[发明专利]基于索引分簇的网络协议特征匹配方法

说明书

本发明公开了基于索引分簇的网络协议特征匹配方法，目的是优化设计载荷特征与协议识别规则的关联关系，提高规则匹配性能。技术方案是第一步预处理，输入协议识别规则集合，建立深度报文检查索引分簇和固定位置引分簇；第二步深度报文检查；采用当前主流的深度报文匹配引擎遍历检查网络报文的报文载荷中是否包含字符串集合中字符串，输出命中结果；第三步规则匹配；首先，借助深度报文检查索引分簇表，重构深度报文检查引擎返回的命中结果，其次，对深度报文检查特征串索引分簇的规则进行匹配，然后对固定位置索引分簇的规则进行匹配。本发明相比于目前基于报文深度检查的协议识别方法，显著减少了协议规则的匹配次数，提高了协议识别的性能。

技术领域

本发明涉及计算机领域中网络协议识别方法，特别是网络协议特征匹配方法。

背景技术

协议识别是网络带宽管理和安全防护的关键支撑技术。现有的协议识别方法可大致分为基于端口匹配的协议识别方法、基于深度报文检查的协议识别方法、基于数据流特征的协议识别方法三种。其中，基于深度报文检查的协议识别方法是对基于端口匹配协议识别方法的扩展，除了分析报头信息外，还对报文数据载荷特征进行匹配，相比较而言，该类方法具有识别速度快、更新方便、准确率高等优点，已在业界广泛使用。

基于深度报文检查的协议识别方法主要包含三个步骤：(1)预处理，提取协议识别规则中的载荷特征，放到深度报文检查引擎，并建立载荷特征与协议识别规则的映射关系；(2)深度报文检查，对报文数据载荷进行遍历，返回命中的载荷特征编号及其所在的偏移位置；(3)规则匹配：根据命中的载荷特征匹配相应的协议识别规则，返回协议识别结果。

在既往研究中，协议识别规则多以单载荷特征规则为主，因此，规则匹配的开销常被忽略，一般侧重从深度报文检查改进的角度提升协议识别性能。然而，随着网络应用的不断丰富，单数据载荷特征的识别准确率降低，协议识别需要依赖多个载荷特征共同判定，规则匹配对整体性能的影响越来越大。一方面，载荷特征和协议规则的映射关系更加复杂，另一方面，载荷特征含有大量单字节或双字节特征，直接将这些载荷特征加入深度报文检查引擎，会导致大量命中结果，若在规则匹配过程中多次遍历命中结果，性能开销极大。如何优化载荷特征和协议规则的映射关系、降低规则匹配开销是协议识别亟需解决的技术问题。

发明内容

本发明要针对已有基于报文深度检查的协议识别方法存在载荷特征和协议识别规则间关联关系复杂而导致规则匹配开销大的技术问题，提供一种基于索引分簇的网络协议特征匹配方法，优化设计载荷特征项与协议识别规则间的关联关系，提高规则匹配性能。

不失一般性，假定基于报文深度检查的协议识别规则至少包含一个载荷特征，载荷特征包括浮动位置特征和固定位置特征，浮动位置特征不限定载荷特征的命中位置，固定位置特征会指定载荷特征相对于报文TCP/UDP数据载荷起点的偏移位置。本发明中“＝”为赋值操作符，即将等号“＝”右边的值赋值给等号左边的变量。

本发明技术方案：

第一步：预处理。