一种报文特征识别方法技术

本发明专利技术公开了一种报文特征识别方法

【技术实现步骤摘要】
一种报文特征识别方法、装置、设备及存储介质


[0001]本专利技术涉及网络数据分析
，尤其涉及一种报文特征识别方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]随着近年来网络技术的兴起，应用种类和网络带宽随之快速增长，为保障网络安全以及为向用户更有针对性的提供服务，需对网络流量进行分析，而当下基于应用层深度处理的需求也日益增加，向网络流量分析提出了更高的需求
。
[0003]对于流量分析管控系统而言，深度报文检测
(Deep Packet Inspection
，
DPI)
作为主流技术，其技术原理是针对报文特征进行识别以实现针对报文的检测
。
而现有识别报文特征一般采用各类关键字规则匹配的方式进行，如采用软件则会通过各类算法进行实现，如采用硬件芯片则会针对流量数据中的报文依次进行字节偏移后的多次匹配
。
[0004]然而，针对硬件芯片中常利用的三态内容寻址存储器芯片
(Ternary Content Addressable Memory,TCAM)
对网络数据报文进行浮动规则匹配时，由于
TCAM
的技术路线为固定位置关键字规则匹配，其在实现浮动位置关键字规则匹配时，往往是将匹配位置进行字节偏移后进行多次匹配，来实现浮动位置关键字规则匹配的效果，然而该类匹配操作往往存在性能瓶颈，随着需要匹配报文数量和内容含量的增加，对整体系统性能消耗较大
。

技术实现思路

[0005]本专利技术提供了一种报文特征识别方法
、
装置
、
设备及存储介质，可减少一次报文特征识别时所需筛选报文的数量，提升了报文特征识别效率，进以提升了总体性能
。
[0006]第一方面，本专利技术实施例提供了一种报文特征识别方法，包括：
[0007]获取待筛选特征字段，并根据待筛选特征字段构建报文初筛规则；
[0008]接收并解析待筛选报文，根据预设报文类型和报文初筛规则对待筛选报文进行筛选，确定目标待筛选报文；
[0009]在目标待筛选报文中对待筛选特征字段进行筛选，确定特征识别结果
。
[0010]可选的，根据待筛选特征字段构建报文初筛规则，包括：
[0011]根据待筛选特征字段确定目标协议类型
、
目标报文类型和目标端口信息；
[0012]将目标协议类型
、
目标报文类型和目标端口信息代入预构建的初筛规则模板，构建与待筛选特征字段对应的报文初筛规则
。
[0013]上述技术方案通过将待筛选特征字段可出现的协议类型
、
报文类型和端口信息代入至预先设置的初筛规则模板构建初筛规则
。
由于待筛选特征字段仅能出现在特定的协议和报文中，基于其构建的初筛规则可筛去大量非对应协议类型和报文类型的报文，提升了筛选效率
。
[0014]可选的，根据预设报文类型和报文初筛规则对待筛选报文进行筛选，确定目标待筛选报文，包括：
[0015]确定待筛选报文的待筛选报文类型；
[0016]若待筛选报文类型为预设报文类型，则由待筛选报文中对应用层报文进行提取，确定中间待筛选报文；
[0017]通过报文初筛规则对中间待筛选报文进行筛选，确定目标待筛选报文
。
[0018]上述技术方案通过预设报文类型和报文初筛规则两部分对待筛选报文进行筛选，且在执行报文初筛规则筛选前，将针对待筛选报文中对应的应用层报文进行提取，减少了报文初筛规则所需筛选的报文字段量，提升了筛选效率
。
且二段筛选的方式，能够尽可能筛除与待筛选特征字段无关的报文，减少了后续所需筛选的报文数量，提升了整体性能
。
[0019]可选的，通过报文初筛规则对中间待筛选报文进行筛选，确定目标待筛选报文，包括：
[0020]对中间待筛选报文进行固定位置关键字提取，确定中间待筛选报文的中间协议类型
、
中间报文类型和中间端口信息；
[0021]若中间协议类型
、
中间报文类型和中间端口信息均命中报文初筛规则，则将中间待筛选报文确定为目标待筛选报文
。
[0022]上述技术方案由于报文初筛规则中需筛选的字段在中间待筛选报文中为位于固定位置的关键字，仅需对其进行固定位置关键字提取，即可得到所需筛选的信息，只需一次查找即可精确命中，降低了所需消耗的性能
。
[0023]可选的，根据预设报文类型和报文初筛规则对待筛选报文进行筛选，还包括：
[0024]若待筛选报文类型不是预设报文类型，或中间协议类型
、
中间报文类型和中间端口信息中任一未命中报文初筛规则，则忽略待筛选报文，并返回执行接收并解析待筛选报文的步骤
。
[0025]上述技术方案针对不满足任意命中条件的待筛选报文进行忽略操作，直接放弃对该报文的后续匹配处理，减少了数据处理量
。
[0026]可选的，预设报文类型为七层负载报文
。
[0027]上述技术方案针对的为七层负载报文中的应用层进行报文特征识别，由于其所针对层与四层负载报文不同，故筛选方式存在根本性的不同和不可结合情况
。
[0028]可选的，在目标待筛选报文中对待筛选特征字段进行筛选，确定特征识别结果，包括：
[0029]在目标待筛选报文中，对待筛选特征字段进行浮动位置关键字匹配，根据匹配结果确定特征识别结果
。
[0030]上述技术方案通过浮动位置关键字匹配方式进行待筛选特征字段的匹配，提升了匹配的灵活性和处理效率
。
[0031]第二方面，本专利技术实施例还提供了一种报文特征识别装置，包括：
[0032]初筛规则构建模块，用于获取待筛选特征字段，并根据待筛选特征字段构建报文初筛规则；
[0033]目标报文确定模块，用于接收并解析待筛选报文，根据预设报文类型和报文初筛规则对待筛选报文进行筛选，确定目标待筛选报文；
[0034]特征识别模块，用于接收并解析待筛选报文，根据预设报文类型和报文初筛规则对待筛选报文进行筛选，确定目标待筛选报文
。
[0035]第三方面，本专利技术实施例还提供了一种报文特征识别设备，包括：
[0036]至少一个处理器；以及
[0037]与至少一个处理器通信连接的存储器；其中，
[0038]存储器存储有可被至少一个处理器执行的计算机程序，计算机程序被至少一个处理器执行，以使至少一个处理器能够执行本专利技术实施例提供的报文特征识别方法
。
[0039]第四方面，本专利技术实施例还提供了一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时用于执行本专利技术实施例提供的报文特征识别方法
。...

【技术保护点】

【技术特征摘要】
1.
一种报文特征识别方法，其特征在于，包括：获取待筛选特征字段，并根据所述待筛选特征字段构建报文初筛规则；接收并解析待筛选报文，根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选，确定目标待筛选报文；在所述目标待筛选报文中对所述待筛选特征字段进行筛选，确定特征识别结果
。2.
根据权利要求1所述的方法，其特征在于，所述根据所述待筛选特征字段构建报文初筛规则，包括：根据所述待筛选特征字段确定目标协议类型
、
目标报文类型和目标端口信息；将所述目标协议类型
、
所述目标报文类型和所述目标端口信息代入预构建的初筛规则模板，构建与所述待筛选特征字段对应的报文初筛规则
。3.
根据权利要求1所述的方法，其特征在于，所述根据预设报文类型和所述报文初筛规则对所述待筛选报文进行筛选，确定目标待筛选报文，包括：确定所述待筛选报文的待筛选报文类型；若所述待筛选报文类型为所述预设报文类型，则由所述待筛选报文中对应用层报文进行提取，确定中间待筛选报文；通过所述报文初筛规则对所述中间待筛选报文进行筛选，确定目标待筛选报文
。4.
根据权利要求3所述的方法，其特征在于，所述通过所述报文初筛规则对所述中间待筛选报文进行筛选，确定目标待筛选报文，包括：对所述中间待筛选报文进行固定位置关键字提取，确定所述中间待筛选报文的中间协议类型
、
中间报文类型和中间端口信息；若所述中间协议类型
、
所述中间报文类型和所述中间端口信息均命中所述报文初筛规则，则将所述中间待筛选报文确定为目标待筛选报文
。5.
根据权利要求4所述的方法，其特征在于，所述根据预设报文类型和所述...

【专利技术属性】
技术研发人员：李开科，方群，高雷，刘立，曹龙海，
申请(专利权)人：曙光网络科技有限公司，
类型：发明
国别省市：