié)議類別�����,從而提高L7-filter的處理 容量����。
【附圖說明】
[0024] 通過閱讀參照W下附圖所作的對非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它 特征�、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[00巧]圖1是現(xiàn)有的L7-filter進(jìn)行數(shù)據(jù)連接識別的流程圖;
[00%] 圖2是本發(fā)明第一實(shí)施例提供的數(shù)據(jù)連接的識別方法的流程圖����;
[0027] 圖3是本發(fā)明第二實(shí)施例提供的數(shù)據(jù)連接的識別方法中數(shù)據(jù)包獲取的流程圖;
[0028] 圖4是本發(fā)明第=實(shí)施例提供的數(shù)據(jù)連接的識別方法中并行匹配的流程圖�����;
[0029] 圖5是本發(fā)明第四實(shí)施例提供的數(shù)據(jù)連接的識別方法的UML序列圖�;
[0030] 圖6是本發(fā)明第五實(shí)施例提供的數(shù)據(jù)連接的識別裝置的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0031] 下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)說明���??蒞理解的是�����,此處所描 述的具體實(shí)施例僅僅用于解釋本發(fā)明,而非對本發(fā)明的限定��。另外還需要說明的是����,為了便 于描述,附圖中僅示出了與本發(fā)明相關(guān)的部分而非全部結(jié)構(gòu)���。
[0032] 第一實(shí)施例
[0033] 本實(shí)施例提供了數(shù)據(jù)連接的識別方法的一種技術(shù)方案����。所述數(shù)據(jù)連接的識別方法 由數(shù)據(jù)連接的識別裝置執(zhí)行���。并且���,所述數(shù)據(jù)連接的識別裝置通常集成在防火墻或者路由 器當(dāng)中。當(dāng)然��,也不排除所述數(shù)據(jù)連接的識別裝置被集成在其他用于數(shù)據(jù)連接的過濾�、識別 的網(wǎng)絡(luò)設(shè)備中的情況���。
[0034] 參見圖2,所述數(shù)據(jù)連接的識別方法包括:
[0035] S21��,獲取網(wǎng)絡(luò)上傳輸?shù)?,分屬于不同?shù)據(jù)連接的數(shù)據(jù)包。
[0036] 在分組交換網(wǎng)絡(luò)中�,數(shù)據(jù)W數(shù)據(jù)包的形式被傳輸和交換。在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 分屬于不同的數(shù)據(jù)連接�。一般來講,利用包含源IP地址����、目的IP地址、源端口號�����、目的端口 號及協(xié)議標(biāo)簽運(yùn)五個(gè)特征數(shù)據(jù)能夠唯一的標(biāo)識一個(gè)數(shù)據(jù)連接�����。為了方便起見��,將上述五個(gè) 特征數(shù)據(jù)稱為數(shù)據(jù)包的五元組信息�����。
[0037] 一般來說,上述五元組信息被記錄在獲取到的數(shù)據(jù)包的頭信息中����。
[0038] S22,啟動(dòng)至少兩個(gè)模式匹配線程,對所述數(shù)據(jù)包進(jìn)行并行的模式匹配����。
[0039] 可W理解的是,由于網(wǎng)絡(luò)帶寬的提高����,相同時(shí)間段內(nèi)從網(wǎng)絡(luò)上能夠獲取到的數(shù)據(jù) 包的數(shù)量是也相應(yīng)得到了提高的。而現(xiàn)有的L7-filter采用一個(gè)模式匹配線程對獲取到的 海量的數(shù)據(jù)包的數(shù)據(jù)內(nèi)容進(jìn)行模式匹配��。由于模式匹配過程本身需要占用一定的資源�,消 耗一定的時(shí)間,所W采用單一線程進(jìn)行模式匹配的工作模式在處理容量上顯得明顯不足���。
[0040] 本實(shí)施例針對上述問題��,同時(shí)啟動(dòng)多個(gè)并行的模式匹配線程����,并且每個(gè)模式匹配 線程單獨(dú)的對獲取到的數(shù)據(jù)包進(jìn)行模式匹配。運(yùn)樣��,原來單一線程的工作方式就變成了并 行的工作方式����,極大的提高了模式匹配過程的效率����。
[0041] 與現(xiàn)有的L7-filter中的模式匹配過程相同,所述數(shù)據(jù)連接的識別方法中的模式 匹配也是基于正則表達(dá)式進(jìn)行的模式匹配���。更為具體的����,在安裝L7-filter的Linux系統(tǒng) 的\6^\9'0*0�����。〇13目錄下���,存放了用于執(zhí)行模式匹配的正則表達(dá)式��。通常情況下���,針對一 種特定的