[发明专利]一种通用协议解析方法及系统

权利要求书

1、一种通用协议解析方法，其特征在于包含以下步骤：

通用协议解析系统的协议及字段的注册步骤；

通用协议解析系统的捕报步骤；

通用协议解析系统的协议解析步骤；

数据交互的建立步骤；

数据处理的步骤。

2、根据权利要求1所述的一种通用协议解析方法，其特征在于所述的通用协议解析系统的协议及字段的注册步骤，具有如下特征：

通用协议解析系统支持的各个协议解析器首先要向系统进行注册，注册是在通用协议解析系统初始化的时候完成的，所有支持的协议都必须进行注册，然后通用协议解析系统在得到原始数据包后进行派发。

3、根据权利要求1所述的一种通用协议解析方法，其特征在于所述的通用协议解析系统的捕报步骤，具有如下特征：

通用协议解析系统的捕报步骤包括捕报器，负责抓取数据包的模块；Winpcap/Libpcap(网络数据报捕获开发报)是工作在网卡驱动层的模块，用来抓取报文，将网卡上的报文复制一份送给捕报模块，并屏蔽了跟网络设备相关的细节，使用Winpcap/Libpcap(网络数据报捕获开发报)实现了底层的跨平台支持。

4、根据权利要求1所述的一种通用协议解析方法，其特征在于所述的通用协议解析系统的协议解析步骤中的子步骤：

以层次化的数据包协议分析方法取得捕包函数捕回的数据包后进行协议分析和协议还原工作作为协议树建立子步骤；

将最低层的无结构数据流作为根接点，具有相同父节点的协议成为兄弟节点，系统采用协议的特征字来识别协议，以此作为协议解析子步骤；

基于插件技术的协议分析器是在程序的设计开发过程中，把整个应用程序分成宿主程序和插件两个部分，宿主程序与插件能够相互通信，以此作为增加协议插件的子步骤；

以构建协议树作为协议解析的基本构架，协议的特征字作为识别协议的主要方式，同时把协议插件作为协议解析的基本单位，从而实现协议解析步骤。

5、根据权利要求1所述的一种通用协议解析方法，其特征在于所述的通用协议解析系统中的与IDS/IPS入侵检测引擎数据协商的建立步骤中的子步骤：

IDS/IPS入侵检测引擎使用规范化全称向通用协议解析系统提出协议字段请求，以此作为系统提供的协议字段命名规范的建立子步骤；

通用协议解析系统与入侵检测引擎协商解析的协议字段名称以及类型，将其全程映射为双方认可的数字id，便于数据以及命令的交互，以此作为协议以及字段的hash子步骤；

数据交互将解析结果向入侵检测引擎报告；命令交互循环等待入侵检测引擎发来的指令并把执行的结果告之入侵检测引擎，以此作为数据以及命令交互子步骤；

以命名规范为系统与引擎交互的依据，采用hash的方法来提高交互的效率，以数据交互和命令交互的方式来进行通信，以此来完成与IDS/IPS入侵检测引擎数据协商的建立步骤。

6、根据权利要求1所述的一种通用协议解析系统的方法，其特征在于所述的通用协议解析系统中的数据处理的步骤，具有如下特征：

通用协议解析系统数据解析结果为序列化的协议树，它包含有协议基本信息、协议字段和层次关系。任何协议在通用协议解析系统提供的解析结果内存中都是3个连续的块；IDS/IPS入侵检测引擎以统一的方式处理不同协议的解析结果。

7、一种通用协议解析系统，其特征在于包括：对数据报进行内容和形式异常检测，判断攻击行为是否发生的入侵检测引擎；

对用户的命令和显示进行处理的通用协议解析控制台；

负责串联其他装置的通用协议解析控制模块；

负责获取网络报文的捕报器；

对数据报文件的格式进行转换的存储器；

负责对协议进行详细数据报解析的协议解析器；

所述的入侵检测引擎与通用协议解析系统连接；所述的通用协议解析控制台与通用协议解析控制模块连接；所述的通用协议解析控制模块与捕报器、存储器和协议解析器连接；所述的捕报器与工作在网卡驱动层的winpcap/libpcap(网络数据报捕获开发报)连接。

8、根据权利要求7所述的一种通用协议解析系统，其特征在于协议解析器包括协议树模块、协议解析模块和插件管理器。

9、根据权利要求7所述的一种通用协议解析系统，其特征在于；通用协议控制模块是系统的核心控制模块，其它几个模块都是通过通用协议解析平台控制模块模块串联起来的；

捕报器是负责抓包的模块，winpcap/libpcap(网络数据报捕获开发报)是工作网卡驱动层的模块，用来抓取报文，将网卡上的报文复制一份送给捕报器；

对数据报文件的格式进行转换，可以将抓到的报文保存成各种不同的格式，当然也可以读取这些格式文件的存储器；

协议解析器负责数据报解析，首先对网络层的协议识别后进行组包还原然后脱去网络层协议头，将里面的数据交给传输层分析，这样一直进行下去直到应用层。