【技术实现步骤摘要】
一种深度包检测方法及装置
本申请涉及电子信息领域,尤其涉及一种深度包检测方法及装置。
技术介绍
网络流量中包含协议和网络应用(为了描述方便,以下简称为应用),深度包检测技术(DeepPacketInspection,DPI)需要对网络流量进行深度包解析,并能够精准地判断出网络流量中所承载的业务类型(即应用)。目前,事先定义好待识别应用的识别规则,并采用编译型语言编程实现该识别规则,得到识别程序,使得在深度包检测过程中运行该识别程序,来识别待识别应用的应用数据包。但是,在待识别应用更新的情况下,需要运维人员修改识别程序和重启系统,从而,在一定时间内系统无法正常检测网络中的流量。
技术实现思路
本申请提供了一种深度包检测方法及装置,目的在于解决在待识别应用更新的情况下,在一定时间内系统无法正常检测网络中的流量的问题。为了实现上述目的,本申请提供了以下技术方案:本申请提供了一种深度包检测方法,应用于DPI引擎,包括:对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;解析所述json文件,得到所述待识别应用的数据包的特征;通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。可选的,通过所述预设的描述方法 ...
【技术保护点】
1.一种深度包检测方法,其特征在于,应用于DPI引擎,包括:/n对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;/n读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;/n解析所述json文件,得到所述待识别应用的数据包的特征;/n通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。/n
【技术特征摘要】
1.一种深度包检测方法,其特征在于,应用于DPI引擎,包括:
对预设的网络关键点处的流量和网络报文内容检测分析,得到待匹配特征;
读取预先生成的json文件;所述json文件是通过预设的描述方法对待识别应用的数据包的特征进行描述得到;所述待识别应用数据包为所述待识别应用产生的网络应用层数据包;
解析所述json文件,得到所述待识别应用的数据包的特征;
通过检测所述待匹配特征是否符合所述待识别应用的数据包的特征,检测所述流量中是否存在所述待识别应用产生的流量。
2.根据权利要求1所述的方法,其特征在于,通过所述预设的描述方法对待识别应用的数据包的特征进行描述,得到所述json文件,包括:
生成应用文件、基础协议文件和协议规则文件;所述应用文件、所述基础协议文件和所述协议规则文件,构成所述json文件;
所述应用文件包括:待识别应用的名称与标识间的预设映射关系;
所述基础协议文件用于指示:待识别应用所采用的基础协议中,待深度分析的基础协议;
所述协议规则文件是采用预设元素对所述协议规则文件的信息和所述待识别应用的信息分别进行描述,以及按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述得到;所述预设元素包括:命令字、每个所述命令字的数据类型、预定义符和逻辑操作符号。
3.根据权利要求2所述的方法,其特征在于,所述协议规则文件的信息至少包括:版本信息和创建修改时间信息;所述待识别应用的信息至少包括:所述待识别应用的名称和别名;所述待识别应用的数据包的特征通过预设识别条件进行体现;
所述按照预设结构描述规则采用所述预设元素对所述待识别应用的数据包的特征进行描述,包括:
先采用所述预设元素描述相关信息,再采用所述预设元素描述所述待识别应用的数据包的识别条件;所述待识别应用的数据包的每个识别条件采用一对“{}”括起来,并且,相邻所述识别条件之间采用“,”分隔;
其中,所述相关信息包括:所述待识别应用的数据包所采用的基础协议名称、协议行为标识,以及所述识别条件间的逻辑关系。
4.根据权利要求3所述的方法,其特征在于,所述预设识别条件包括:IP类条件、PORT类条件、关键字类条件、包特征类条件和关联类条件。
5.根据权利要求3所述的方法,其特征在于,所述预设识别条件还包括:信息提取类条件;所述信息提取类条件,用于指示从识别出的应用数据包中,待提取的信息。
6.一种深度包检测装置,其特征在于,包括:
第一检测模块,用于...
【专利技术属性】
技术研发人员:马春强,
申请(专利权)人:恒为科技上海股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。