[发明专利]深度包检测方法和系统

说明书

本发明公开了一种基于首包的深度包检测方法和系统，涉及深度包检测技术领域。本发明引入首包DPI识别机制，通过对新会话建立过程的头若干包进行DPI分析，识别出该会话的业务应用类型，进而基于识别结果和应用处理策略，建立报文过滤规则表，然后通过两级报文过滤，利用硬件转发、报文转发等功能将流量进行合理地分流，实现了报文快速处理和转发，避免了所有报文都进入CPU以及DPI引擎进行处理，从而降低了设备性能消耗，提高了报文转发效率，适合在家庭网关等性能受限设备上实现。

技术领域

本发明涉及深度包检测技术领域，特别涉及一种基于首包的深度包检测方法和系统。

背景技术

随着互联网业务的快速发展和宽带接入的竞争加剧，传统的纯管道经营模式面临越来越大的挑战。在这种竞争形势下，为避免沦落成为“哑管道”，智能管道成为运营商进行转型探索的方向。要做到智能管道，其中一个前提就是能够通过DPI（Deep PacketInspection，深度包检测）技术实现对跑在网络上的应用的识别。而家庭网关作为最靠近用户的网络终端，通过集成深度包检测功能，可以精确地感知业务质量和提高用户体验，助力智能管道建设。

深度包检测技术在L2～L4层报文分析的基础上，增加了对应用层的分析，即需要识别L4～L7层报文特征，其特点是识别准确性高，但由于对系统资源消耗较大，对设备性能有一定的要求，一般通过专有的深度包检测设备实现。由于对系统资源消耗较大，会影响到设备的转发能力，传统的采用逐包分析的深度包检测机制并不适合在家庭网关等内存、CPU处理能力都有限的一类性能受限设备上实现。

发明内容

本发明实施例所要解决的一个技术问题是：解决传统的逐包DPI分析对系统资源消耗大以及影响转发能力的问题。

根据本发明实施例的一个方面，提出一种深度包检测方法，包括：对新建会话的初始部分报文进行深度包检测，以便识别应用类型和报文的五元组信息；根据应用类型和预设的第一应用处理策略，判断该初始部分报文是否为深度包检测关注报文；响应于该初始部分报文是非深度包检测关注报文的判断结果，将该初始部分报文的五元组信息保存到第一报文过滤规则表；响应于该初始部分报文是深度包检测关注报文的判断结果，将该初始部分报文的五元组信息保存到第二报文过滤规则表；接收初始部分报文之后的后续报文，并且判断该后续报文是否在第一报文过滤规则表中；响应于该后续报文在第一报文过滤规则表中的判断结果，对该后续报文进行硬件转发；响应于该后续报文不在第一报文过滤规则表中的判断结果，根据第二报文过滤规则表判断该后续报文是否已经识别；响应于该后续报文未识别的判断结果，对该后续报文进行深度包检测，以便识别应用类型和报文的五元组信息；响应于该后续报文已经识别的判断结果，对该后续报文进行报文转发。

在一个实施例中，所述响应于该后续报文已经识别的判断结果，对该后续报文进行报文转发包括：响应于该后续报文已经识别的判断结果，根据预设的第二应用处理策略，对该后续报文处理后进行报文转发，或者对该后续报文复制后进行报文转发。

在一个实施例中，所述根据预设的第二应用处理策略，对该后续报文处理后进行报文转发，或者对该后续报文复制后进行报文转发包括：如果报文只需进行数据采集，对该后续报文复制后进行报文转发，否则，对该后续报文处理后进行报文转发。

在一个实施例中，所述对该后续报文处理后进行报文转发包括：在该后续报文中添加服务质量标识后进行报文转发。

在一个实施例中，在对该后续报文复制后进行报文转发之后还包括：将复制的后续报文处理后丢弃。