[发明专利]一种高效多功能包深度识别方法

说明书

本发明涉及一种高效的多功能包深度识别方法，所述识别方法包括以下步骤：步骤1)从文件中加载包深度识别规则；步骤2)规则语法扫描；步骤3)初始化；步骤4)接收网络数据包、解网络数据包；步骤5)会话重组；步骤6)匹配包深度应用策略。该方案可以提供跨包识别能力，对于需要多个包方可识别的应用协议采用状态机的方式进行区分；提供基于会话包序列的检查能力，丰富应用识别语义并且可以提高包识别效率；提供在会话层面应用识别的能力。

技术领域

本发明涉及一种识别方法，具体涉及一种高效的多功能包深度识别方法，属于深度包检测或深度识别技术领域。

背景技术

传统的网络安全检测是对数据包的结构化头部进行分析，然而随着网络的不断发展,许多病毒、恶意代码、入侵指令、垃圾邮件等信息都隐藏在数据包的内容之中。因此,当前在进行安全检测时,除了要对数据包头部进行检查之外,也要对数据包的内容进行检测。

深度包检测(DPI，Deep Packet Inspect)技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。深度包检测法就是基于这种原理，通过检测各种应用协议使用的固定特征字来进行各种网络安全检测。DPI技术具有重要的意义，这体现在如下几个方面：

1.在应用层面提供对于网络数据的深度识别，即不仅依赖于网络层、传输层而单独识别应用层数据；

2.在应用层面协议识别的基础上，对下一代防火墙的策略制定、过滤等提供支持；

3.在应用层面协议识别的基础上，对特殊的应用进行流量的控制，如针对某些P2P应用进行限流；

4.在应用层面协议识别的基础上，对网络流量提供更深层次的审计和监控；

5.在应用层面协议识别的基础上，对可能承载的恶意软件(如病毒、木马、蠕虫等)进行更为细致的检测，以及对异常协议事先进行预警，从而尽早从源头控制网络风险的发生。

然而，传统的包深度识别一般存在如下几个方面的缺陷：

1)过度依赖于正则匹配(特别是基于非确定状态自动机)，从而导致识别性能无法满足网络带宽的增长，在10G或以上网络环境中表现非常差；

2)包深度识别不是基于规则的，如nDPI(源自nTOP)，扩展性很差；

3)基于跨包识别的能力较差或没有：多数应用可能仅通过一个数据包是无法识别的，必须分析多个包后方可精准识别；

4)多数包深度识别文法没有提供包序列支持的语义：某些应用(特别是基于TCP协议的)可能需要特别地对某个顺序的包进行处理；

5)不能在会话层面识别应用：一般包深度识别不会对会话进行重组，然后再在会话层面上对应用进行更深层次的识别(如迅雷就需要在会话层面上进行识别)。因此，迫切的需要一种新的方案解决上述技术问题。

发明内容

本发明正是针对现有技术中存在的问题，提供一种高效的多功能包深度识别方法，该方法可以提供跨包识别能力，提供基于会话包序列的检查能力，提供在会话层面的应用识别能力。

为了实现上述目的，本发明的技术方案如下，一种高效的多功能包深度识别方法，其特征在于，所述识别方法包括以下步骤：

步骤1)从文件中加载包深度识别规则；

步骤2)规则语法扫描；

步骤3)初始化；

步骤4)接收网络数据包、解网络数据包；