【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种深度报文检测方法、装置、网络设备及系统。
技术介绍
深层包检测技术,(Deep Packet Inspection, DPI)技术是一种基于应用层的流量检测和控制技术,当IP数据包、TCP (Transmission Control Protocol,传输控制协议)或UDP(User Datagram Protocol,用户数据包协议)数据流通过基于DPI技术的带宽管理系统时,该系统通过深入读取IP包载荷的内容来对OSI (Open System Interconnect,开放式系统互联)七层协议中的应用层信息进行重组,从而得到整个应用程序的内容,然后按照系统定义的管理策略对流量进行整形操作。面对日益增长的P2P (Peer-to-Peer,点对点技术)业务流,DPI技术被认为是对付网络多业务所带来的管理和控制挑战的有效方法。在DPI技术中,以基于关键字的识别技术最为基础,应用最为广泛。DPI的关键就在于,它要不断地在格式不定的数据包中判断出各种关键字,实现这一过程的基础技术就是模式匹配,通俗地讲,就是字符串匹配,即从数据中搜索是否存在目标字符串。目前,模式匹配可分为单模式匹配算法和多模式匹配算法。其中,单模式匹配算法指在目标串中I次扫描只能对I个模式串进行匹配的算法,对于单模式匹配算法,如果要匹配多个模式,那么有几个模式就需要几趟遍历。最常用的单模式匹配算法有KMP(Knuth-Morris-PrattAlgorithm)算法、BM(Boyer-More)算法、RK算法等;多模式匹配算法指在目标串中I次扫描可同时对多 ...
【技术保护点】
一种深度报文检测方法,其特征在于,所述方法包括:在接收到网络报文后,对所述网络报文进行网络层和传输层的信息匹配;当所述网络报文的网络层和传输层的信息无法匹配时,判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布;当所述网络报文的应用层数据的多个字节对应的码值符合均匀分布时,跳过对所述网络报文的关键字匹配;当所述网络报文的应用层数据的多个字节对应的码值不符合均匀分布时,对所述网络报文进行关键字匹配。
【技术特征摘要】
1.一种深度报文检测方法,其特征在于,所述方法包括 在接收到网络报文后,对所述网络报文进行网络层和传输层的信息匹配; 当所述网络报文的网络层和传输层的信息无法匹配时,判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布; 当所述网络报文的应用层数据的多个字节对应的码值符合均匀分布时,跳过对所述网络报文的关键字匹配;当所述网络报文的应用层数据的多个字节对应的码值不符合均匀分布时,对所述网络报文进行关键字匹配。2.根据权利要求I所述的深度报文检测方法,其特征在于,所述判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布包括 采用卡方检验算法判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布。3.根据权利要求2所述的深度报文检测方法,其特征值在于,所述采用卡方检验算法判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布包括 根据所述网络报文的应用层数据的多个字节对应的码值的属性获取所述网络报文的应用层数据的多个字节对应的码值的随机性因子,所述随机性因子用于表示所述网络报文的应用层数据的多个字节对应的码值的分布随机特性,所述码值的属性包括第i个字节对应的码值的出现次数,所述网络报文的应用层数据相关的多个字节对应的码值的平均出现次数; 根据所述随机性因子判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布。4.根据权利要求3所述的深度报文检测方法,其特征在于,所述根据所述随机性因子判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布包括 将所述网络报文的应用层数据的多个字节对应的码值的随机性因子与阈值门限进行比较; 当所述网络报文的应用层数据的多个字节对应的码值的随机性因子大于阈值门限时,则网络报文的应用层数据的多个字节对应的码值不符合均匀分布; 当所述网络报文的应用层数据的多个字节对应的码值的随机性因子小于或等于阈值门限时,则网络报文的应用层数据的多个字节对应的码值符合均匀分布。5.根据权利要求3或4所述的深度报文检测方法,其特征在于,所述根据所述网络报文的应用层数据的多个字节对应的码值的属性获取所述网络报文的应用层数据的多个字节对应的码值的随机性因子,包括 获取所述网络报文的应用层数据的多个字节对应的码值,n为所述多个字节的数量,且n小于所述网络报文的应用层数据的总字节数; 根据如下第一公式计算所述网络报文的应用层数据的多个字节对应的码值的随机性因子;y V<£h£L 八—/ , (' r I O 其中R为随机性因子,n为所述网络报文的应用层数据的多个字节的字节个数,Ci为第i个字节对应的码值的出现次数,C为所述网络报文的应用层数据的多个字节对应的码值的平均出现次数。6.根据权利要求4所述的方法,其特征在于,所述阈值门限是根据如下公式计算得到的T = x;(n-i}, 其中T为阈值门限,n为所述网络报文的应用层数据的多个字节的字节个数,a为显著性水平,所述阈值门限用于表示符合均匀分布的限值。7.根据权利要求I至6任一项所述的方法,所述网络报文的应用层数据的多个字节包括所述网络报文的应用层数据的前n个字节,或者,所述网络报文的应用层数据的后n个字节,且n小于所述网络报文的应用层数据的总字节数。8.根据权利要求I至7任一项所述的方法,其特征在于,所述网络报文的应用层数据的多个字节对应的码值包括所述网络报文的应用层数据的多个字节对应的ASCII码值。9.根据权利要求I至8任一项所述的深度报文检测方法,其特征在于,如果对所述网络报文的关键字匹配无法匹配成功时,所述方法还包括 对所述网络报文进行其他类型匹配,所述其他类型匹配包括协议格式的匹配或加密协议的解密匹配。10.根据权利要求I至9任一项所述的深度报文检测方法,其特征在于,所述对所述网络报文进行网络层和传输层的信息匹配包括 对所述网络报文进行网络层的IP地址与传输层的端口的匹配。11.一种深度报文检测装置,其特征在于,所述装置包括 匹配单元,用于在接收到网络报文后,对所述网络报文进行网络层和传输层的信息匹配; 随机性验证单元,用于当所述网络报文的网络层和传输层的信息无法匹配时,判断所述网络报文的应用层数据的多个字节对应的码值是否符合均匀分布; 所述匹配单元还用于...
【专利技术属性】
技术研发人员:夏伊·霍罗威茨,邱经忠,梁标,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。