[发明专利]DPI应用测试报文的处理方法及装置

说明书

公开涉及一种DPI应用测试报文的处理方法、装置、电子设备及计算机可读介质。该方法包括：提取报文数据的应用标识和报文过滤规则；将所述报文数据所述报文过滤规则进行比对；在所述报文数据为已识别报文时，将所述报文数据过滤掉；在所述报文数据为未识别报文时，更新所述应用标识对应的报文过滤规则；在所述报文数据为误报报文时，生成警示信息。本公开涉及的DPI应用测试报文的处理方法、装置、电子设备及计算机可读介质，能够减少抓包过程的由于无意义流量带来的资源损耗，自动筛选无需人工查看的数据流，还能够对流量数据的特征进行自动分析整理，在测试应用程序识别过程中节省了时间，提高工作效率。

技术领域

本公开涉及计算机信息处理领域，具体而言，涉及一种DPI应用测试报文的处理方法、装置、电子设备及计算机可读介质。

背景技术

随着信息技术行业的发展，对网络设备的管理需求也日益加大。网关设备通过深度包检测技术(DPI)实现访问应用的识别、阻断等功能，为客户提供全面、准确的访问控制管理功能。DPI技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

然而现在应用程序本身经常进行更新换代或者升级，这些操作导致了应用程序报文特征变化，为了保证包含有深度包检测技术的应用程序(简称DPI应用)的正确裕兴，需要定期对DPI应用进行人工测试和更新，以保证其内部的深度包检测技术的正确运行。

但是，DPI应用需要测试大量的应用程序，面对海量的应用程序，对DPI应用程序本身的测试工作也显得庞大而繁琐。目前，在测试DPI应用是否能够准确的识别流量数据中的应用程序特征时，通常步骤如下：网关设备开启，测试人员每次设置的测试目标为少量应用，网关设备抓取流量数据中的报文包，并进行分析识别。反复进行测试，直至所有应用都被测试完毕为止。在全部测试结束后提取网关日志。当日志中包含大量报文未识别/误报时，人工手动筛选未识别/误报报文，并分析其特征。该方法中报文处理需要人工进行，且报文内容较多，夹杂部分无意义数据流，分析效率低下。

因此，需要一种新的DPI应用测试报文的处理方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

有鉴于此，本公开提供一种DPI应用测试报文的处理方法、装置、电子设备及计算机可读介质，能够减少抓包过程的由于无意义流量带来的资源损耗，自动筛选无需人工查看的数据流，还能够对流量数据的特征进行自动分析整理，在测试应用程序识别过程中节省了时间，提高工作效率。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一方面，提出一种DPI应用测试报文的处理方法，该方法包括：提取报文数据的应用标识和报文过滤规则；将所述报文数据所述报文过滤规则进行比对；在所述报文数据为已识别报文时，将所述报文数据过滤掉；在所述报文数据为未识别报文时，更新所述应用标识对应的报文过滤规则；在所述报文数据为误报报文时，生成警示信息。

在本公开的一种示例性实施例中，提取报文数据的应用标识和报文过滤规则之前，包括：基于抓包工具由流量数据中提取报文数据的应用标识和报文过滤规则；过滤掉不包含TCP三次握手的报文数据。

在本公开的一种示例性实施例中，过滤掉不包含TCP三次握手的报文数据，包括：提取所述报文数据中的TCP连接信息；在所述TCP连接信息为已存在连接时，放行所述TCP协议数据对应的报文数据；在所述TCP连接信息为新连接时，在所述TCP连接信息对应的报文数据中不包含TCP三次握手报文时，丢弃所述报文数据。