[发明专利]网络协议解码器和解码方法

说明书

技术领域

本发明总的涉及网络协议解码。本发明更具体地涉及一种网络协议解码器和解码方法。

背景技术

伴随着web2.0/3.0、在线音视频，点对点(P2P)文件共享，社交网站(SNS)等多种网络服务的出现和普及，网络流量迅速膨胀。因此，各种网络设备需要执行繁重的网络协议解码工作，这也给网络设备的处理能力提出了新的挑战。如何持续提升网络设备的处理能力成为了各厂商关注的热点。

一个典型的例子是网关级入侵检测系统(IDS)/入侵防御系统(IPS)面临的挑战。网络流量的激增给IDS/IPS等网络设备带来了巨大的处理负载。IDS/IPS等网络设备的核心模块——应用层网络协议解码模块的性能在很大程度上决定了整个IDS/IPS产品的性能。目前主流IDS/IPS的应用层网络协议解码模块，只有在收到完整的应用层数据包之后才能进行正确解码。因此，传统的应用层网络协议解码模块之前需要一个数据整合模块，用来完成数据重组工作。

图1是示出传统的网络入侵检测设备的示意图。如图1所示，来自外部网络的数据经过底层(例如，TCP/IP层)处理，得到的数据分片经过数据整合模块，被整合为完整的数据包。应用层网络协议解码模块对完整的数据包解码，并将解码结果提供给其他模块使用。数据重组工作本身就是一个数据的缓存、拷贝的操作，大量的数据缓存、拷贝等冗余操作将会降低系统性能。特别是在网络流量巨大的情况下，这种频繁的数据缓存拷贝操作对性能的影响将是致命的。

发明内容

本发明的一个目的是至少解决上面指出的问题。

根据本发明的一个方面，提供一种用于对应用层网络协议数据包解码的方法。每个应用层网络协议数据包包括多个数据分片组。所述方法包括：

a)提取应用层网络协议数据包的第一数据分片组中的数据并且以所提取的数据为输入，跳转到第一中间状态，同时执行相应的协议解码；

b)提取该应用层网络协议数据包的下一数据分片组中的数据并且所提取的数据为输入，跳转到下一中间状态，同时执行相应的协议解码；

c)依次对该应用层网络协议数据包的其余数据分片组重复上述步骤b)，直至到达结束状态。

应用层网络协议数据包的每个数据分片组可以分别对应于应用层网络协议规定的消息中的一部分。

所述步骤a)和b)中的每一个可以分别包括：

d)提取数据分片组中的第一子组中的数据，并且以所提取的数据为输入，跳转到第一子中间状态，同时执行相应的协议解码；

e)提取该数据分片组中的下一子组中的数据，并且以所提取的数据为输入，跳转到下一子中间状态，同时执行相应的协议解码；

f)依次对该数据分片组中的其余子组重复上述步骤e)，直至到达子结束状态。

每个子组可以对应于应用层网络协议规定的消息中的一个字符或一个字段。

所述方法还可以包括：如果所提取的数据不符合应用层网络层协议规定的消息格式，跳转到异常状态。所述方法还可以包括：保存标识各个中间状态或子中间状态的状态号。

所述应用层网络协议可以至少包括超文本传输协议HTTP、文件传输协议FTP、简单文件传输协议TFTP、Telnet协议，简单邮件传输协议SMTP，POP3协议和安全超文本传输协议HTTPS以及应用程序协议。

所述方法可以在入侵检测系统IDS/入侵防御系统IPS上执行。

各个中间状态和结束状态可以是根据所述应用层网络协议规定的消息格式定义的。

根据本发明的另一方面，提供一种用于对应用层网络协议数据包解码的解码器。每个应用层网络协议数据包包括多个数据分片组。所述解码器包括：

解码装置；和

跳转装置，其中，解码装置和跳转装置被配置为：

解码装置提取应用层网络协议数据包的第一数据分片组中的数据，并且跳转装置以所提取的数据为输入，跳转到第一中间状态，同时解码装置执行相应的协议解码；

解码装置提取该应用层网络协议数据包的下一数据分片组中的数据，并且跳转装置以所提取的数据为输入，跳转到下一中间状态，同时解码装置执行相应的协议解码；

解码装置和跳转装置依次对该应用层网络协议数据包的其余数据分片组重复上述操作，直至到达结束状态。

应用层网络协议数据包的每个数据分片组可以分别对应于应用层网络协议规定的消息中的一部分。

解码装置和跳转装置可以进一步被配置为：