本申请提供了一种深度包检测方法及装置,其中,方法包括:对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;读取预先生成的json文件;json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;解析json文件,得到待识别应用的数据包的特征;通过检测待匹配特征是否符合待识别应用的数据包的特征,检测流量中是否存在待识别应用产生的流量。由于本申请中json文件与深度包检测程序之间是分离的,因此,在应用更新的情况下,深度包检测程序无需更新,因此,系统无需重启,所以本申请可以解决在应用更新的情况下,系统无法正常检测流量的问题。
A depth packet detection method and device
【技术实现步骤摘要】
一种深度包检测方法及装置
本申请涉及电子信息领域,尤其涉及一种深度包检测方法及装置。
技术介绍
网络流量中包含协议和网络应用(为了描述方便,以下简称为应用),深度包检测技术(DeepPacketInspection,DPI)需要对网络流量进行深度包解析,并能够精准地判断出网络流量中所承载的业务类型(即应用)。目前,事先定义好待识别应用的识别规则,并采用编译型语言编程实现该识别规则,得到识别程序,使得在深度包检测过程中运行该识别程序,来识别待识别应用的应用数据包。但是,在待识别应用更新的情况下,需要运维人员修改识别程序和重启系统,从而,在一定时间内系统无法正常检测网络中的流量。
技术实现思路
本申请提供了一种深度包检测方法及装置,目的在于解决在待识别应用更新的情况下,在一定时间内系统无法正常检测网络中的流量的问题。为了实现上述目的,本申请提供了以下技术方案:本申请提供了一种深度包检测方法,应用于DPI引擎,包括:对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;解析所述json文件,得到所述待识别应用的数据包的特征;通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。可选的,通过所述预设的描述方法对待识别应用的数据包的特征进行描述,得到所述json文件,包括:生成应用文件、基础协议文件和协议规则文件;所述应用文件、所述基础协议文件和所述协议规则文件,构成所述json文件;所述应用文件包括:待识别应用的名称与标识间的预设映射关系;所述基础协议文件用于指示:待识别应用所采用的基础协议中,待深度分析的基础协议;所述协议规则文件是采用预设元素对所述协议规则文件的信息和所述待识别应用的信息分别进行描述,以及按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述得到;所述预设元素包括:命令字、每个所述命令字的数据类型、预定义符和逻辑操作符号。可选的,所述协议规则文件的信息至少包括:版本信息和创建修改时间信息;所述待识别应用的信息至少包括:所述待识别应用的名称和别名;所述待识别应用的数据包的特征通过预设识别条件进行体现;所述按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述,包括:先采用所述预设元素描述相关信息,再采用所述预设元素描述所述待识别应用的数据包的识别条件;所述待识别应用的数据包的每个识别条件采用一对“{}”括起来,并且,相邻所述识别条件之间采用“,”分隔;其中,所述相关信息包括:所述待识别应用的数据包所采用的基础协议名称、协议行为标识,以及所述识别条件间的逻辑关系。可选的,所述预设识别条件包括:IP类条件、PORT类条件、关键字类条件、包特征类条件和关联类条件。可选的,所述预设识别条件还包括:信息提取类条件;所述信息提取类条件,用于指示从识别出的应用数据包中,待提取的信息。本申请还提供了一种深度包检测装置,包括:第一检测模块,用于对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;读取模块,用于读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;解析模块,用于解析所述json文件,得到所述待识别应用的数据包的特征;第二检测模块,用于通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。可选的,该装置还包括:生成模块,用于通过所述预设的描述方法对待识别应用的数据包的特征进行描述,得到所述json文件;所述生成模块,用于通过所述预设的描述方法对待识别应用的数据包的特征进行描述,得到所述json文件,包括:所述生成模块,具体用于生成应用文件、基础协议文件和协议规则文件;所述应用文件、所述基础协议文件和所述协议规则文件,构成所述json文件;所述应用文件包括:待识别应用的名称与标识间的预设映射关系;所述基础协议文件用于指示:待识别应用所采用的基础协议中,待深度分析的基础协议;所述协议规则文件是采用预设元素对所述协议规则文件的信息和所述待识别应用的信息分别进行描述,以及按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述得到;所述预设元素包括:命令字、每个所述命令字的数据类型、预定义符和逻辑操作符号。可选的,所述生成模块,用于按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述,包括:所述生成模块,具体用于先采用所述预设元素描述相关信息,再采用所述预设元素描述所述待识别应用的数据包的识别条件;所述待识别应用的数据包的每个识别条件采用一对“{}”括起来,并且,相邻所述识别条件之间采用“,”分隔;其中,所述相关信息包括:所述待识别应用的数据包所采用的基础协议名称、协议行为标识,以及所述识别条件间的逻辑关系。本申请还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述任意一项深度包检测方法。本申请还提供了一种设备,所述设备包括至少一个处理器、以及与所述处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述任一项所述的深度包检测方法。本申请所述的深度包检测方法及装置中,对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征,读取预先生成的json文件,其中,json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到,其中,待识别应用的数据包为待识别应用产生的网络应用层数据包;解析json文件,得到待识别应用的数据包的特征,通过检测待匹配特征是否符合待识别应用的数据包的特征,从而,检测流量中是否存在待识别应用产生的流量。本申请的深度包检测过程是通过读取json文件和解析json文件,得到待识别应用的数据包的特征,并依据待识别应用的数据包的特征,对待识别应用数据包进行检测,即本申请提供的深度包检测程序与json文件是分离的,并且,json文件是一种完全独立于编程语言的文本格式文件,因此,在待识别应用更新的情况下,只需依据更新后的应用更改json文件,而无需修改深度包检测程序,因此,也无需重启系统。因此,本申请在待识别应用更新的情况下,系统可以正常检测网络中的流量。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申本文档来自技高网...
【技术保护点】
1.一种深度包检测方法,其特征在于,应用于DPI引擎,包括:/n对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;/n读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;/n解析所述json文件,得到所述待识别应用的数据包的特征;/n通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。/n
【技术特征摘要】
1.一种深度包检测方法,其特征在于,应用于DPI引擎,包括:
对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;
读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;
解析所述json文件,得到所述待识别应用的数据包的特征;
通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。
2.根据权利要求1所述的方法,其特征在于,通过所述预设的描述方法对待识别应用的数据包的特征进行描述,得到所述json文件,包括:
生成应用文件、基础协议文件和协议规则文件;所述应用文件、所述基础协议文件和所述协议规则文件,构成所述json文件;
所述应用文件包括:待识别应用的名称与标识间的预设映射关系;
所述基础协议文件用于指示:待识别应用所采用的基础协议中,待深度分析的基础协议;
所述协议规则文件是采用预设元素对所述协议规则文件的信息和所述待识别应用的信息分别进行描述,以及按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述得到;所述预设元素包括:命令字、每个所述命令字的数据类型、预定义符和逻辑操作符号。
3.根据权利要求2所述的方法,其特征在于,所述协议规则文件的信息至少包括:版本信息和创建修改时间信息;所述待识别应用的信息至少包括:所述待识别应用的名称和别名;所述待识别应用的数据包的特征通过预设识别条件进行体现;
所述按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述,包括:
先采用所述预设元素描述相关信息,再采用所述预设元素描述所述待识别应用的数据包的识别条件;所述待识别应用的数据包的每个识别条件采用一对“{}”括起来,并且,相邻所述识别条件之间采用“,”分隔;
其中,所述相关信息包括:所述待识别应用的数据包所采用的基础协议名称、协议行为标识,以及所述识别条件间的逻辑关系。
4.根据权利要求3所述的方法,其特征在于,所述预设识别条件包括:IP类条件、PORT类条件、关键字类条件、包特征类条件和关联类条件。
5.根据权利要求3所述的方法,其特征在于,所述预设识别条件还包括:信息提取类条件;所述信息提取类条件,用于指示从识别出的应用数据包中,待提取的信息。
6.一种深度包检测装置,其特征在于,包括:
第一检测模块,用于...
【专利技术属性】
技术研发人员:马春强,
申请(专利权)人:恒为科技上海股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。