[发明专利]一种通用的协议解析框架的实现方法及装置

说明书

本发明涉及一种通用的协议解析框架实现方法及装置，包括，步骤S1，建立协议名、端口号、解析函数之间的关联关系，并将所述关联关系存储到全局hash表中；步骤S2，获取需要分析的协议数据报文；步骤S3，对所述需要分析的协议数据报文进行分解，从中提取出一个或多个端口号；步骤S4，根据提取出的所述一个或多个端口号在全局hash表中进行查找，如果查找到所述一个或多个端口号关联的解析函数，则执行步骤S5；步骤S5，利用查找到的所述解析函数对所述需要分析的协议数据报文进行解析，得到解析结果。本发明具有跨平台、协议支持广泛、报文分析简洁和部署方便等优点。

技术领域

本发明涉及网络技术领域，尤其涉及一种通用的协议解析框架实现方法及装置。

背景技术

本发明对背景技术的描述属于与本发明的相关技术，仅仅是用于说明和便于理解本发明的发明内容，不应理解为申请人明确认为或推定申请人认为是本发明在首次提出申请的申请日的现有技术。

在网络流量分析中，通常使用tcpdump(UNIX)和wireshark(Windows)进行流量的采集和分析。对于tcpdump来说，它可以实现多种方式的抓包、过滤、保存等等，但其采集的数据是网络原始流量而无法对流量包进行分析。而对于wireshark，其功能强大，既能抓包又能分析。但wireshark也存在一些如下缺点：

1.对于在服务器上(UNIX/Linux)部署来说通常会依赖其他第三方库，该特性会给前期部署工作带来极大烦恼，尤其是对于对安全性要求甚高的局域网内部。

2.部分协议/报文显示结果不符合OSI规范，可读性差。

3.一旦某协议端口号改变，则wireshark本身无法识别协议。

4.对于多个端口号/多链路的协议无能为力。

发明内容

针对以上问题，本发明提供一种通用的协议解析框架实现方法及装置，其将协议名、端口号、解析函数进行关联并注册到hsah表中，一旦报文经过网络层和传输层解析得到端口号和/或协议特征，根据端口号和/或协议特征找到对应的解析函数即可完成分析，它具有跨平台、协议支持广泛、报文分析简洁和部署方便等特点。

本发明提供一种通用的协议解析框架实现方法，其特征在于，包括以下步骤：

步骤S1，建立协议名、端口号、解析函数之间的关联关系，并将所述关联关系存储到全局hash表中，所述解析函数为传输层之上的协议解析函数；

步骤S2，获取需要分析的协议数据报文，所述需要分析的协议数据报文包括网络原始流量和/或存储在文件中的流量包；

步骤S3，对所述需要分析的协议数据报文进行分解，从中提取出一个或多个端口号；

步骤S4，根据提取出的所述一个或多个端口号在全局hash表中进行查找，查找在所述关联关系中所述一个或多个端口号关联的解析函数，如果查找到所述一个或多个端口号关联的解析函数，则执行步骤S5；

步骤S5，利用查找到的所述解析函数对所述需要分析的协议数据报文进行解析，得到解析结果，判断解析是否正常，如果正常则将解析结果以json格式输出；否则输出异常结果，所述异常结果包括所述需要分析的协议数据报文和/或解析失败提示。

较优的，在所述步骤S1之前还包括步骤S0，

加载配置文件，所述配置文件用于指定与协议名关联的一个或多个端口号，所述一个或多个端口号不同于其他已存在的协议名关联的端口号。

进一步，所述配置文件还用于指定需要监控的网卡，所述网卡包括物理网卡和/或本地回环。