[发明专利]一种基于流的深度报文检测协议解码方法、设备及系统

权利要求书

1、一种基于流的深度报文检测协议解码方法，其特征在于，所述方法包括：

接收业务数据流，将不同的数据流分发到不同线程中处理；

识别分流后所述数据流的协议类型，将同一数据流分发到相同深度报文检测处理模块；

深度报文检测处理模块调用正则表达式规则库，对所述数据进行协议解码。

2、根据权利要求1所述基于流的深度报文检测协议解码方法，其特征在于，所述深度报文检测处理模块调用正则表达式规则库，对所述数据进行协议解码包括：

所述深度报文检测处理模块获取所述数据的协议类型后，根据正则表达式规则库查找到与所述数据协议类型对应的协议解码规则；

对包含所述数据的数据包进行扫描，根据所述协议解码规则从所述数据包中提取所述数据的输出信息；

根据所述输出信息从所述数据包中提取所述数据的解码信息。

3、根据权利要求1所述基于流的深度报文检测协议解码方法，其特征在于，所述接收业务数据流之前包括：深度报文检测处理模块进行初始化并加载编译后的正则表达式规则库。

4、根据权利要求3所述基于流的深度报文检测协议解码方法，其特征在于，所述方法还包括：

对所述正则表达式规则库进行编译，将其转换成深度报文检测处理模块可识别格式的数据。

5、根据权利要求1所述基于流的深度报文检测协议解码方法，其特征在于，所述将不同的数据流分发到不同线程中处理包括：

分析提取数据中用户的流信息，并根据所述用户的流信息将所述数据分发到不同线程中处理。

6、根据权利要求5所述基于流的深度报文检测协议解码方法，其特征在于，所述方法具体包括：

对于TCP数据流，根据TCP数据流的源IP地址、目的IP地址、源端口、目的端口和协议类型，将其分到不同的线程中；

对于UDP数据流，根据UDP数据流的源IP地址、源端口、业务ID、协议类型来将其分到不同的线程中。

7、根据权利要求1的基于流的深度报文检测协议解码方法，其特征在于，所述识别分流后所述数据流的协议类型，将同一数据流分发到相同深度报文检测处理模块包括：

对经过分流的数据流的协议类型进行识别，获取所述数据流中数据的协议类型；

根据实际要求的协议类型判断所述数据流中的数据是否需要进行解码，若不需要则直接丢弃所述数据，若需要，则将同一数据流分发到相同深度报文检测处理模块。

8、根据权利要求7的基于流的深度报文检测协议解码方法，其特征在于，所述将同一数据流分发到相同深度报文检测处理模块包括：

在接收到新的数据流时建立新的流表；

当接收到数据报文时，先在所述流表中查找其对应的流号，若能找到，再判断所述数据报文是否为最后一个包，若不是，则将所述数据报文归入对应的数据流中，否则进行流的删除；

当所述数据流出现乱序或重发且所述数据流没有被正常删除时，启动定时器在定时时间内将所述数据流进行删除。

9、一种基于流的深度报文检测协议解码设备，其特征在于，所述设备包括数据接收模块、数据分流模块、协议类型识别模块、流管理模块及深度报文检测处理模块，其中：

所述数据接收模块，用于接收移动业务数据；

所述数据分流模块，连接于所述数据接收模块，用于将不同的数据流分发到不同线程中处理；

所述协议类型识别模块，连接于所述数据分流模块，用于各线程对经过分流的数据的协议类型进行识别；

所述流管理模块，连接于所述协议类型识别模块，用于各线程将同一数据流分发到相同深度报文检测处理模块；

深度报文检测处理模块，连接于所述流管理模块，用于调用正则表达式规则库对经过流管理模块的数据进行协议解码。

10、一种基于流的深度报文检测协议解码系统，其特征在于，所述系统包括路由设备及深度报文检测协议解码设备，其中：

所述路由设备，用于转发网络通信数据并同时将所转发的数据复制一份发给所述深度报文检测协议解码设备；

所述深度报文检测协议解码设备，用于接收所述路由设备发送的业务数据，将不同的数据流分发到不同线程中处理，对所述数据的协议类型进行识别，将经过协议类型识别后的同一数据流分发到相同深度报文检测处理模块，调用正则表达式规则库对所述数据进行协议解码。