[发明专利]网络协议识别方法及装置

说明书

本发明实施例提供一种网络协议识别方法及装置。其中，方法包括：基于数据平面开发套件，从网卡获取数据包；判断数据包的传输层的协议类型，确定传输层的协议类型是TCP或UDP；若是TCP，则基于Hyperscan引擎的流模式扫描数据包，识别数据包采用的运行于TCP协议之上的协议；若是UDP，则基于Hyperscan引擎的块模式扫描数据包，识别数据包采用的运行于UDP协议之上的协议。本发明实施例提供的网络协议识别方法及装置，本发明实施例基于数据平面开发套件获取数据包，基于Hyperscan引擎的两种模式扫描数据包，能在海量数据环境下，更高效、快速地获得网络协议的识别结果。

技术领域

本发明涉及计算机网络技术领域，更具体地，涉及一种网络协议识别方法及装置。

背景技术

随着计算机网络的发展，网络的速度越来越快，网络传输的数据量也越来越大，高速网络的应用更加广泛。

传统的网络协议识别方法基于深度包解析方式，需要对数据进行重组后才能识别。在网络传输的数据量越来越大的情况下，传统的网络协议识别方法的识别速度较慢、效率较低，无法适应海量数据环境。

发明内容

本发明实施例提供一种网络协议识别方法及装置，用以解决或者至少部分地解决现有技术存在的在海量数据环境下识别速度慢、效率低的缺陷。

第一方面，本发明实施例提供一种网络协议识别方法，包括：

基于数据平面开发套件，从网卡获取数据包；

判断所述数据包的传输层的协议类型，确定传输层的协议类型是TCP或UDP；

若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议；若是UDP，则基于Hyperscan引擎的块模式扫描所述数据包，识别所述数据包采用的运行于UDP协议之上的协议。

优选地，所述确定传输层的协议类型是TCP或UDP，与所述若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议之间，还包括：

将所述数据包重整为有序数据。

优选地，所述若是TCP，则基于Hyperscan引擎的流模式扫描所述数据包，识别所述数据包采用的运行于TCP协议之上的协议的具体步骤包括：

基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的TCP协议，作为所述数据包采用的运行于TCP协议之上的协议。

优选地，所述若是UDP，则基于Hyperscan引擎的块模式扫描所述数据包，识别所述数据包采用的运行于UDP协议之上的协议的具体步骤包括：

基于Hyperscan引擎的块模式和预先获取的块模式协议识别规则扫描所述数据包，获取所述数据包对应的识别规则；

确定所述识别规则对应的UDP协议，作为所述数据包采用的运行于UDP协议之上的协议。

优选地，所述基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包的具体步骤包括：

若判断获知数据包不是HTTP数据，则基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包。

优选地，所述基于Hyperscan引擎的流模式和预先获取的流模式协议识别规则扫描重整后的所述数据包的具体步骤包括：