[发明专利]一种协议识别方法、设备及系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种协议识别方法、设备及系统。

背景技术

DPI(Deep Packet Inspection，深度包检测)是一种包(报文)检测技术，它除了对IP包中的源IP地址、目的IP地址、源端口、目的端口等(IP包的层4以下数据)信息进行检测分析外，还对IP包中的应用层数据进行深入分析，从而可以更高效地识别出网络上的各种应用。

目前，DPI技术已广泛应用于流量控制、内容计费和网络安全等领域。在DPI技术应用中，报文检测过程中的协议识别是一个关键的技术，后续的分析处理很多都需要依据协议识别的结果，因此，协议识别的效率在很大程度上决定了DPI设备性能的好处。

这里的协议可以由一个或多个规则确定，即满足一个或多个规则时，就表示识别出了该协议，可以由以下表达示来表示协议和规则的关系：

协议＝{规则1，规则2，规则3...，规则n}；

其中，规则又由一个或多个条件组成，只有当每个条件都满足时，这条规则才算满足。条件的类型可以是字符串，或正规表达式，或长度，或端口，或IP等。规则与条件的关系可以用以下表达示来表示：

规则＝条件1 & 条件2 & 条件3... & 条件n(符号“ & ”表示逻辑“与”关系)；

从这里可以看出，一个协议本质上是由多个条件逻辑组合后决定的，条件是决定协议的最小单元。

参见图1，为现有技术进行DPI应用时的系统框图，当接收到数据报文时，先进行流表查找，查找成功的报文进行策略执行；如果未成功，则进行协议识别，后续进行协议解析、业务控制及策略执行等动作。

在进行协议识别时，现有技术先进行协议主特征匹配，包括使用字符串匹配等算法完成对协议主要特征的搜索，如果搜索到主特征，则认为可能是相关的协议类型，会进行进一步的协议验证；如果协议验证通过，则协议识别成功，否则协议识别失败；协议主特征匹配无结果的报文，会进行正则表达式匹配，正则表达式匹配和协议主特征匹配作用类似，都是为了查找协议是否符合某些条件，正则表达式匹配成功后也进行协议验证。

发明人在实现本发明的过程中，发现现有技术至少存在以下缺点：

由于存在着多个协议对应于同一主特征的情况，因此，当主特征一致时，需要对主特征下的其他协议特征进行逐个验证，直至协议识别结束或最后一个协议特征验证失败。由此可见，协议识别的性能跟协议验证的顺序以及同一主特征协议的数量有关，性能不稳定，可能需要验证所有协议特征后，才能识别出协议类型，而如果对应同一主特征的协议数量很多的话，那么验证次数也会随之增加，从而降低了协议识别的性能。

发明内容

本发明实施例提供了一种协议识别方法、设备及系统，用于提高协议识别的性能，包括：

一种协议识别方法，包括如下步骤：

根据协议的匹配规则，对接收到的报文中的特征信息进行匹配；

当匹配成功且未识别出协议时，记录该次匹配时的状态节点，使得接收下一个报文时，对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配。

以及，

一种协议识别设备，包括：

接收单元，用于接收报文；

匹配单元，用于根据协议的匹配规则，对所述接收单元接收到的报文中的特征信息进行匹配；

状态识别单元，用于匹配成功且没有识别出协议时，记录该次匹配时的状态节点，使得接收下一个报文时，对所述下一个报文中的特征信息匹配从该次记录的状态节点处开始匹配。

以及，

一种协议识别系统，包括：

报文重组单元，用于接收报文，完成报文重组；

流表查找单元，用于接收通过所述报文重组单元过来的报文进行流表查找，如果查找成功，则进行策略执行；如果查找失败，则将报文送至协议识别单元；

协议识别单元，用于根据协议的匹配规则，对接收到的报文中的特征信息进行匹配；当匹配成功且未识别出协议时，记录该次匹配时的状态节点，使得接收下一个报文时，对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配；

协议解析单元，用于接收协议识别单元识别后的报文，对需要解析的报文进行协议解析，或者对未识别出协议的报文进行协议识别；

业务控制单元，用于根据所述协议解析单元解析结果对所述报文进行相关的策略执行；

策略执行单元，用于根据所述业务控制单元或所述流表查找单元执行相应的策略。