本申请提出了一种基于多规则HTTP数据流匹配方法,其先从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎,然后从输入数据流中判断出HTTP数据流,之后标记HTTP数据流中的HTTP特征字段位置信息,将HTTP特征字段位置信息结构化成HTTP期望命中位置信息,再之后利用标记的HTTP特征字段位置信息获取HTTP头部特征字段信息,将HTTP头部特征字段信息提交DPI搜索引擎进行搜索,获取匹配特征的起始与结束位置,将匹配特征的起始与结束位置与HTTP期望命中位置信息进行比较,如果都在期望范围内,则命中该数据流,然后根据用户配置的规则进行相应处理。从而减少不必要的搜索内容,提升DPI搜索性能。提升DPI搜索性能。提升DPI搜索性能。
【技术实现步骤摘要】
一种基于多规则HTTP数据流匹配方法、装置及存储介质
[0001]本申请涉及DPI数据包检测的
,尤其是涉及一种基于多规则HTTP数据流匹配方法、装置及存储介质。
技术介绍
[0002]DPI(DeepPacketInspection)设备通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能够完成所在链路的业务精细化识别、业务流量占比统计、业务占比整形、以及应用拒绝服务攻击、对病毒、木马进行过滤和滥用P2P的控制等功能。
[0003]当前DPI领域,对数据包深度检测性能问题依然面临着首要挑战。为了提高DPI处理能力,产业界和学术界普通采用的是:1,依靠更高性能的服务器和服务集群来加速DPI吞吐量;2,依靠更好的软件算法来提高匹配性能;3,依靠各种多NPU自带的匹配引擎来加速。总之,虽然研究界和产业界都非常关注深度报文检测,但DPI技术的发展仍然无法赶上相关应用领域的实现要求。
[0004]从当前互联网数据分析统计中,基于HTTP协议相关数据占比50%以上,因此对HTTP协议的解析有重要意义。以此同时,DPI对HTTP协议深度解析会极大影响DPI性能消耗及识别能力。
[0005]目前DPI领域出现了一些HTTP数据特征分析方法,其主要利用HTTP协议数据特征识别,对HTTP头部划分若干指针结构体,按结构体独立并行解析,并扫描指针结构体(数据单元)数据与特征指纹库进行匹配。若可查询到与数据相吻合的特征指纹,则定义该数据单元为特征指纹,若获取的特征指纹可唯一指示一个实际应用是即为命中规则。若不能,则等待该数据流其他数据单位的特征指纹,然后合并查找是否存在组合规则特征;若存在,则该数据流定义为组合特征所示应用。但是以上的解决方法,由于组合规则处理方面采用等待数据流其他数据单位特征合并查找方式,在复杂多组合规则处理方面,有明显不足,影响DPI处理性能。
技术实现思路
[0006]针对以上技术问题,本申请提出了一种基于多规则HTTP数据流匹配方法、装置及存储介质。
[0007]第一方面,本申请提出了一种基于多规则HTTP数据流匹配方法,包括以下步骤:
[0008]S1:从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎;
[0009]S2:从输入数据流中判断出HTTP数据流;
[0010]S3:标记HTTP数据流中的HTTP特征字段位置信息,将HTTP特征字段位置信息结构化成HTTP期望命中位置信息;
[0011]S4:利用标记的HTTP特征字段位置信息获取HTTP头部特征字段信息,将HTTP头部
特征字段信息提交DPI搜索引擎进行搜索,获取匹配特征的起始与结束位置;
[0012]S5:将匹配特征的起始与结束位置与HTTP期望命中位置信息进行比较,如果都在期望范围内,则命中该数据流,然后根据用户配置的规则进行相应处理。
[0013]优选的,在所述S1中,所述有限自动机搜索图包括根节点、标记节点、正常节点以及从每个节点到输入的另一个节点的弧。
[0014]优选的,所述S2具体包括:根据输入数据流判断是否TCP数据,如果是,则对数据包应用层数据进行解析,判断是否有HTTP的请求方法,如果有,则标记为HTTP数据流。
[0015]优选的,在所述S3中,所述HTTP特征字段位置信息包括Host、Url、Cooki、Content
‑
type以及user
‑
agent的起始位置信息。
[0016]第二方面,本申请还提出了一种基于多规则HTTP数据流匹配装置,
[0017]所述装置包括:
[0018]规则处理模块,配置用于从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎;
[0019]HTTP数据流判断模块,配置用于从输入数据流中判断出HTTP数据流;
[0020]HTTP解析模块,配置用于标记HTTP数据流中的HTTP特征字段位置信息,将HTTP特征字段位置信息结构化成HTTP期望命中位置信息;
[0021]DPI搜索模块,配置用于利用标记的HTTP特征字段位置信息获取HTTP头部特征字段信息,将HTTP头部特征字段信息提交DPI搜索引擎进行搜索,获取匹配特征的起始与结束位置;
[0022]数据流命中模块,配置用于将匹配特征的起始与结束位置与HTTP期望命中位置信息进行比较,如果都在期望范围内,则命中该数据流,然后根据用户配置的规则进行相应处理。
[0023]优选的,所述有限自动机搜索图包括根节点、标记节点、正常节点以及从每个节点到输入的另一个节点的弧。
[0024]优选的,所述从输入数据流中判断出HTTP数据流具体包括:根据输入数据流判断是否TCP数据,如果是,则对数据包应用层数据进行解析,判断是否有HTTP的请求方法,如果有,则标记为HTTP数据流。
[0025]优选的,所述HTTP特征字段位置信息包括Host、Url、Cooki、Content
‑
type以及user
‑
agent的起始位置信息。
[0026]第三方面,本申请还提出了一种电子设备,包括:
[0027]一个或多个处理器;
[0028]存储装置,用于存储一个或多个程序;
[0029]当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1
‑
4中任一所述的方法。
[0030]第四方面,本申请还提出了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1
‑
4中任一所述的方法。
[0031]本申请提出了一种基于多规则HTTP数据流匹配方法,其先从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎,然后从输入数据流中判断出HTTP数据流,之后标记HTTP数据流中的
HTTP特征字段位置信息,将HTTP特征字段位置信息结构化成HTTP期望命中位置信息,再之后利用标记的HTTP特征字段位置信息获取HTTP头部特征字段信息,将HTTP头部特征字段信息提交DPI搜索引擎进行搜索,获取匹配特征的起始与结束位置,将匹配特征的起始与结束位置与HTTP期望命中位置信息进行比较,如果都在期望范围内,则命中该数据流,然后根据用户配置的规则进行相应处理。从而减少不必要的搜索内容,提升DPI搜索性能。
附图说明
[0032]包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本申请的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于多规则HTTP数据流匹配方法,其特征在于:所述方法包括以下步骤:S1:从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎;S2:从输入数据流中判断出HTTP数据流;S3:标记HTTP数据流中的HTTP特征字段位置信息,将HTTP特征字段位置信息结构化成HTTP期望命中位置信息;S4:利用标记的HTTP特征字段位置信息获取HTTP头部特征字段信息,将HTTP头部特征字段信息提交DPI搜索引擎进行搜索,获取匹配特征的起始与结束位置;S5:将匹配特征的起始与结束位置与HTTP期望命中位置信息进行比较,如果都在期望范围内,则命中该数据流,然后根据用户配置的规则进行相应处理。2.根据权利要求1所述的一种基于多规则HTTP数据流匹配方法,其特征在于:在所述S1中,所述有限自动机搜索图包括根节点、标记节点、正常节点以及从每个节点到输入的另一个节点的弧。3.根据权利要求1所述的一种基于多规则HTTP数据流匹配方法,其特征在于:所述S2具体包括:根据输入数据流判断是否TCP数据,如果是,则对数据包应用层数据进行解析,判断是否有HTTP的请求方法,如果有,则标记为HTTP数据流。4.根据权利要求1所述的一种基于多规则HTTP数据流匹配方法,其特征在于:在所述S3中,所述HTTP特征字段位置信息包括Host、Url、Cooki、Content
‑
type以及user
‑
agent的起始位置信息。5.一种基于多规则HTTP数据流匹配装置,其特征在于:所述装置包括:规则处理模块,配置用于从用户配置的规则中提取出特征模式串,利用DFA将特征模式串生成有限自动机搜索图,然后利用有限自动机搜索图构建DPI搜索引擎;HTTP数据流判断模块,配置...
【专利技术属性】
技术研发人员:苏为钦,鄢小征,李山,周成祖,张永光,王海滨,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。