[发明专利]基于DPI的报文业务类型识别方法及装置

说明书

技术领域

本发明涉及计算机领域，特别是涉及一种基于深度包检测(Deep Packet Inspection，简称为DPI)的报文业务类型识别方法及装置。

背景技术

目前，在互联网(Internet)业务中，业务是基于传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol，简称为TCP/IP)的。传统的业务识别方法是基于网络层国际互联网协议(Internet Protocol，简称为IP)的源地址、目标地址和协议类型及传输层的源端口和目标端口的组合来完成的，包括传输控制协议(Transmission Control Protocol，简称为TCP)或用户数据包协议(User Datagram Protocol，简称为UDP)两种。例如，会话中目的端口为80的TCP流可以认为是超文本传输协议(HyperText Transfer Protocol，简称为HTTP)，而目的端口为21的TCP流则可以认为是文件传输协议(File Transfer Protocol，简称为FTP)；而传统的DPI是在此基础上进行应用层的字符串特征匹配，如果能够匹配到某种协议的明文特征字符串，则认为该会话属于某种业务。例如，BT协议的握手报文中应用层以字符串“0x13BitTorrent protocol”开始。对于具有明确明文载荷特征的TCP或UDP报文，这种DPI有较高的识别率和准确率。

随着互联网的发展，各种私有协议和加密协议不断涌现，完全基于字符串匹配的DPI就很难识别出这些协议报文。但这些协议(特别是加密协议、点对点(Peer-To-Peer，简称为P2P类的协议)通常应用广泛并占据了网络中的大部分带宽，导致网络拥塞，影响了其他用户的正常业务，例如，HTTP、邮件(MAIL)、FTP等业务。因此，如果没有较好的技术来识别并控制这些协议，将会对网络的健康发展造成巨大的危害。

以SKYPE协议为例，SKYPE是一种分布式网络，SKYPE协议采用了先进的P2P技术、数据加密技术和压缩算法，保证任意两个SKYPE用户可以使用最小的宽带来传输优质的语音数据。SKYPE用户在登陆或通信的过程中，并不直接登陆到SKYPE服务器上，而是登陆到某个超级结点，并通过超级结点转发数据报文从而完成与SKYPE服务器或其他SKEYP用户之间的通信。这种方式可以很容易穿透防火墙，只要防火墙开通了80或443端口，SKYPE用户就可以穿透防火墙，与防火墙外边的用户进行通信。但是，如果要把80或443端口也给关闭了，那就会影响到网络中其他合法用户的正常上网。

现有的DPI技术中，除了对SKYPE极小的一部分数据流可以直接分析出来外，绝大部分SKYPE会话都无法识别出来，而随着网络业务的高速发展，运营商对DPI设备功能的要求也越来越高。

发明内容

本发明提供一种基于DPI的报文业务类型识别方法及装置，以解决现有技术中传统的DPI技术无法识别非公有协议报文的问题。

本发明提供一种基于DPI的报文业务类型识别方法，包括：

步骤1，接收业务报文，将业务报文的会话信息与预先设置的会话记录表中的会话记录进行匹配，如果会话信息与某一条会话记录匹配成功，则从会话记录表中获取与该会话记录相对应的业务类型，作为业务报文的业务类型，如果未能从会话记录表中获取与该会话记录相对应的业务类型，则执行步骤2，如果未匹配成功，则根据会话信息在会话记录表中创建相应的会话记录，并执行步骤2；

步骤2，将业务报文的会话信息与预先设置的关联记录表中的关联记录进行匹配，如果会话信息与某一条关联记录匹配成功，则从关联记录表中获取与该关联记录相对应的业务类型，作为业务报文的业务类型，如果匹配不成功，则执行步骤3；

步骤3，对业务报文的会话信息进行深层载荷分析，获取业务报文的业务类型。

本发明还提供了一种基于DPI的报文业务类型识别装置，包括：