[发明专利]深度包检测规则库生成方法、装置、网络设备及存储介质

说明书

本发明提供了一种深度包检测规则库生成方法，包括：接收数据包并识别所述数据包所属的数据流；判断所述数据包是否与规则库中的规则匹配；当所述数据包与所述规则库中的规则不匹配时，提取所述数据包的特征码；根据所述特征码生成规则；根据生成的规则及所述数据流中的其他数据包判断生成的规则是否有效；当确定生成的规则有效时，更新所述规则库。本发明还提供了一种深度包检测规则库生成装置、网络设备及存储介质。本发明能够针对新的应用的数据包自动生成规则以实时更新已有的规则库，提高了应用的识别率。

技术领域

本发明涉及数据网络技术领域，尤其涉及一种深度包检测规则库生成方法、装置、网络设备及存储介质。

背景技术

深度包检测技术(Deep Packet Inspection，DPI)是一种面向网络数据的高速检测方法，主要用于检测网络包的载荷字段内容。该技术在入侵防御系统(IPS)、入侵检测系统(IDS)中被广泛应用。

目前，深度包检测技术是通过人工识别出应用，提炼出特征码后编译生成深度包检测规则库。然而，随着应用的增多，且新的应用也会随时出现，导致现有的深度包检测规则库无法准确的识别出新的应用。

因此，有必要提供一种深度包检测规则库生成方案，能根据新的应用及时更新DPI规则特征。

发明内容

本发明的主要目的在于提供一种深度包检测规则库生成方法、装置、网络设备及存储介质，旨在解决现有的规则库无法及时识别新的应用的技术问题。

为实现上述目的，本发明的第一方面提供一种深度包检测规则库生成方法，所述方法包括：

接收数据包并识别所述数据包所属的数据流；

判断所述数据包是否与规则库中的规则匹配；

当所述数据包与所述规则库中的规则不匹配时，提取所述数据包的特征码；

根据所述特征码生成规则；

根据生成的规则及所述数据流中的其他数据包判断生成的规则是否有效；

当确定生成的规则有效时，更新所述规则库。

根据本发明的一个可选实施例，所述根据生成的规则及所述数据流中的其他数据包判断生成的规则是否有效包括：

在下一轮DPI检测中，使用生成的规则匹配所述数据流中的其它数据包并计算匹配通过率；

判断所述匹配通过率是否大于预设匹配率阈值；

当所述匹配通过率大于或者等于所述预设匹配率阈值时，确定生成的规则有效；

当所述匹配通过率小于所述预设匹配率阈值时，确定生成的规则无效。

根据本发明的一个可选实施例，所述当确定生成的规则有效时，更新所述规则库包括：

上报有效的规则及对应的匹配通过率至服务器；

接收所述服务器根据所有的匹配通过率生成的最终规则库；

更新所述规则库为所述最终规则库。

根据本发明的一个可选实施例，提取所述数据包的特征码包括：

提取所述数据包在每层协议的头部信息；

获取每个所述头部信息中的多个目标信息；

连接所述多个目标信息得到特征码。

根据本发明的一个可选实施例，所述提取所述数据包在每层协议的头部信息包括：提取所述数据包在应用层协议的有效载荷；则所述获取每个所述头部信息中的多个目标信息包括：获取所述有效载荷中的命令码作为目标信息，或者获取所述有效载荷中的Type信息作为目标信息。