[发明专利]一种网络应用层协议识别方法和系统

说明书

技术领域

本发明涉及一种网络应用层协议识别方式的描述方法及基于该方法的协议识别系统。

背景技术

随着网络应用的普及与网络技术的发展，新的网络应用业务层出不穷，随之而来的是应用层流量特征的多样化以及对应识别方式的复杂化。传统的网络应用服务使用固定的服务端口，能够很容易的通过应用端口进行应用层协议识别。随着P2P，VOD以及VoIP技术的使用，如今的网络应用协议主要适用动态端口的方式进行通信，因此传统的通过端口实现应用协议识别的方法不再适用。

为解决这样的情况，现在主要有两大类识别方式：第一类方式深度包解析，通过对单个或多个数据包内容的某些特征进行匹配来达到识别的目的，能够很准确的进行识别，但是识别周期相对长且对某些特征需要通过多包特征综合识别；第二类方式流量统计特征匹配，通过对目标应用流量的平均包大小，平均流速率等统计量的特征进行分析来实现识别功能，识别速度快但准确率低。时下网络应用服务的另一大特点则是协议更新频繁，随之而来的问题则是协议识别系统需要经常对识别特征乃至识别方式进行更新，这就对协议识别系统中对识别方式的组织结构提出了新的要求。

目前对协议识别方式的实现主要有两种结构：其一，通过代码实现针对每一种协议识别的程序，效率高但难于更新特征。对于这样的识别系统，每次对识别特征的更新或识别方式的改变都需要重编译识别程序。其二，通过正则表达式来存储特征。能够实现不需重编译的特征更新，但是正则表达式匹配速度相对匹配函数较慢，且对于某些特征无法匹配，例如数据包内容与数据包长度的相关特征。而且正则表达式的特征描述方式较为抽象，增加了管理人员自行增加识别方式的难度。现有的方式中对于多个数据包中的组合特征是通过将多个数据包存储下来再组合在一起做综合特征匹配来实现的，这种方式效率低，存储空间需求大，在高速链路中使用的时候存在较大性能缺陷。

针对现在网络应用服务特征多样协议更新频繁的特点，应用层流量识别需要一种能够实现多类型和多状态的识别方式同时高效并易于更新的结构。

发明内容

本发明的目的在于提出了一种对应用层的协议识别方式的描述方法AIMDL，以及利用此描述方法构建的协议识别系统。主要内容包括设计AIMDL的主要元素以实现对于多类型和多状态的协议识别方式的有效描述同时满足方便更新的需求。设计并实现能够利用AIMDL所描述的识别方式高效地进行应用协议识别工作的识别架构。

根据本发明的第一方面，提供了一种网络应用层协议识别方法，其特征在于，所述识别方法包括如下步骤：

1)对网络应用层的协议识别方式进行描述，并生成相应的识别方式描述文件；

2)对识别方式的描述文件进行解析，生成相应的Method List数据结构；以及

3)依据Method List数据结构，对网络应用层协议完成识别。

优选地，所述步骤1)中，还包括：在识别方式描述文件中对为协议识别提供操作支持的操作方式和识别方式的结构进行描述。

优选地，所述步骤2)中的解析是基于XML语言平台。

优选地，所述步骤3)中的Method List数据结构采用动态链表和无类型指针结合的方式。

根据本发明的第二方面，提供了一种网络应用层协议识别系统，其特征在于，所述识别系统包括：对协议识别方式描述文件进行解析的描述方法解释器，其中所述识别方式描述文件用于对网络应用层的协议识别方式进行描述；存储解析后的数据结构Method List的MethodList数据结构模块；依据Method List对协议进行识别的协议识别操作执行模块。

优选地，所述描述方法解释器是基于XML语言平台。

优选地，所述的Method List数据结构模块采用动态链表和无类型指针结合的结构。

本发明能够用来实现多类型的协议识别，同时又能方便对特征与识别方式进行更新；并能够利用基于状态机的识别方法实现多状态协议识别。

附图说明

下面将参照附图对本发明的具体实施方案进行更详细的说明，其中：

图1是本发明应用层协议识别系统的工作示意图；

图2是本发明的协议识别方式描述方法解释器模块的流程图；

图3是本发明的Method List数据结构模块的结构图；以及

图4是本发明的协议识别操作执行模块的流程图。

具体实施方式