CN101873259A - Sctp报文识别方法和装置 - Google Patents
Sctp报文识别方法和装置 Download PDFInfo
- Publication number
- CN101873259A CN101873259A CN201010193624A CN201010193624A CN101873259A CN 101873259 A CN101873259 A CN 101873259A CN 201010193624 A CN201010193624 A CN 201010193624A CN 201010193624 A CN201010193624 A CN 201010193624A CN 101873259 A CN101873259 A CN 101873259A
- Authority
- CN
- China
- Prior art keywords
- sctp
- tuple
- message
- packet
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 title claims abstract description 12
- 230000008878 coupling Effects 0.000 claims abstract description 78
- 238000010168 coupling process Methods 0.000 claims abstract description 78
- 238000005859 coupling reaction Methods 0.000 claims abstract description 78
- 238000012795 verification Methods 0.000 claims abstract description 75
- 238000012790 confirmation Methods 0.000 claims description 17
- 238000012423 maintenance Methods 0.000 claims description 16
- 230000032683 aging Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 230000003993 interaction Effects 0.000 description 25
- 238000010586 diagram Methods 0.000 description 10
- 238000010200 validation analysis Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/61—Network streaming of media packets for supporting one-way streaming services, e.g. Internet radio
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种SCTP报文识别方法,包括:获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址、目的IP地址和验证标签中的至少一项信息;将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,SCTP元组识别表包括SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息;如果匹配成功,得到SCTP报文所属的SCTP偶联。相应地,本发明实施例还公开了一种SCTP报文识别装置和系统以及建立SCTP元组识别表的方法,能减少SCTP流漏识别的情况。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种SCTP报文识别方法和装置。
背景技术
SCTP(Stream Control Transmission Protocol,流控制传输协议),是在IP网络上使用的一种可靠的通用传输层协议。该协议最初是为发送电信信令而设计的,具有支持多归属、多流、初始化保护、消息分帧、可配置的无序发送、平滑关闭等特性,有很高的可靠性和安全性。基于此原因,很多主流操作系统(如:Linux、BSD、Solaris等)也开始支持SCTP,所以现在网络上的使用该协议进行传输的业务逐渐增多。
现有技术中使用五元组(源IP、目的IP、源Port、目的Port、传输层协议)来识别一个TCP/UDP报文,该数据流需要保存的信息和该五元组进行关联,数据流的后续报文使用五元组索引数据流保存的信息
但是,由于SCTP支持多归属的特性,SCTP的同一个偶联可能使用几个不同的五元组进行交互。由于偶联中的五元组有多个,如果识别TCP/UDP报文的五元组来识别SCTP偶联,只能识别出偶联中一个或少数几个五元组,使用偶联中其他五元组进行通信的报文则识别不出来,这样会造成大量的漏识别。
发明内容
本发明实施例提供一种SCTP报文识别方法和装置,以减少现有技术中SCTP流漏识别的情况。
本发明实施例提供一种流控制传输协议SCTP报文识别方法,包括:
获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址目的IP地址和验证标签中的至少一项信息;
将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息;
如果匹配成功,得到所述SCTP报文所属的SCTP偶联。
本发明实施例提供一种SCTP报文识别装置,包括:
第一获取模块,用于获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址、目的IP地址和验证标签中的至少一项信息;
匹配模块,用于将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、源端口号、目的IP地址集、目的端口号、验证标签中的至少一项信息;
第二获取模块,用于所述匹配模块匹配成功时,得到所述SCTP报文所属的SCTP偶联。
本发明实施例提供一种建立SCTP元组识别表的方法,
获得SCTP偶联的SCTP握手消息,所述SCTP握手消息包括初始化消息报文和与所述初始化消息报文对应的初始化确认消息报文;
从所述初始化消息报文和所述初始化确认消息报文对中获得所述SCTP偶联的SCTP特征集元组,所述SCTP特征集元组包括源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签中的至少一项信息;
建立所述特征集元组和SCTP偶联的关联关系。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1本发明实施例提供一种SCTP报文识别方法流程图;
图2本发明实施例提供一种SCTP报文识别方法流程图;
图3本发明实施例提供一种SCTP报文识别方法流程图;
图4本发明实施例提供一种SCTP元组识别表结构示意图;
图5本发明实施例提供一种SCTP报文识别装置结构图;
图6本发明实施例提供一种SCTP报文识别装置结构图;
图7本发明实施例提供一种解析添加模块结构图;
图8本发明实施例提供一种解析添加模块结构图;
图9本发明实施例提供一种SCTP报文识别装置结构图;
图10本发明实施例提供一种维护模块结构图;
图11本发明实施例提供一种SCTP报文识别系统结构图;
图12本发明实施例提供一种SCTP元组识别表结构示意图;
图13本发明实施例提供一种建立SCTP元组识别表的方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供一种SCTP报文识别方法,包括:
S101,获取接收到的SCTP报文的特征元组;
在一个实施例中,SCTP报文的特征元组包括:SCTP报文中的源IP地址、目的IP地址和验证标签(Verification Tag)中的至少一项信息。在另一个实施例中,该SCTP报文的特征元组还可以包括源端口号或者目的端口号。在另一个实施例中,该SCTP报文的特征元组还可以包括源端口号和目的端口号。
在一个实施例中,如果SCTP报文是源端发送到目的端的,那么验证标签为源端到目的端的验证标签。
在一个实施例中,如果SCTP报文是目的端发送到源端的,那么验证标签为目的端到源端的验证标签。
S102,将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系;
需要说明的是,在一个实施例中,SCTP元组识别表还可以包括关联关系,该关联关系用于指向属于同一偶联的特征集元组的记录。
需要说明的是,在一个实施例中,在SCTP元组识别表中,上述SCTP偶联用偶联标识或者应用标识进行标记,偶联标识用于标记所述SCTP偶联的序号,应用标识用于标记所述SCTP偶联所承载的应用类型。
在一个实施例中,上述SCTP元组识别表中的特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息。在另一个实施例中,上述特征集元组还可以包括源端口号和目的端口号。
需要说明的是,在本实施例以及本发明其它实施例中,源IP地址集包括该SCTP偶联中源端所有可用的IP地址,目的IP地址集包括该SCTP偶联中目的端所有可用的IP地址。验证标签(Verification Tag)专用于建立偶联,SCTP两侧端点在建立偶联时会交换验证标签,验证标签的值在SCTP握手时第一次交换时确定,并且在以后的交互中保持不变。
在一个实施例中,在进行匹配时,可以将获取的特征元组作为键(key)值,采用哈希(hash)查找的方法与SCTP元组识别表进行匹配。hash查找的方法作为一个具体的查找方式具有迅速查找的优势,能提高匹配速度。可以理解的是hash查找的方法并不是匹配的唯一实现方式,故hash查找的方式作为一个举例不应理解为对本发明实施例的限定。
如图4所示,本发明一个实施例提供一种SCTP元组识别表的结构示意图。根据图4,该SCTP元组识别表包括验证标签(V_tag)、端口(Port)、应用标识(Application),IP列表(IP List)和关联关系(Relation)。本发明实施例中将SCTP元组识别表中每一个SCTP元组识别表的表项称为一个记录。如图4中,SCTP表的每一个表项(记录)包括括验证标签、端口、应用,IP列表和关联关系。在图4中,V_tag用于标识SCTP报文。IP列表通过一个指针来标识一个IP地址集,这个IP地址集可以是源IP地址集或者目的IP地址集。
在本实施例中,在图4所示的SCTP元组识别表中,SCTP报文的特征集元组和SCTP偶联的对应关系通过关联关系来表示。在表4中关联关系用于将属于同一偶联的特征集元组的记录关联,也就是说关联关系将两个记录关联起来,标识这两个记录同一个SCTP偶联。
在图4中,本实施例是用应用标识来标记一个SCTP偶联,通过应用标识能获得偶该联所承载的应用类型。当然在另一个实施例中,也可以将应用标识替换为偶联标识来标记这个SCTP偶联,通过偶联标识能获得SCTP偶联的序号,这时在一个实施例中,可以再增加一个应用标识的信息表项,来标识这个SCTP偶联所承载的应用。
当然,在另一个实施例中,也可以不使用指针,而直接将IP地址集放在IP列表项中。在另一个实施例中,还可以将两个具有关联关系的记录合并为一个记录,如图12所示,在图12中,SCTP元组识别表的每一个记录包括了源IP地址集、目的IP地址集、源端口号、目的端口号、和验证标签(对于图12来说,在一个实施例中,也可以叫做验证标签对,即图12中的源端到目的端的验证标签和目的端到源端的验证标签)。在图12中,每一个记录就代表一个偶联的信息。图4和图12仅仅是作为本发明实施例一个SCTP元组识别表的举例,本发明实施例不对SCTP元组识别表进行特别的限定。
在一个实施例中,验证标签为源端到目的端和/或目的端到源端的验证标签。例如,当采用图4所示的SCTP元组识别表的结构时,表中一个记录的验证标签可以为源端到目的端的验证标签,也可以为目的端到源端的验证标签。当采用图12所述的SCTP元组识别表的结构时,表中一个记录的验证标签为源端到目的端的验证标签和目的端到源端的验证标签。
为了更为直观的说明两个记录的关联关系,在图4中将属于同一个SCTP偶联的记录用箭头连接示出。如图4所示,V_tag为1254932544的SCTP报文与V_tag为8941172325的SCTP报文属于同一个SCTP偶联。V_tag为1254932544的SCTP报文对应的记录中的IP列表通过一个指针来标识源IP地址集,V_tag为8941172325的SCTP报文对应的记录中的IP列表通过一个指针来标识目的IP地址集。
当接收到新的SCTP报文时,可以通过解析次SCTP报文获得此SCTP报文的特征元组。例如,在一个实施例中,通过解析接收到的新的SCTP报文得到此SCTP报文的源IP地址为10.70.145.28,此时可以将得到的源IP地址与图4中的SCTP元组识别表进行匹配,得到该SCTP报文所属的SCTP偶联。
S 103,如果匹配成功,得到所述SCTP报文所属的SCTP偶联。
在一个实施例中,如果上述SCTP报文的特征元组和SCTP元组识别表匹配成功,则说明该SCTP报文是属于SCTP元组识别表中已有的SCTP偶联,所以可以通过SCTP元组识别表中的SCTP报文的特征集元组和SCTP偶联的对应关系,获取该SCTP报文所属的SCTP偶联,即获取该SCTP报文所属的SCTP数据流。进一步,还可以通过SCTP元组识别表中的应用标识,获取该SCTP报文所属的SCTP偶联所承载的应用。由于一个SCTP偶联对应一个应用,所以当根据本实施例提供的方法识别出一个SCTP报文所属的偶联后,后续属于这个SCTP偶联的报文就都承载相同的应用。
例如,在一个实施例中,将IP地址为10.70.145.28的SCTP报文的IP地址与图4中的SCTP元组识别表进行匹配,可以得到此SCTP报文对应的记录和与其具有关联关系的记录(在图4中为V_tag为8941172325的SCTP报文对应的记录),从而确定此SCTP报文所属的SCTP偶联。进一步通过应用标识,来得到该SCTP所属的偶联所承载的应用,后续如果识别出属于这个SCTP偶联的其它报文,直接可以得知这些其它报文都承载HTTP应用。
例如,根据图4,该IP地址为10.70.145.28的SCTP报文所属的SCTP偶联所承载的应用为HTTP应用,在一个实施例中,IP地址为10.25.202.183的报文经过匹配,发现该报文对应的记录和上述IP地址为10.70.145.28的SCTP报文对应的记录具有关联关系,属于同一个SCTP偶联,对应的应用为HTTP应用。
需要说明的是,图4仅仅是本发明实施例一个元组识别表的举例,图4所示的SCTP元组识别表只是提供了元组识别表实现的一种典型方式,不是唯一的,可以在此表的基础上进行优化和完善。例如,在一个实施例中,如果不考虑误识别、漏识别、不需要获取对应的应用等因素,也可以只使用验证标签和关联关系来组织元组识别表。
或者,在另一个实施例中也可以只使用IP列表和关联关系来组织元组识别表。由于SCTP元组识别表是预先设置的,所以此时就需要根据元组识别表中的记录来相应的提取SCTP报文的特征元组。例如,如果SCTP元组识别表只使用验证标签和关联关系来设定,那么就需要提取接收到的SCTP报文的验证标签;如果,SCTP元组识别表只使用IP列表和关联关系来设定,那么就需要提取接收到的SCTP报文的源IP地址或者目的IP地址。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。
如图2所示,本发明实施例提供一种SCTP报文识别方法,包括:
S110,判断接收到的报文的传输协议类型;
在一个实施例中,可以通过判断接收到的报文的传输层协议的类型,来判断接收到的报文是否是SCTP报文。如果传输层协议的类型是TCP/UDP协议,则接收的报文是普通的报文,这时可以使用普通的五元组对该报文进行识别;如果传输层协议的类型是SCTP协议,则接收到的报文是SCTP报文。
S120,若传输协议类型为SCTP协议,则接收到的报文为SCTP报文,获取该SCTP报文的特征元组;
在一个实施例中,SCTP报文的特征元组包括:SCTP报文中的源IP地址、目的IP地址和验证标签中的至少一项信息;在一个实施例中该特征元组还可以包括源端口号和目的端口号;在一个实施例中,该特征元组还可以全部包括源IP地址、目的IP地址、源端口号、目的端口号和验证标签这五项信息。
S130,将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系;
在一个实施例中,在进行匹配时,可以将获取的特征元组作为key值,采用hash查找的方法与SCTP元组识别表进行匹配。hash查找的方法作为一个具体的查找方式具有迅速查找的优势,能提高匹配速度。可以理解的是hash查找的方法并不是匹配的唯一实现方式,故hash查找的方式作为一个举例不应理解为对本发明实施例的限定。
在一个实施例中,上述特征集元组包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签中的至少一项信息。在一个实施例中,该特征集元组还可以包括源端口号和目的端口号;在一个实施例中,该特征集元组还可以全部包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签这五项信息。关于验证标签具体类型,在前述实施例中已经详细描述,在此不再赘述。
S140,如果匹配成功,得到所述SCTP报文所属的SCTP偶联。
在一个实施例中,进一步,还可以通过SCTP元组识别表中的应用标识,获取该SCTP报文所属的SCTP偶联所承载的应用。
S150,如果匹配不成功,解析本次SCTP握手消息得到新的具有关联关系的特征集元组,将上述特征集元组作为新的记录添加到所述SCTP元组识别表中。
在一个实施例中,如果匹配不成功,说明该SCTP报文是SCTP建立新连接的握手消息,属于一个新的SCTP数据流,需要添加新的记录以标识此新的SCTP数据流。
在一个实施例中,S150可以包括:
S1501,获得SCTP的握手消息,所述握手消息包括属于同一新的SCTP偶联的INIT(初始化消息)和INIT ACK(初始化确认消息)报文;
在一个实施例中可以通过INIT报文中的IP列表获得属于同一SCTP偶联握手消息对应的INITACK报文,从而获得SCTP的握手消息。具体地,在一个实施例中,可以解析INIT报文的IP列表,来获取INIT ACK报文的目的IP,如果该目的IP在INIT报文的IP列表中,则可以确认INIT ACK报文和INIT报文是属于同一个SCTP偶联。
S1502,从该握手消息中的INIT报文解析,得到该INIT报文的特征元组,从该握手消息中INIT ACK报文解析得到该INIT ACK报文的特征元组;
S1503,根据解析得到的INIT报文和INIT ACK报文的特征元组,得到本次SCTP握手消息对应的新的SCTP偶联的源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签;
S1504,将S1503中得到的源端数据和目的端数据进行关联,作为本次SCTP握手消息对应的新的SCTP偶联的记录;
S1505,将上述新的SCTP偶联的记录添加到SCTP元组识别表中。
在另一个实施例中,S150可以包括:
S1511,获得SCTP的握手消息,所述握手消息包括属于同一新的SCTP偶联的INIT和INIT ACK消息;
S1512,解析INIT报文,将解析到的信息作为一个记录添加到元组识别表,上述解析到的信息包括INIT报文的IP地址集、端口和验证标签中的至少一项信息;
将解析INIT报文得到的信息作为一个记录添加到元组识别表后,此记录在SCTP元组识别表中并没有具有关联关系的记录,所以需要进行步骤S1513。
S1513,解析INITACK报文,获取该报文的IP地址集、端口和验证标签;
S1514,解析SCTP报文的公共分组头中的验证标签,利用上述公共分组头中的验证标签匹配元组识别表,匹配到的记录为S1512中INIT报文对应的记录;
S1515,将S1513中解析到的信息作为另一个记录添加到元组识别表,建立和S1514中匹配到的记录的关联关系。
由上述内容可知,在上述两个实施例中标识新的SCTP数据流,可以解析此次SCTP握手消息中的INIT和INIT ACK报文。在本发明的另一个实施例中,在S150中将新的记录添加到元组识别表中时,也可以只解析INIT ACK报文,INIT ACK报文中携带了源端和目的端的验证标签和端口信息。通过解析INIT ACK报文获取两端的验证标签和端口信息,就将解析得到的两端的信息关联起来作为一个偶联的两个记录添加到元组识别表中。
如图13所示,本发明实施例提供一种建立SCTP元组识别表的方法,包括:
S401,获得SCTP偶联的SCTP握手消息,所述SCTP握手消息包括初始化消息(INIT)报文和与所述初始化消息报文对应的初始化确认消息(INITACK)报文;
S402,从INIT报文和INIT ACK报文对中获得SCTP特征集元组,SCTP特征集元组包括源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签中的至少一项信息;
具体地,在一个实施例中,S402可以包括:
S4021,解析INIT ACK报文,得到此SCTP偶联的源IP地址集、目的IP地址、源端口号、目的端口号和源端到目的端的验证标签;
S4022,解析INITACK报文,得到此SCTP偶联的目的IP地址集、源IP地址、源端口号、目的端口号和目的端到源端的验证标签;
S4023,根据解析上述INIT报文和INIT ACK得到的信息,获得所述SCTP偶联特征集元组。
S403,建立所述特征集元组和SCTP偶联的关联关系。
在一个实施例中,S403可以包括:
将S402中得到的源端数据和目的端数据进行关联,作为本次SCTP握手消息对应的新的SCTP偶联的记录。
在一个实施例中,S403可以包括:
S4031,将S4021解析得到的信息作为一个记录添加到元组识别表;
S4032,解析SCTP偶联中SCTP报文的公共分组头中的验证标签,利用上述公共分组头中的验证标签匹配元组识别表,匹配到的记录为S4031中INIT报文对应的记录;
S4033,将S4022中解析到的信息作为另一个记录添加到元组识别表,建立和S4032中匹配到的记录的关联关系。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。并且解析和元组识别表匹配不成功的报文,将解析到的结果作为记录更新到元组识别表中,方便后续属于同一个SCTP偶联的报文的识别。
如图3所示,在基于图2对应的实施例的基础上,本发明实施例提供的SCTP数据流的识别方法还可以包括:
S160,在匹配不成功时,识别该SCTP报文所属的SCTP偶联所承载的应用类型;
在一个实施例中,可以使用业务识别技术(例如,DPI(Deep PacketInspection)深度包检测)技术)识别SCTP数据流,即SCTP偶联所承载的应用类型。
S170,用应用标识标记所述新的记录,该应用标识和上述应用类型相对应。
在一个实施例中,将识别出的应用类型和对应的偶联关联,并标识到SCTP元组识别表中的对应记录,便于该SCTP数据流的后续报文可以通过SCTP元组识别表直接查找到对应的表项,进一步可以获取该SCTP所承载的业务。
S180,按照预定的周期对上述元组识别表进行老化处理,删除上述元组识别表中不再使用的记录。
在一个实施例中,可以解析收到的SCTP报文,如果是STCP关闭报文(如,SHUTDOWN、SHUTDOWN ACK或ABORT),则从上述元组识别表中删除相应的记录;
在一个实施例中,可以定期检查元组识别表中记录相应表项匹配成功的计数,如果相应表项的计数没有增加,在元组识别表中删除该记录。
在一个实施例中,可以定期检查元组识别表中记录相应表项匹配成功的时间的时间戳,删除时间戳超过预置老化时间的记录。
需要说明的是,在一个实施例中,在预先建立SCTP元组识别表时,采用的方法与步骤S1501~S1504或者S1511~S1515类似,在此不再赘述。在另一个实施例中,在预先建立SCTP元组识别表时,还可以进一步的采用步骤S160~S170中的方法,识别出一个SCTP偶联所对应的应用,并利用对应的应用标识来标记此SCTP偶联,在此不再赘述。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。并且解析和元组识别表匹配不成功的报文,将解析到的结果作为记录更新到元组识别表中,方便后续属于同一个SCTP偶联的报文的识别。进一步,通过业务识别技术识别新的SCTP偶联所承载的应用,方便后续对所属同一个SCTP偶联的SCTP报文所承载的应用的识别,而且通过对元组识别表进行老化维护,及时删除元组识别表中不再使用的记录,提高了识别效率。
如图5所示,本发明实施例提供一种SCTP报文识别装置,包括:
第一获取模块210,用于获取接收到的SCTP报文的特征元组;
在一个实施例中,SCTP报文的特征元组包括:SCTP报文中的源IP地址、目的IP地址和验证标签中的至少一项信息;在一个实施例中,该特征元组还可以包括源端口号和目的端口号;在一个实施例中,该特征集元组还可以全部包括源IP地址、目的IP地址、源端口号、目的端口号和验证标签这五项信息。
匹配模块220,用于将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,上述SCTP元组识别表包括上述SCTP报文的特征集元组和SCTP偶联的对应关系;
在一个实施例中,上述特征集元组包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签中的至少一项信息。在一个实施例中,该特征集元组还可以包括源端口号和目的端口号;在一个实施例中,该特征集元组还可以全部包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签这五项信息。
第二获取模块230,用于在匹配模块220匹配成功时,得到所述SCTP报文所属的SCTP偶联。
在一个实施例中,如果上述SCTP报文的特征元组和SCTP元组识别表匹配成功,则说明该SCTP报文是属于SCTP元组识别表中已有的SCTP偶联,所以第二获取模块230可以通过SCTP元组识别表中的SCTP报文的特征集元组和SCTP偶联的对应关系,获取该SCTP报文所属的SCTP偶联,即获取该SCTP报文所属的SCTP数据流。
如图5中的虚线框所示,在一个实施例中,该装置还包括:
第三获取模块231,用于根据上述SCTP报文所属的SCTP偶联对应的应用标识,获取该SCTP报文所属的SCTP偶联所承载的应用。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。进一步地,还可以通过SCTP元组识别表中的业务标识,获取接收到的SCTP报文所承载的应用。
如图6所示,在一个实施例中,该装置还可以包括:
解析添加模块240,用于在匹配模块220匹配不成功时,解析此次SCTP握手消息得到新的具有关联关系的特征集元组,将所述特征集元组作为新的记录添加到所述SCTP元组识别表中;
应用识别模块250,用于在匹配模块220匹配不成功时,识别该SCTP报文所属的SCTP数据流所承载的应用类型;
在一个实施例中,可以使用DPI技术识别SCTP数据流所承载的应用类型。
业务添加模块260,用于用应用标识标记所述新的记录,所述应用标识和所述应用类型相对应。
如图7所示,在一个实施例中,解析添加模块240可以包括:
消息获取单元2401,用于获得SCTP的握手消息,所述握手消息包括属于同一新的SCTP偶联的INIT和INIT ACK消息;
在一个实施例中,消息获取单元2401可以通过INIT消息中的IP列表获得属于同一SCTP偶联握手消息对应的INIT ACK,从而获得SCTP的握手消息。
第一解析单元2402,用于从上述握手消息中的INIT报文解析得到该INIT报文的特征元组;
第二解析单元2403,用于从握手消息中INIT ACK报文解析得到该INITACK报文的特征元组;
获取单元2404,用于根据解析得到的INIT报文和INIT ACK报文的特征元组,得到本次SCTP握手消息对应的新的SCTP偶联的源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签;
关联单元2405,用于将获取单元2404中得到的源端数据和目的端数据进行关联,作为上述新的SCTP偶联的记录;
添加单元2406,用于将上述具有关联关系的记录添加到SCTP元组识别表中。
如图8所示,在另一个实施例中,解析添加模块240可以包括:
消息获取单元2401,用于获得SCTP的握手消息,所述握手消息包括属于同一新的SCTP偶联的INIT和INIT ACK消息;
第三解析单元241,用于解析INIT报文,将解析到的信息作为一个记录添加到元组识别表中,所述解析到的信息包括所述初始化消息报文的IP地址集、端口和验证标签中的至少一项信息;
第四解析单元242,用于解析INITACK报文,获取该报文的IP地址集、端口和验证标签;
解析匹配单元243,用于解析SCTP报文的公共分组头中的验证标签,利用上述公共分组头中的验证标签匹配元组识别表,匹配到的记录为第一解析单元241中INIT报文对应的记录;
关联建立单元244,用于将第二解析单元242中解析到的信息作为另一个记录添加到元组识别表,建立和解析匹配单元243中匹配到的记录的关联关系。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。并且解析和元组识别表匹配不成功的报文,将解析到的结果作为记录更新到元组识别表中,方便后续属于同一个SCTP偶联的报文的识别。进一步,通过业务识别技术识别新的SCTP偶联所承载的应用,方便后续对属于同一个SCTP偶联的SCTP报文所承载的应用的识别。
如图9所示,在另一个实施例中,该装置还可以包括:
维护模块270,用于按照预定的周期对上述元组识别表进行老化处理,删除上述元组识别表中不再使用的记录。
如图10所示,在一个实施例中,所述维护模块270包括:
第一维护单元271,用于解析收到的SCTP报文,如果是STCP关闭报文(SHUTDOWN、SHUTDOWN ACK或ABORT),则从上述元组识别表中删除相应的记录;或者,
第二维护单元272,用于定期检查元组识别表中记录相应记录匹配成功的计数,如果相应记录的计数没有增加,在元组识别表中删除该记录,即,删除计数没有增加的相应的记录;或者,
第三维护单元273,用于定期检查元组识别表中记录相应记录匹配成功的时间的时间戳,删除时间戳超过预置老化时间的记录。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。并且解析和元组识别表匹配不成功的报文,将解析到的结果作为记录更新到元组识别表中,方便后续属于同一个SCTP偶联的报文的识别。进一步,通过业务识别技术识别新的SCTP偶联所承载的应用,方便后续对属于同一个SCTP偶联的SCTP报文所承载的应用的识别,而且通过对元组识别表进行老化维护,及时删除元组识别表中不再使用的记录,提高了识别效率。
如图11所示,本发明实施例提供一种SCTP报文识别系统,包括:
接收装置10,用于接收报文;
SCTP报文识别装置20,用于接收装置10接受到SCTP报文时,获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址、目的IP地址和验证标签中的至少一项信息;将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息;如果匹配成功,得到所述SCTP报文所属的SCTP偶联。
在一个实施例中,该特征元组还可以包括源端口号和目的端口号;在一个实施例中,该特征元组还可以全部包括源IP地址、目的IP地址、源端口号、目的端口号和验证标签这五项信息。
在一个实施例中,该特征集元组还可以包括源端口号和目的端口号;在一个实施例中,该特征集元组还可以全部包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签这五项信息。
SCTP报文识别装置20的结构和功能如上述装置实施例所述,在此不再赘述。
本发明实施例通过以上技术方案,针对SCTP支持多归属的特点,利用包包括所述SCTP报文的特征集元组和SCTP偶联的对应关系的SCTP元组识别表进行SCTP报文的识别,由于该SCTP特征集元组包括源IP地址集、目的IP地址集或者验证标签,包括了一个SCTP偶联中所有的交互。当SCTP报文的特征元组,如源IP地址、目的IP地址或者SCTP标签和上述特征集元组匹配成功时,就可以得到SCTP报文所属的SCTP偶联。与传统五元组识别SCTP数据流时存在的不能完整识别同一个偶联中所有交互的相比,在SCTP偶联中发生使用五元组切换后,本实施例中的方案根据IP地址集或者验证标签的匹配结果,仍能正确的识别出该交互的报文所属的SCTP偶联,减少了漏识别的情况。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
Claims (18)
1.一种流控制传输协议SCTP报文识别方法,其特征在于,包括:
获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址、目的IP地址和验证标签中的至少一项信息;
将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息;
如果匹配成功,得到所述SCTP报文所属的SCTP偶联。
2.如权利要求1所述的SCTP报文识别方法,其特征在于,所述验证标签包括:
源端到目的端的验证标签和/或目的端到源端的验证标签。
3.如权利要求1所述的SCTP报文识别方法,其特征在于,所述特征元组还包括源端口或目的端口;所述特征集元组还包括源端口号和目的端口号。
4.如权利要求3所述的SCTP报文识别方法,其特征在于,所述SCTP元组识别表还包括:
关联关系,所述关联关系用于将属于同一偶联的特征集元组的记录关联。
5.如权利要求1所述的SCTP报文识别方法,其特征在于,所述SCTP偶联用偶联标识或者应用标识进行标记,所述偶联标识用于标记所述SCTP偶联的序号,所述应用标识用于标记所述SCTP偶联所承载的应用类型。
6.如权利要求4所述的SCTP报文识别方法,其特征在于,还包括:
如果匹配不成功,解析本次SCTP握手消息得到新的具有关联关系的特征集元组,将所述特征集元组作为新的记录添加到所述SCTP元组识别表中;
识别所述SCTP报文所属的SCTP偶联所承载的应用类型;
用应用标识标记所述新的记录,所述应用标识和所述应用类型相对应。
7.如权利要求1或6所述的SCTP报文识别方法,其特征在于,还包括:
按照预定的周期对所述SCTP元组识别表进行老化处理,删除所述SCTP元组识别表中不再使用的记录;所述按照预定的周期对所述SCTP元组识别表进行老化处理,删除所述元组识别表中不再使用的记录,包括:
解析收到的SCTP报文,如果是STCP关闭报文,则从所述元组识别表中删除所述SCTP报文对应的记录;或者,
定期检查所述元组识别表中记录相应记录匹配成功的计数,删除计数没有增加的相应的记录;或者,
定期检查元组识别表中记录相应表项匹配成功的时间的时间戳,删除时间戳超过预置老化时间的记录。
8.如权利要求6所述的SCTP报文识别方法,其特征在于,所述解析本次SCTP握手消息得到新的具有关联关系的特征集元组,将所述特征集元组作为新的记录添加到所述SCTP元组识别表中,包括:
解析本次SCTP握手消息中的初始化消息报文,得到所述初始化消息报文的特征元组;
解析本次SCTP握手消息中的初始化确认消息报文,得到所述初始化确认消息报文的特征元组;
根据解析得到的初始化消息报文和初始化确认消息报文的特征元组,得到本次SCTP握手消息对应的新的SCTP偶联的源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签;
将本次SCTP握手消息对应的新的SCTP偶联的源端数据和目的端数据进行关联,作为所述新的SCTP偶联的记录;
将所述新的SCTP偶联的记录添加到所述SCTP元组识别表中。
9.如权利要求6所述的SCTP报文识别方法,其特征在于,所述解析本次SCTP握手消息得到新的具有关联关系的特征集元组,将所述特征集元组作为新的记录添加到所述SCTP元组识别表中,包括:
解析所述本次SCTP握手消息的初始化消息报文,将解析到的信息作为一个记录添加到所述元组识别表中,所述解析到的信息包括所述初始化消息报文的IP地址集、端口和验证标签中的至少一项信息;
解析所述本次SCTP握手消息的初始化确认消息报文,获取所述初始化消息报文的IP地址集、端口和验证标签;
解析所述SCTP报文的公共分组头中的验证标签,利用所述公共分组头中的验证标签和所述SCTP元组识别表进行匹配,匹配到的记录为所述初始化消息报文对应的记录;
将解析所述本次SCTP握手消息的初始化确认消息报文得到的IP地址集、端口和验证标签作为另一个记录添加到所述SCTP元组识别表,建立和所述初始化消息报文对应的记录的关联关系。
10.一种SCTP报文识别装置,其特征在于,包括:
第一获取模块,用于获取接收到的SCTP报文的特征元组,所述特征元组包括源IP地址、目的IP地址和验证标签中的至少一项信息;
匹配模块,用于将获取的SCTP报文的特征元组和预先设定的SCTP元组识别表进行匹配,所述SCTP元组识别表包括所述SCTP报文的特征集元组和SCTP偶联的对应关系,所述特征集元组包括源IP地址集、目的IP地址集和验证标签中的至少一项信息;
第二获取模块,用于所述匹配模块匹配成功时,得到所述SCTP报文所属的SCTP偶联。
11.如权利要求10所述的SCTP报文识别方法,其特征在于,所述特征元组还包括源端口或目的端口;所述特征集元组还包括源端口号或目的端口号。
12.如权利要求11所述的SCTP报文识别装置,其特征在于,所述装置还包括:
解析添加模块,用于所述匹配模块匹配不成功时,解析本次SCTP握手消息得到新的具有关联关系的特征集元组,将所述特征集元组作为新的记录添加到所述SCTP元组识别表中;
应用识别模块,用于识别所述SCTP报文所属的SCTP偶联所承载的应用类型;
业务添加模块,用于用应用标识标记所述新的记录,所述应用标识和所述应用类型相对应。
13.如权利要求11所述的SCTP报文识别装置,其特征在于,所述解析添加模块包括:
第一解析单元,用于解析本次SCTP握手消息中的初始化消息报文,得到所述初始化消息报文的特征元组;
第二解析单元,用于解析本次SCTP握手消息中的初始化确认消息报文,得到所述初始化确认消息报文的特征元组;
获取单元,用于根据解析得到的初始化消息报文和初始化确认消息报文的特征元组,得到本次SCTP握手消息对应的新的SCTP偶联的源IP地址集、目的IP地址集、源端口号、目的端口号、验证标签;
关联单元,用于将本次SCTP握手消息对应的新的SCTP偶联的源端数据和目的端数据进行关联,作为所述新的SCTP偶联的记录;
添加单元,将所述新的SCTP偶联的记录加到所述SCTP元组识别表中。
14.如权利要求11所述的SCTP报文识别装置,其特征在于,所述解析添加模块包括:
第三解析单元,用于解析所述本次SCTP握手消息的初始化消息报文,将解析到的信息作为一个记录添加到所述元组识别表中,所述解析到的信息包括所述初始化消息报文的IP地址集、端口和验证标签中的至少一项信息;
第四解析单元,用于解析所述本次SCTP握手消息的初始化确认消息报文,获取所述初始化消息报文的IP地址集、端口和验证标签;
解析匹配单元,用于解析所述SCTP报文的公共分组头中的验证标签,利用所述公共分组头中的验证标签和所述SCTP元组识别表进行匹配,匹配到的记录为所述初始化消息报文对应的记录;
关联建立单元,用于将解析所述本次SCTP握手消息的初始化确认消息报文得到的IP地址集、端口和验证标签作为另一个记录添加到所述SCTP元组识别表,建立和所述初始化消息报文对应的记录的关联关系。
15.如权利要求11或12所述的SCTP报文识别装置,其特征在于,所述装置还包括:
维护模块,用于按照预定的周期对所述SCTP元组识别表进行老化处理,删除所述SCTP元组识别表中不再使用的记录;所述维护模块包括第一维护单元、第二维护单元或第三维护单元;
所述第一维护单元,用于解析收到的SCTP报文,如果是STCP关闭报文,则从所述元组识别表中删除所述SCTP报文对应的记录;
所述第二维护单元,用于定期检查所述元组识别表中记录相应记录匹配成功的计数,删除计数没有增加的相应的记录;
所述第三维护单元,用于定期检查元组识别表中记录相应表项匹配成功的时间的时间戳,删除时间戳超过预置老化时间的记录。
16.一种建立SCTP元组识别表的方法,其特征在于,包括:
获得SCTP偶联的SCTP握手消息,所述SCTP握手消息包括初始化消息报文和与所述初始化消息报文对应的初始化确认消息报文;
从所述初始化消息报文和所述初始化确认消息报文对中获得所述SCTP偶联的SCTP特征集元组,所述SCTP特征集元组包括源IP地址集、目的IP地址集、源端口号、目的端口号和验证标签中的至少一项信息;
建立所述特征集元组和SCTP偶联的关联关系。
17.如权利要求16所述的建立SCTP元组识别表的方法,其特征在于,所述SCTP偶联用偶联标识或者应用标识进行标记,所述偶联标识用于标记所述SCTP偶联的序号,所述应用标识用于标记所述SCTP偶联所承载的应用类型,所述应用标识从所述SCTP偶联上初始的数据报文解析得到。
18.如权利要求16所述的建立SCTP元组识别表的方法,其特征在于,从所述初始化消息报文和所述初始化确认消息报文对中获得SCTP特征集元组包括:
解析所述初始化消息报文,得到此SCTP偶联的源IP地址集、目的IP地址、源端口号、目的端口号和源端到目的端的验证标签;
解析所述初始化确认消息报文,得到此SCTP偶联的目的IP地址集、源IP地址、源端口号、目的端口号和目的端到源端的验证标签;
根据解析所述初始化消息报文和所述初始化确认消息报文得到的信息,获得所述SCTP偶联特征集元组。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101936241A CN101873259B (zh) | 2010-06-01 | 2010-06-01 | Sctp报文识别方法和装置 |
EP10196848.5A EP2393255B1 (en) | 2010-06-01 | 2010-12-23 | Method and device for identifying an SCTP packet |
EP14168120.5A EP2768203B1 (en) | 2010-06-01 | 2010-12-23 | Method and device for identifying an sctp packet field of the invention |
ES10196848.5T ES2509515T3 (es) | 2010-06-01 | 2010-12-23 | Método y dispositivo para identificar un paquete SCTP |
US12/981,182 US8626903B2 (en) | 2010-06-01 | 2010-12-29 | Method and device for identifying an SCTP packet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010101936241A CN101873259B (zh) | 2010-06-01 | 2010-06-01 | Sctp报文识别方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101873259A true CN101873259A (zh) | 2010-10-27 |
CN101873259B CN101873259B (zh) | 2013-01-09 |
Family
ID=42997930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010101936241A Active CN101873259B (zh) | 2010-06-01 | 2010-06-01 | Sctp报文识别方法和装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8626903B2 (zh) |
EP (2) | EP2768203B1 (zh) |
CN (1) | CN101873259B (zh) |
ES (1) | ES2509515T3 (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102045393A (zh) * | 2010-12-14 | 2011-05-04 | 华为技术有限公司 | 一种带宽控制的方法、设备和系统 |
CN102118877A (zh) * | 2011-01-27 | 2011-07-06 | 大唐移动通信设备有限公司 | 一种数据的传输方法和设备 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
CN103024100A (zh) * | 2012-12-31 | 2013-04-03 | 华为技术有限公司 | 一种建立偶联的方法和域名系统服务器 |
CN103814600A (zh) * | 2013-12-06 | 2014-05-21 | 华为技术有限公司 | 一种确定端口号的方法及基站 |
CN103916294A (zh) * | 2014-04-29 | 2014-07-09 | 华为技术有限公司 | 协议类型的识别方法和装置 |
CN103995191A (zh) * | 2014-04-18 | 2014-08-20 | 美的集团股份有限公司 | 空调器机型的识别方法及装置 |
CN104253743A (zh) * | 2014-09-17 | 2014-12-31 | 苏州合欣美电子科技有限公司 | 一种多消息定向发送方法及其实现系统 |
CN105376341A (zh) * | 2015-10-10 | 2016-03-02 | 北京中创信测信息技术有限公司 | 自动跟踪设备多ip配置的方法 |
CN106209775A (zh) * | 2016-06-24 | 2016-12-07 | 深圳信息职业技术学院 | 一种ssl加密网络流的应用类型识别方法与装置 |
CN107896233A (zh) * | 2017-12-28 | 2018-04-10 | 广州汇智通信技术有限公司 | 一种sctp流数据管理方法、系统及设备 |
CN108259488A (zh) * | 2018-01-11 | 2018-07-06 | 网宿科技股份有限公司 | 一种识别报文的协议类型的方法和装置 |
CN112055035A (zh) * | 2019-06-05 | 2020-12-08 | 大唐移动通信设备有限公司 | 一种ng接口的建立方法及装置 |
CN112468469A (zh) * | 2020-11-17 | 2021-03-09 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
CN112564991A (zh) * | 2019-09-10 | 2021-03-26 | 华为技术有限公司 | 应用识别方法、装置及存储介质 |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101873259B (zh) * | 2010-06-01 | 2013-01-09 | 华为技术有限公司 | Sctp报文识别方法和装置 |
US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
CN103051725B (zh) * | 2012-12-31 | 2015-07-29 | 华为技术有限公司 | 应用识别方法、数据挖掘方法、装置及系统 |
US9477718B2 (en) | 2012-12-31 | 2016-10-25 | Huawei Technologies Co., Ltd | Application identification method, and data mining method, apparatus, and system |
CN104734993B (zh) * | 2013-12-24 | 2018-05-18 | 杭州华为数字技术有限公司 | 数据分流方法及分流器 |
US10560868B2 (en) * | 2014-08-21 | 2020-02-11 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Terminal-aided backhaul compression |
US9705775B2 (en) * | 2014-11-20 | 2017-07-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Passive performance measurement for inline service chaining |
US9838286B2 (en) | 2014-11-20 | 2017-12-05 | Telefonaktiebolaget L M Ericsson (Publ) | Passive performance measurement for inline service chaining |
CN107295115A (zh) * | 2016-04-13 | 2017-10-24 | 大唐移动通信设备有限公司 | 一种sctp链路配置管理方法及sctp客户端设备 |
CN106161251B (zh) * | 2016-06-14 | 2019-06-07 | 国家计算机网络与信息安全管理中心 | 报文安全分析方法和装置 |
CN107330110B (zh) * | 2017-07-10 | 2020-11-03 | 鼎富智能科技有限公司 | 一种多元关联关系的分析方法及装置 |
EP3738401B1 (en) * | 2018-01-11 | 2023-02-01 | Telefonaktiebolaget LM Ericsson (publ) | Packet forwarding in integrated access backhaul (iab) networks |
CN113904798B (zh) * | 2021-08-27 | 2024-03-22 | 长沙星融元数据技术有限公司 | Ip报文的多元组过滤方法、系统、设备及存储介质 |
CN117455516B (zh) * | 2023-12-21 | 2024-04-09 | 深圳市思维自动化科技有限公司 | 一种电子烟信息的溯源方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060062203A1 (en) * | 2004-09-21 | 2006-03-23 | Cisco Technology, Inc. | Method and apparatus for handling SCTP multi-homed connections |
WO2007067693A2 (en) * | 2005-12-07 | 2007-06-14 | Tektronix, Inc. | Systems and methods for discovering sctp associations in a network |
CN101094240A (zh) * | 2007-08-07 | 2007-12-26 | 中兴通讯股份有限公司 | 流控制传输协议多归属功能的实现方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7277954B1 (en) * | 2002-04-29 | 2007-10-02 | Cisco Technology, Inc. | Technique for determining multi-path latency in multi-homed transport protocol |
ATE367704T1 (de) * | 2002-04-29 | 2007-08-15 | Nokia Corp | System auf der basis des internet-protokolls |
AU2002313013A1 (en) * | 2002-06-07 | 2003-12-22 | Nokia Corporation | Method for sending connection-oriented or connectionless data |
US7366096B2 (en) * | 2003-02-21 | 2008-04-29 | Nokia Corporation | System and method for movement detection and congestion response for transport layer protocol |
US7366170B2 (en) * | 2003-09-25 | 2008-04-29 | Kabushiki Kaisha Toshiba | Communication connection method, authentication method, server computer, client computer and program |
US7386624B2 (en) * | 2003-10-23 | 2008-06-10 | International Business Machines Corporation | Method, system and article for dynamic real-time stream aggregation in a network |
WO2005051024A1 (ja) * | 2003-11-20 | 2005-06-02 | Nec Corporation | 私設網を利用した移動通信システム、中継ノード及び無線基地制御局 |
US7535916B2 (en) * | 2005-02-07 | 2009-05-19 | Cisco Technology, Inc. | Method for sharing a transport connection across a multi-processor platform with limited inter-processor communications |
JP4153502B2 (ja) * | 2005-03-29 | 2008-09-24 | 富士通株式会社 | 通信装置及び論理リンク異常検出方法 |
CN101873259B (zh) * | 2010-06-01 | 2013-01-09 | 华为技术有限公司 | Sctp报文识别方法和装置 |
-
2010
- 2010-06-01 CN CN2010101936241A patent/CN101873259B/zh active Active
- 2010-12-23 EP EP14168120.5A patent/EP2768203B1/en active Active
- 2010-12-23 ES ES10196848.5T patent/ES2509515T3/es active Active
- 2010-12-23 EP EP10196848.5A patent/EP2393255B1/en active Active
- 2010-12-29 US US12/981,182 patent/US8626903B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060062203A1 (en) * | 2004-09-21 | 2006-03-23 | Cisco Technology, Inc. | Method and apparatus for handling SCTP multi-homed connections |
WO2007067693A2 (en) * | 2005-12-07 | 2007-06-14 | Tektronix, Inc. | Systems and methods for discovering sctp associations in a network |
CN101094240A (zh) * | 2007-08-07 | 2007-12-26 | 中兴通讯股份有限公司 | 流控制传输协议多归属功能的实现方法 |
Cited By (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012079396A1 (zh) * | 2010-12-14 | 2012-06-21 | 华为技术有限公司 | 一种带宽控制的方法、设备和系统 |
CN102045393A (zh) * | 2010-12-14 | 2011-05-04 | 华为技术有限公司 | 一种带宽控制的方法、设备和系统 |
CN102118877A (zh) * | 2011-01-27 | 2011-07-06 | 大唐移动通信设备有限公司 | 一种数据的传输方法和设备 |
CN102118877B (zh) * | 2011-01-27 | 2013-07-10 | 大唐移动通信设备有限公司 | 一种数据的传输方法和设备 |
CN103023670A (zh) * | 2011-09-20 | 2013-04-03 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
CN103023670B (zh) * | 2011-09-20 | 2017-09-08 | 中兴通讯股份有限公司 | 基于dpi的报文业务类型识别方法及装置 |
CN103024100B (zh) * | 2012-12-31 | 2015-07-08 | 华为技术有限公司 | 一种建立偶联的方法和域名系统服务器 |
CN103024100A (zh) * | 2012-12-31 | 2013-04-03 | 华为技术有限公司 | 一种建立偶联的方法和域名系统服务器 |
CN103814600A (zh) * | 2013-12-06 | 2014-05-21 | 华为技术有限公司 | 一种确定端口号的方法及基站 |
CN103995191A (zh) * | 2014-04-18 | 2014-08-20 | 美的集团股份有限公司 | 空调器机型的识别方法及装置 |
CN103995191B (zh) * | 2014-04-18 | 2017-01-04 | 美的集团股份有限公司 | 空调器机型的识别方法及装置 |
CN103916294A (zh) * | 2014-04-29 | 2014-07-09 | 华为技术有限公司 | 协议类型的识别方法和装置 |
US10084713B2 (en) | 2014-04-29 | 2018-09-25 | Huawei Technologies Co., Ltd. | Protocol type identification method and apparatus |
CN104253743A (zh) * | 2014-09-17 | 2014-12-31 | 苏州合欣美电子科技有限公司 | 一种多消息定向发送方法及其实现系统 |
CN105376341B (zh) * | 2015-10-10 | 2018-11-09 | 北京中创信测科技股份有限公司 | 自动跟踪设备多ip配置的方法 |
CN105376341A (zh) * | 2015-10-10 | 2016-03-02 | 北京中创信测信息技术有限公司 | 自动跟踪设备多ip配置的方法 |
CN106209775A (zh) * | 2016-06-24 | 2016-12-07 | 深圳信息职业技术学院 | 一种ssl加密网络流的应用类型识别方法与装置 |
CN106209775B (zh) * | 2016-06-24 | 2019-05-24 | 深圳信息职业技术学院 | 一种ssl加密网络流的应用类型识别方法与装置 |
CN107896233A (zh) * | 2017-12-28 | 2018-04-10 | 广州汇智通信技术有限公司 | 一种sctp流数据管理方法、系统及设备 |
CN108259488A (zh) * | 2018-01-11 | 2018-07-06 | 网宿科技股份有限公司 | 一种识别报文的协议类型的方法和装置 |
CN112055035A (zh) * | 2019-06-05 | 2020-12-08 | 大唐移动通信设备有限公司 | 一种ng接口的建立方法及装置 |
CN112055035B (zh) * | 2019-06-05 | 2021-10-29 | 大唐移动通信设备有限公司 | 一种ng接口的建立方法及装置 |
CN112564991A (zh) * | 2019-09-10 | 2021-03-26 | 华为技术有限公司 | 应用识别方法、装置及存储介质 |
CN112468469A (zh) * | 2020-11-17 | 2021-03-09 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
WO2022105730A1 (zh) * | 2020-11-17 | 2022-05-27 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20110296007A1 (en) | 2011-12-01 |
CN101873259B (zh) | 2013-01-09 |
EP2768203B1 (en) | 2017-08-30 |
ES2509515T3 (es) | 2014-10-17 |
EP2393255B1 (en) | 2014-07-16 |
EP2768203A1 (en) | 2014-08-20 |
US8626903B2 (en) | 2014-01-07 |
EP2393255A1 (en) | 2011-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101873259B (zh) | Sctp报文识别方法和装置 | |
CN105704091B (zh) | 一种基于ssh协议的会话解析方法及系统 | |
JP6686033B2 (ja) | メッセージをプッシュするための方法および装置 | |
US10498618B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
CN102098272B (zh) | 一种协议识别的方法、装置和系统 | |
US8064468B2 (en) | Method for providing function of registering in session initiation protocol and SIP load balancer of enabling the method | |
US20120030351A1 (en) | Management server, communication cutoff device and information processing system | |
CN110708250A (zh) | 一种提高数据转发性能的方法、电子设备及存储介质 | |
CN109548022B (zh) | 一种移动终端用户远程接入本地网络的方法 | |
WO2011032321A1 (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
CN101621455A (zh) | 网络设备的管理方法和网络管理站、设备 | |
CN108076070B (zh) | 一种fasp协议阻断方法、装置及分析系统 | |
CN111064729A (zh) | 报文的处理方法及装置、存储介质和电子装置 | |
CN101102277B (zh) | 业务数据识别控制方法、系统及识别控制装置 | |
CN116318785A (zh) | 一种伪造攻击流量的识别方法及系统 | |
CN105391720A (zh) | 用户终端登录方法及装置 | |
CN111740996B (zh) | 一种流量解析场景下快速拆分http请求与响应的方法 | |
CN108260225B (zh) | 数据关联方法和装置 | |
CN111431942B (zh) | 一种cc攻击的检测方法、装置及网络设备 | |
CN113726689B (zh) | 一种安全业务处理方法以及装置 | |
CN114726763A (zh) | Dpi系统的业务识别能力的检测方法及系统 | |
CN111147523A (zh) | 一种基于服务伪装探测技术的综合性应用协议识别方法 | |
CN114302349B (zh) | 一种客户端提取号码的方法与系统 | |
KR20110012708A (ko) | 패킷 과금 처리 시스템 및 방법 | |
CN102638463A (zh) | 跟踪特定radius会话的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |