CN102082762A - 一种协议识别方法、设备及系统 - Google Patents
一种协议识别方法、设备及系统 Download PDFInfo
- Publication number
- CN102082762A CN102082762A CN2009101884827A CN200910188482A CN102082762A CN 102082762 A CN102082762 A CN 102082762A CN 2009101884827 A CN2009101884827 A CN 2009101884827A CN 200910188482 A CN200910188482 A CN 200910188482A CN 102082762 A CN102082762 A CN 102082762A
- Authority
- CN
- China
- Prior art keywords
- agreement
- message
- characteristic information
- protocol
- coupling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Communication Control (AREA)
Abstract
本发明实施例提供了一种协议识别方法、设备及系统。其中,所述协议识别方法包括如下步骤:根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配。本发明实施例通过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种协议识别方法、设备及系统。
背景技术
DPI(Deep Packet Inspection,深度包检测)是一种包(报文)检测技术,它除了对IP包中的源IP地址、目的IP地址、源端口、目的端口等(IP包的层4以下数据)信息进行检测分析外,还对IP包中的应用层数据进行深入分析,从而可以更高效地识别出网络上的各种应用。
目前,DPI技术已广泛应用于流量控制、内容计费和网络安全等领域。在DPI技术应用中,报文检测过程中的协议识别是一个关键的技术,后续的分析处理很多都需要依据协议识别的结果,因此,协议识别的效率在很大程度上决定了DPI设备性能的好处。
这里的协议可以由一个或多个规则确定,即满足一个或多个规则时,就表示识别出了该协议,可以由以下表达示来表示协议和规则的关系:
协议={规则1,规则2,规则3...,规则n};
其中,规则又由一个或多个条件组成,只有当每个条件都满足时,这条规则才算满足。条件的类型可以是字符串,或正规表达式,或长度,或端口,或IP等。规则与条件的关系可以用以下表达示来表示:
规则=条件1 & 条件2 & 条件3... & 条件n(符号“ & ”表示逻辑“与”关系);
从这里可以看出,一个协议本质上是由多个条件逻辑组合后决定的,条件是决定协议的最小单元。
参见图1,为现有技术进行DPI应用时的系统框图,当接收到数据报文时,先进行流表查找,查找成功的报文进行策略执行;如果未成功,则进行协议识别,后续进行协议解析、业务控制及策略执行等动作。
在进行协议识别时,现有技术先进行协议主特征匹配,包括使用字符串匹配等算法完成对协议主要特征的搜索,如果搜索到主特征,则认为可能是相关的协议类型,会进行进一步的协议验证;如果协议验证通过,则协议识别成功,否则协议识别失败;协议主特征匹配无结果的报文,会进行正则表达式匹配,正则表达式匹配和协议主特征匹配作用类似,都是为了查找协议是否符合某些条件,正则表达式匹配成功后也进行协议验证。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺点:
由于存在着多个协议对应于同一主特征的情况,因此,当主特征一致时,需要对主特征下的其他协议特征进行逐个验证,直至协议识别结束或最后一个协议特征验证失败。由此可见,协议识别的性能跟协议验证的顺序以及同一主特征协议的数量有关,性能不稳定,可能需要验证所有协议特征后,才能识别出协议类型,而如果对应同一主特征的协议数量很多的话,那么验证次数也会随之增加,从而降低了协议识别的性能。
发明内容
本发明实施例提供了一种协议识别方法、设备及系统,用于提高协议识别的性能,包括:
一种协议识别方法,包括如下步骤:
根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;
当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配。
以及,
一种协议识别设备,包括:
接收单元,用于接收报文;
匹配单元,用于根据协议的匹配规则,对所述接收单元接收到的报文中的特征信息进行匹配;
状态识别单元,用于匹配成功且没有识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息匹配从该次记录的状态节点处开始匹配。
以及,
一种协议识别系统,包括:
报文重组单元,用于接收报文,完成报文重组;
流表查找单元,用于接收通过所述报文重组单元过来的报文进行流表查找,如果查找成功,则进行策略执行;如果查找失败,则将报文送至协议识别单元;
协议识别单元,用于根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配;
协议解析单元,用于接收协议识别单元识别后的报文,对需要解析的报文进行协议解析,或者对未识别出协议的报文进行协议识别;
业务控制单元,用于根据所述协议解析单元解析结果对所述报文进行相关的策略执行;
策略执行单元,用于根据所述业务控制单元或所述流表查找单元执行相应的策略。
本发明实施例通过对接收到的报文中的特征信息进行匹配,如果匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收到下个报文时,从记录的状态节点开始匹配;从而无需根据主特征及协议验证等步骤来识别协议,只需经过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术进行协议识别示意图;
图2为本发明实施例一进行协议识别方法流程图;
图3为本发明实施例二进行协议识别方法流程图;
图4为本发明实施例二进行协议识别过程中协议识别状态图;
图5为本发明实施例二进行协议识别过程中另一协议识别状态图;
图6为本发明实施例二进行协议识别过程中另一协议识别状态图;
图7为本发明实施例二进行协议识别过程中另一协议识别状态图;
图8为本发明实施例三协议识别设备结构框图;
图9为本发明实施例四协议识别系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供了一种协议识别方法及装置,用于提高协议识别效率。
参见图1,本发明实施例包括如下步骤:
S101、接收报文,提取所述报文中的特征信息;
其中,本发明实施例中的协议识别是基于数据流进行的,上述报文也是数据流的报文,可以同时对多个数据流进行协议识别。
S102、根据协议的匹配规则,对所述特征信息进行匹配;
其中,协议的匹配规则通过正则表达式确定;这里的特征信息可以为字符特征信息、协议头特征信息、以及行为特征信息中的一种或几种。需要说明的是,上述特征信息并不是唯一的,也可以根据识别协议的类型自定义一些特征信息进行匹配,在本发明实施例中,使用上述三种特征信息,且在匹配过程中先对字符特征信息进行匹配;如果未识别出协议,再对协议头特征信息和/或行为特征信息进行匹配。
S103、当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下个报文时,对所述下个报文的匹配从该次记录的状态节点处开始匹配。
在本发明实施例中,所有协议的匹配并不是一次性完成,而是根据正则表达式确定几个状态节点,如果匹配成功,但并未识别出协议,则记录该次状态节点;当接收下一个报文时,上次匹配成功所记录的状态节点上开始匹配;如果所有匹配都成功,则识别出了该协议,协议匹配过程结束;如果一直到数据流结束都没有全部匹配成功,则也终止协议匹配。
当所述字符特征信息位于多个报文时,每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。
本发明实施例通过对接收到的报文中的特征信息进行匹配,如果匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收到下个报文时,从记录的状态节点开始匹配;从而无需根据主特征及协议验证等步骤来识别协议,只需经过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
实施例二
本发明提供了一种识别协议的方法,用于提高协议识别的效率。
参见图3,为本发明实施例二方法流程包括如下步骤:
S201、接收报文,提取所述报文中的字符特征信息;
本发明实施例中,协议识别可以基于数据流进行,这里的数据流可以理解为一系列相关的数据报文,例如,来自某个用户连接的数据,或者来自某个端口或IP的数据等,根据实际应用的不同,数据流也可以由用户通过自定义规则确定,而这里接收到的报文是一系列构成数据流中报文中的其中一个。
接收到报文后,提取所述报文中的字符特征信息,字符特征信息是报文特征信息的一种,也是最常用的一种。报文特征信息除了字符特征信息外,还可以包括协议头特征信息、行为特征信息等。
其中,字符特征信息一般为一些表征协议的特征字符串,例如“HTTP1.0”、“GET”等用来表征HTTP协议的特征字符串,更通用的为一些用正则表达式确定的字符特征信息;字符特征信息在协议识别过程中一般都会用到,且有些协议只需要通过字符特征信息匹配就能够识别;同时,特征信息中的协议头特征信息和行为特征信息一般每个报文都会携带,但字符特征信息并不是每个报文都有的,因此,为了尽快识别协议,本发明实施例先对这些使用频率较高且相对比较重要的字符特征信息进行匹配。
特征信息中的协议头特征信息可以包括:类型、目的IP、目的端口号分析、源IP、源端口号中的一个或多个信息。特征信息中的行为特征信息行为分析则可以包括:报文长度、报文速率等信息。
S202、根据协议的匹配规则,对字符特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点;
其中,协议的匹配规则通过正则表达式确定。在具体匹配过程中,可将提取的字符特征信息与规则库当中的规则进行匹配,如果匹配成功,可以通过输出一个规则ID(一个整数)来表示。
假设有一个协议a需要满足如下条件才能匹配(两个条件之间还可以有其他条件):
条件b=“GET”
条件c=“www*html”
条件d=目的端口号为80
当分别满足条件b、c、d时,输出规则ID分别为B、C、D;则可以使用正则表达式B*C*D来描述协议a的匹配规则,其中,“*”表示在两个规则之间还可以有任意其他的规则,如B、C之间还可以有F、E等规则,这样,BFC、或BFEC等也满足B*C匹配条件;如果协议a的条件b之后下一个条件必须是条件c,则需要使用BC*D来表示协议a。
S203、判断是否识别出协议,如果是,则结束识别过程;如果否,则执行步骤S204;
当通过匹配后满足协议所规定的所有匹配规则时,则判断识别出协议,例如,协议a如果由正则表达式B*C*D确定,则通过匹配后如果满足B*C*D条件,则识别出了协议a,协议识别过程结束。
如果匹配成功,但并没有识别出协议,则记录该次匹配的状态节点;这里的状态节点用于表征当前匹配的状态进度,例如,如果协议a通过正则表达式B*C*D确定,如果当前C匹配成功,则可以记录当前的状态节点为C,用于表示现在匹配已经到了C,下一次只需要再匹配D就可以,而不必再从B开始匹配。
对于某些跨包的字符特征信息(即字符特征信息分别位于两个或两个以上的报文中),每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。
例如需要匹配字符特征信息为“ABCDEFG”,其中,“AB”在第一个报文,“CDE”在第二个报文,“FG”在第三个报文;则接收到第一个报文后,先匹配“AB”,由于匹配“AB”只是部分匹配成功,因此,记录已经匹配到“AB”的状态;然后下次接收到“CDE”的时候从“AB”开始匹配,因此,能部分匹配为“ABCDE”,最后,再通过匹配“FG”来使得匹配最终完成。
进一步的,本发明实施例对字符特征信息匹配完成(成功或失败)前,先不匹配协议头特征信息和/或行为特征信息,直到匹配完成(如匹配成功或失败),且未识别出协议,后续再执行协议头特征信息匹配和/或行为特征信息匹配。
S204、根据协议的匹配规则,对协议头特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点;
如果通过字符特征信息匹配并没有识别出协议时,提取报文中协议头特征信息,对所述协议头特征信息进行匹配,协议头特征信息可以包括:类型、目的IP、目的端口号分析、源IP、源端口号中的一个或多个信息。
这里需要说明的是,对协议头特征信息匹配并不是一个必要的流程,有些协议可能并不需要对该特征信息进行匹配,在实际应用中,可以根据实际应用需求来选择是否执行该匹配;同时,协议头特征信息提取的时间并不限定,除了在步骤S204进行提取外,也可以在步骤S201提取字符特征信息时进行提取。
S205、判断是否识别出协议,如果是,则结束识别过程;如果否,则执行步骤S206;
同步骤S203类似,在判断过程中,如果匹配成功但并没识别出协议,也需要记录该次匹配的状态节点,使得下一次匹配从该状态节点处开始。
S206、根据协议的匹配规则,对行为特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点;
如果通过字符特征信息匹配以及协议头特征信息并没有识别出协议时,再对从报文中提取协议头特征信息进行匹配。这里需要说明的是,对协议头特征信息匹配也不是一个必要的流程,有些协议可能并不需要对该特征信息进行匹配,在实际应用中,可以根据实际应用需求来选择是否执行该匹配;同时,行为特征信息的提取的时间也不限定,如可以在步骤S201提取字符特征信息时进行提取或在步骤S204提取协议头信息时进行提取。
S207、判断是否识别出协议,如果是,则结束识别过程;如果否,则执行步骤S208;
S208、接收下一个报文,参见步骤S202,重新开始匹配;
S209、当数据流结束时,如果还未匹配成功,则结束协议识别。
本发明实施例中的报文是基于数据流的,如果当数据流结束而仍未识别出协议的,则结束协议识别,删除协议识别过程中的状态信息。
为了使本发明实施例更加清楚完整,下面结合协议识别过程中状态节点图来对本发明实施例作进一步阐述。
参见图4,为本发明实施例协议识别状态图,每个协议由至少一个状态节点构成,每个节点代表协议识别的一个规则。其中,每个协议的第一个节点称为首节点,图4中,首节点包括节点B、G、E、F;圆形节点代表对字符特征信息匹配的一个规则,图4中节点B、C、G、L、M、P都是对应字符特征信息匹配的规则;八方形节点代表对协议头特征信息匹配或者行为特征信息匹配的一个规则。
图4中节点D、N、O、Q、R、S、T、U及两个空节点都是对应协议头特征信息或者行为特征信息的规则,有空节点的原因,是有时候协议可对协议头特征信息或者行为特征信息的匹配结果不作规定,任何结果都认为是可以匹配上的;带方形虚线框的节点代表协议识别的最后一个状态节点,即满足这个节点所代表的规则后,协议识别结束,图4中节点D、O、S、E、U都对应协议识别的最后一个规则,当所有规则都匹配成功后,则识别出了相关协议。
图4中的圆形节点B、C、G、L、M、P、F都有一个环回的箭头,代表从这个节点跳到下一级节点,中间可以有任意个匹配规则,例如图4中,节点B和节点C节点之间,可以输入任意个匹配规则,使用正则表达式为:B*C,匹配上节点B对应的规则后,报文处于节点B的状态,在匹配上节点C的规则之前,该报文可以匹配上其他的规则,但是该报文的状态都停留在节点B,直到匹配上节点C对应的规则。
由于协议头特征信息和行为特征信息所能匹配的项通常是固定的,例如从协议头特征信息和行为特征信息可以包括:传输层类型、目的IP、目的端口号、报文长度和报文速率等信息,这些信息可以根据需要调整顺序,在识别过程中,这些信息可以都作为协议识别规则,也可以选择其中一个或几个作为识别规则。在协议a中,有些协议头特征信息和行为特征信息匹配用空节点表示(如节点C后的两个空白八方形),此时,只要检测到有事先定义的协议头特征信息或行为特征信息,即可跳转到下一状态,而不必严格匹配特征信息的内容,例如,如果协议a节点C后面的两个八方形节点分别定义为检测传输层类型和目的IP,则只要分别检测到有传输层类型和目的IP,而不管具体的传输层类型和目的IP是什么,就可以匹配成功;下一次如果节点D再匹配成功,则完成对协议a的识别。
图4中,八方形节点D、N、O、Q、R、S、T、U表示的规则类型如表1所示,条件类型包括:传输层类型、目的IP、目的端口号、报文长度和报文速率等,在各协议中的具体检测顺序可以根据协议的不同而不同。
表1、节点D、N、O、Q、R、S、T、U表示的规则类型表
| D | 目的端口号 | N | 传输层类型 | O | 目的IP | Q | 传输层类型 |
| R | 目的IP | S | 目的端口号 | T | 传输层类型 | U | 目的IP |
协议a、协议b、协议c、协议d、协议e对应的条件的正则表达式表示如下:
协议a:B*C*D
协议b:G*L*M*NO
协议c:G*L*P*QRS
协议d:E
协议e:F*TU
协议识别是针对报文的数据流进行的,每一次匹配成功后都需要保存自己的协议识别状态,以便下一个条件输入时根据报文之前的协议识别状态进行状态变迁,协议识别结束时可以删除协议识别状态信息。
图5为本发明提供的识别协议的方法实施例另一协议识别状态图:
图5中共有五个并发的数据流,分别为数据流1、2、3、4、5;五个并发流所处的当前状态节点分别为:节点C、节点L、节点N、节点Q、节点T。
以数据流1为例,下一个输入数据匹配上的规则如果为节点M对应的规则,则仍维持在节点C状态。如果下一次再依次匹配上任意传输层类型和任意目的IP地址(假设事先定义的节点C后面的空白八方形代表任意传输层类型和任意目的IP地址),以及最后匹配上节点D代表的目的端口号,则识别出协议a,数据流1识别结束。
对于数据流2来说,如果一直不能匹配上节点M或者节点P对应的规则,则数据流2一直处于L协议状态,无法识别协议,直到该数据流结束时,删除数据流2的状态信息;对于数据流4来说,如果下一个输入的信息不符合节点R对应规则的要求,则协议识别失败并结束识别过程,数据流4无法识别协议类型,数据流4所对应的状态信息删除。
除了图4所示的单线式节点链,也会出现多个匹配规则选择其一的情况,图6为本发明提供的另一协议识别状态图,其中:
识别协议b的正则表达式为:(B*|G*)L*M*NO
识别协议c的正则表达式为:E*(P*|G*)H*QRS
协议b有两个首节点,分别为:节点B和节点G,且和下一级节点之间可以有任意个匹配规则,正则表达式记录为(B*|G*),无论数据流从先匹配上哪一个节点的规则,只要数据流后续输入的条件有能匹配上节点L的,就可以继续匹配节点M、N,直到最后一个节点O,识别出协议b。
协议c只有一个首节点E,但是节点E有两个下一级节点,分别为节点P和节点G,且节点P和节点G和下一级节点之间可以有任意个匹配规则,正则表达式记录为(P*|G*),数据流的状态处于节点P或节点G时,只要数据流后续输入的条件有能匹配上节点H的,就可以继续匹配节点Q、R,直到最后一个节点S,识别出协议c。
参见图7,为本发明提供的另一协议识别状态图:
本发明提供的实施例中,协议头特征信息匹配和行为特征信息匹配分析和行为分析的输入条件存在或逻辑的情况。
识别协议b的正则表达式为:G*L*M*NO
识别协议c的正则表达式为:E*P*H*Q(R|S)
节点G为协议b的首节点,识别协议b需要匹配上节点G、L、M、N、O对应的规则即可;
节点E为协议c的首节点,识别协议c时,输入条件匹配上节点E、P、H、Q对应的规则,数据流的状态处于节点Q时,接着如果匹配上节点R定义的规则,则识别出协议c;如果没有匹配上R规则,则一直等待对节点S的匹配,如果匹配上,则识别出协议c。
需要说明的是,上述协议识别状态图只是其中几个常见的具体实施例,本发明所保护的并不仅限于以上实施例,本领域技术人员可以根据上述列举的情况或其他协议状态图并结合自己应用领域来对相关协议设计对应的协议状态图。
本发明实施例通过对接收到的报文中的特征信息进行匹配,如果匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收到下个报文时,从记录的状态节点开始匹配;从而无需根据主特征及协议验证等步骤来识别协议,只需经过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
在设计系统时,可以将上述字符特征信息匹配、协议头特征信息匹配、行为特征信息匹配以及协议识别状态处理分别作为一个模块进行设计,这样便于各模块独立升级;并且如果需要增加一种协议的识别,则只需要更新协议识别规则库里的协议规则,而不需要升级应用程序,因此,具有良好的扩展性。
同时,在进行规则匹配过程中,由于上述协议的规则都用正则表达式来描述,且在字符特征信息匹配过程中也可以使用正则表达式来对字符特征信息进行匹配,而这些正则表达式都容易找到相应的硬件加速芯片和算法,因此,便于硬件加速,提高系统性能。
此外,现有技术在进行主特征匹配时还需要保存报文,以供后续协议验证时对这些报文进行再扫描,这样无论在空间还是在时间上,都会使得识别效率降低,而本发明实施例无需保存报文以及再扫描,整个过程快速简洁,因此相比于现有技术,大大提高了协议识别效率。
实施例三
本发明实施例三提供了一种协议识别设备,用于提高协议识别性能,参见图8,包括:。
接收单元81,用于接收报文;
匹配单元82,用于根据协议的匹配规则,对所述接收单元接收到的报文中的特征信息进行匹配;
协议的匹配规则通过正则表达式来确定,具体可以根据协议的特征来对正则表达式进行设计;
这里的特征信息至少包括:
字符串特征,或者协议头特征信息,或者行为特征信息;在本发明实施例中,都对这些信息进行识别,如果有协议不需要所有这些特征信息时,也可以选择其中一个或两个或其他特征信息进行识别;字符串特征,协议头特征信息,行为特征信息的具体定义可以参见上述实施例二中的相关部分,在此不再赘述。
状态识别单元83,用于匹配成功且没有识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息匹配从该次记录的状态节点处开始匹配。
具体的,上述匹配单元82还包括:字符特征信息匹配单元821、协议头信息匹配单元822和行为特征信息匹配单元823;
本发明实施例中,当所述特征信息包括字符特征信息、协议头特征信息和/或行为特征信息时,所述字符特征信息匹配单元821先对所述字符特征信息进行匹配;当通过匹配未识别出协议时,所述协议头特征信息匹配单元822再对所述协议头特征信息进行匹配和/或所述行为特征信息匹配单元823再对所述协议头信息进行匹配;
上述三个特征信息并不是都需要匹配,但因为字符串信息含的信息量较大,且并非每个报文都会有(其他两个特征信息一般每个报文都会有),因此,字符特征信息比较重要,所以一般都会对字符特征信息进行匹配,再根据实际协议应用情况,选择对协议头特征信息或行为特征信息中的一个或两个进行匹配。这里还需要说明的是,特征信息可以也可以是上述所列举的三种特征信息外的其他信息,只要能用于表征报文协议类型的信息都可以作为特征信息。
对于某些跨包的字符特征信息(即字符特征信息分别位于两个或两个以上的报文中),每接收一个报文时,提取报文中的字符特征信息与匹配规则中的字符特征信息进行匹配,直到匹配成功,或者匹配失败。在对字符特征信息匹配完成(成功或失败)前,先不匹配协议头特征信息和/或行为特征信息,直到匹配完成(如匹配成功或失败),且未识别出协议,后续再执行协议头特征信息匹配和/或行为特征信息匹配。
当所述匹配单元82匹配未成功时,则通过所述接收单元81接收下一个报文,继续执行下一次匹配;当所述协议的匹配规则都匹配成功时,则识别出协议,协议匹配过程结束。
本发明实施例中,所述协议识别设备通过基于数据流的形式进行,同时对多个数据流进行协议识别,所述报文为所述数据流中的报文。
上述各单元具体执行步骤可以参考实施例二中的相关步骤,在此不再赘述。
本发明实施例中,上述各单元可以通过通用处理器来实现,或者使用NP(Network Processor,网络处理器)、FPGA(Field Programmable Gate Array,现场可编程门阵列)等逻辑器件来实现,也可以使用其他具有硬件处理功能的物理实体来实现。同时,每个单元可以单独用一个处理实体,也可以几个单元共用一个物理实体,在此并不限制。
本发明实施例通过对接收到的报文中的特征信息进行匹配,如果匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收到下个报文时,从记录的状态节点开始匹配;从而无需根据主特征及协议验证等步骤来识别协议,只需经过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
在设计系统时,可以将上述字符特征信息匹配、协议头特征信息匹配、行为特征信息匹配以及协议识别状态处理分别作为一个模块进行设计,这样便于各模块独立升级;并且如果需要增加一种协议的识别,则只需要更新协议识别规则库里的协议规则,而不需要升级应用程序,因此,具有良好的扩展性。
同时,在进行规则匹配过程中,由于上述协议的规则都用正则表达式来描述,且在字符特征信息匹配过程中也可以使用正则表达式来对字符特征信息进行匹配,而这些正则表达式都容易找到相应的硬件加速芯片和算法,因此,便于硬件加速,提高系统性能。
此外,现有技术在进行主特征匹配时还需要保存报文,以供后续协议验证时对这些报文进行再扫描,这样无论在空间还是在时间上,都会使得识别效率降低,而本发明实施例无需保存报文以及再扫描,整个过程快速简洁,因此相比于现有技术,大大提高了协议识别效率。
实施例四
本发明实施例还提供了一种协议识别系统,用于提高协议识别速度,参见图9,包括:
报文重组单元91,用于接收报文,完成报文重组;
具体的,主要完成IP报文以及TCP乱序报文的重组,为后续进行流表查找和协议识别做好准备;
流表查找单元92,用于接收通过所述报文重组单元过来的报文进行流表查找,如果查找成功,则进行策略执行;如果查找失败,则将报文送至协议识别单元;
流表查找包括对报文中匹配信息与流表中的匹配信息进行查找,流表中的匹配信息还对应着相应的协议执行策略,如果查找成功,即可以通过上述对应关系对报文执行相应的策略。这里的匹配信息一般是五元组信息,包括协议域(TYPE,如TCP、UDP等)、源IP、源端口、目的IP、目的端口等。
协议识别单元93,用于根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配;
其中,上述协议的匹配规则通过正则表达式来确定;
所述特征信息至少包括字符特征信息,或者协议头特征信息,或者行为特征信息。
所述协议识别单元93还用于:
当所述特征信息包括字符特征信息、协议头特征信息和/或行为特征信息时,先对所述字符特征信息进行匹配,当通过匹配未识别出协议时,再对所述协议头特征信息和/或行为特征信息进行匹配。
对于某些跨包的字符特征信息(即字符特征信息分别位于两个或两个以上的报文中),每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。同时,在对字符特征信息匹配完成(成功或失败)前,先不匹配协议头特征信息和/或行为特征信息,直到匹配完成(如匹配成功或失败),且未识别出协议,后续再执行协议头特征信息匹配和/或行为特征信息匹配。
当所述协议识别单元93匹配不成功时,则接收下一个报文,继续执行下一次匹配;当所述协议的匹配规则都匹配成功时,则识别出协议,协议匹配过程结束。
在具体实现时,所述协议识别单元93可以采用实施例三中的装置进行作为协议识别单元,或者使用其他类似单元完成相应的功能。
所述协议识别单元93处理报文的其他步骤可以参考相关实施例二中的相关具体步骤,在此不再赘述。
协议解析单元94,用于接收协议识别单元93识别后的报文,对需要解析的报文进行协议解析,或者对未识别出协议的报文进行协议识别;
通过协议解析,分析报文内容,将并提取相关信息供业务控制单元使用,例如提取出URL信息进行用户的访问控制。
业务控制单元95,用于根据所述协议解析单元94解析结果对所述报文进行相关的策略执行;
具体的,根据协议类型、协议解析的结果、用户配置策略执行相关的动作。
策略执行单元96,用于根据所述业务控制单元或所述流表查找单元执行相应的策略。
本发明实施例通过对接收到的报文中的特征信息进行匹配,如果匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收到下个报文时,从记录的状态节点开始匹配;从而无需根据主特征及协议验证等步骤来识别协议,只需经过特征匹配并记录匹配状态即可完成协议识别,因此,协议识别方式简单快速、提高了协议识别的性能。
在设计系统时,可以将上述字符特征信息匹配、协议头特征信息匹配、行为特征信息匹配以及协议识别状态处理分别作为一个模块进行设计,这样便于各模块独立升级;并且如果需要增加一种协议的识别,则只需要更新协议识别规则库里的协议规则,而不需要升级应用程序,因此,具有良好的扩展性。
同时,在进行规则匹配过程中,由于上述协议的规则都用正则表达式来描述,且在字符特征信息匹配过程中也可以使用正则表达式来对字符特征信息进行匹配,而这些正则表达式都容易找到相应的硬件加速芯片和算法,因此,便于硬件加速,提高系统性能。
此外,现有技术在进行主特征匹配时还需要保存报文,以供后续协议验证时对这些报文进行再扫描,这样无论在空间还是在时间上,都会使得识别效率降低,而本发明实施例无需保存报文以及再扫描,整个过程快速简洁,因此相比于现有技术,大大提高了协议识别效率。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
上列较佳实施例,对本发明的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (20)
1.一种协议识别方法,其特征在于,包括如下步骤:
根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;
当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配。
2.如权利要求1所述的协议识别方法,其特征在于:
所述协议的匹配规则通过正则表达式来确定。
3.如权利要求1所述的协议识别方法,其特征在于:
所述特征信息至少包括:
字符特征信息,或者协议头特征信息,或者行为特征信息。
4.如权利要求3所述的协议识别方法,其特征在于:
当所述特征信息包括字符特征信息、协议头特征信息和/或行为特征信息时,先对所述字符特征信息进行匹配,当通过匹配未识别出协议时,再对所述协议头特征信息和/或行为特征信息进行匹配。
5.如权利要求4所述的协议识别方法,其特征在于:
当所述字符特征信息位于多个报文时,每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。
6.如权利要求1所述的协议识别方法,其特征在于:
当匹配未成功时,则接收下一个报文,继续执行下一次匹配。
7.如权利要求1所述的协议识别方法,其特征在于:
当所述协议的匹配规则都匹配成功时,则识别出协议,协议匹配过程结束。
8.如权利要求1所述的协议识别方法,其特征在于:
所述协议识别方法通过基于数据流的形式进行,同时对多个数据流进行协议识别,所述报文为所述数据流中的报文。
9.一种协议识别设备,其特征在于,包括:
接收单元,用于接收报文;
匹配单元,用于根据协议的匹配规则,对所述接收单元接收到的报文中的特征信息进行匹配;
状态识别单元,用于匹配成功且没有识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息匹配从该次记录的状态节点处开始匹配。
10.如权利要求9所述的协议识别设备,其特征在于:
所述协议的匹配规则通过正则表达式来确定。
11.如权利要求9所述的协议识别设备,其特征在于:
所述特征信息至少包括:
字符特征信息,或者协议头特征信息,或者行为特征信息。
12.如权利要求9所述的协议识别设备,其特征在于:
所述匹配单元包括:
字符特征信息匹配单元、协议头特征信息匹配单元和行为特征信息匹配单元;
当所述特征信息包括字符特征信息、协议头特征信息和/或行为特征信息时,所述字符特征信息匹配单元先对所述字符特征信息进行匹配;当通过匹配未识别出协议时,所述协议头特征信息匹配单元再对所述协议头特征信息进行匹配和/或所述行为特征信息匹配单元再对所述协议头信息进行匹配。
13.如权利要求12所述的协议识别设备,其特征在于:
当所述字符特征信息位于多个报文时,每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。
14.如权利要求9所述的协议识别设备,其特征在于:
当所述匹配单元匹配未成功时,则通过所述接收单元接收下一个报文,继续执行下一次匹配;
当所述协议的匹配规则都匹配成功时,则识别出协议,协议匹配过程结束。
15.如权利要求9所述的协议识别设备,其特征在于:
所述协议识别设备通过基于数据流的形式进行,同时对多个数据流进行协议识别,所述报文为所述数据流中的报文。
16.一种协议识别系统,其特征在于,包括:
报文重组单元,用于接收报文,完成报文重组;
流表查找单元,用于接收通过所述报文重组单元过来的报文进行流表查找,如果查找成功,则进行策略执行;如果查找失败,则将报文送至协议识别单元;
协议识别单元,用于根据协议的匹配规则,对接收到的报文中的特征信息进行匹配;当匹配成功且未识别出协议时,记录该次匹配时的状态节点,使得接收下一个报文时,对所述下一个报文中的特征信息的匹配从该记录的状态节点处开始匹配;
协议解析单元,用于接收协议识别单元识别后的报文,对需要解析的报文进行协议解析,或者对未识别出协议的报文进行协议识别;
业务控制单元,用于根据所述协议解析单元解析结果对所述报文进行相关的策略执行;
策略执行单元,用于根据所述业务控制单元或所述流表查找单元执行相应的策略。
17.如权利要求16所述的协议识别系统,其特征在于:
所述协议的匹配规则通过正则表达式来确定;
所述特征信息至少包括字符特征信息,或者协议头特征信息,或者行为特征信息。
18.如权利要求17所述的协议识别系统,其特征在于,所述协议识别单元还用于:
当所述特征信息包括字符特征信息、协议头特征信息和/或行为特征信息时,先对所述字符特征信息进行匹配,当通过匹配未识别出协议时,再对所述协议头特征信息和/或行为特征信息进行匹配。
19.如权利要求18所述的协议识别系统,其特征在于:
当所述字符特征信息位于多个报文时,每接收一个报文时,提取报文中的所述字符特征信息与所述匹配规则中的字符特征信息进行匹配,如果部分匹配成功,则记录该次匹配状态,使得下一个报文从该次记录的匹配状态开始进行匹配,直到匹配成功,或者匹配失败。
20.如权利要求16所述的协议识别系统,其特征在于:
当所述协议识别单元匹配不成功时,则接收下一个报文,继续执行下一次匹配;当所述协议的匹配规则都匹配成功时,则识别出协议,协议匹配过程结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101884827A CN102082762A (zh) | 2009-11-30 | 2009-11-30 | 一种协议识别方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101884827A CN102082762A (zh) | 2009-11-30 | 2009-11-30 | 一种协议识别方法、设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102082762A true CN102082762A (zh) | 2011-06-01 |
Family
ID=44088516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101884827A Pending CN102082762A (zh) | 2009-11-30 | 2009-11-30 | 一种协议识别方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102082762A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143151A (zh) * | 2010-12-22 | 2011-08-03 | 华为技术有限公司 | 一种基于深度包检测的协议跨包检测方法和装置 |
| CN102217281A (zh) * | 2011-06-13 | 2011-10-12 | 华为技术有限公司 | 协议解析方法及装置 |
| CN102347949A (zh) * | 2011-09-28 | 2012-02-08 | 上海西默通信技术有限公司 | 基于dpi的应用协议分析方法 |
| CN102413014A (zh) * | 2011-11-28 | 2012-04-11 | 华为技术有限公司 | 报文检测方法和装置 |
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| CN102523139A (zh) * | 2012-01-06 | 2012-06-27 | 深圳市共进电子股份有限公司 | 高速网络协议深度检测装置及检测方法 |
| CN102647414A (zh) * | 2012-03-30 | 2012-08-22 | 华为技术有限公司 | 协议解析方法、设备及系统 |
| CN103607313A (zh) * | 2013-12-09 | 2014-02-26 | 深圳市双赢伟业科技股份有限公司 | 基于正则表达式的tcp报文匹配方法 |
| CN104780080A (zh) * | 2015-04-13 | 2015-07-15 | 苏州迈科网络安全技术股份有限公司 | 深度报文检测方法及系统 |
| CN105282123A (zh) * | 2014-07-24 | 2016-01-27 | 亿阳安全技术有限公司 | 一种网络协议识别方法和装置 |
| CN105652858A (zh) * | 2016-03-31 | 2016-06-08 | 大连楼兰科技股份有限公司 | 基于数据请求间隔的obd设备识别方法及系统 |
| CN105721250A (zh) * | 2016-03-03 | 2016-06-29 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
| CN102217281B (zh) * | 2011-06-13 | 2016-11-30 | 华为技术有限公司 | 协议解析方法及装置 |
| CN108255675A (zh) * | 2018-01-10 | 2018-07-06 | 北京知道创宇信息技术有限公司 | 一种端口特征提取方法、装置及计算设备 |
| CN108600107A (zh) * | 2017-11-07 | 2018-09-28 | 北京交通大学 | 一种可自定义内容字段的流匹配方法 |
| CN109951430A (zh) * | 2017-12-21 | 2019-06-28 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN110351157A (zh) * | 2018-04-04 | 2019-10-18 | 大唐移动通信设备有限公司 | 一种数据包检测方法及装置 |
| CN110430191A (zh) * | 2019-08-06 | 2019-11-08 | 合肥优尔电子科技有限公司 | 调度数据网中基于协议识别的安全预警方法及装置 |
| CN111756686A (zh) * | 2020-05-18 | 2020-10-09 | 武汉思普崚技术有限公司 | 防火墙设备正则匹配方法、装置及计算机可读存储介质 |
| CN112073272A (zh) * | 2020-11-11 | 2020-12-11 | 北京城市轨道交通咨询有限公司 | 一种基于指标匹配解析轨道交通数据的方法及装置 |
| CN112910838A (zh) * | 2021-01-11 | 2021-06-04 | 金卡智能集团股份有限公司 | 复合协议解析方法、装置、设备、系统和存储介质 |
| CN113572761A (zh) * | 2021-07-22 | 2021-10-29 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149973A1 (en) * | 2000-12-20 | 2003-08-07 | Jan Kerlefsen | Information processing method and device, recording medium, and program |
| CN101035131A (zh) * | 2007-02-16 | 2007-09-12 | 杭州华为三康技术有限公司 | 协议识别方法及装置 |
| CN101184089A (zh) * | 2007-12-14 | 2008-05-21 | 浙江工业大学 | 一种基于端口与内容混杂检测的协议识别方法 |
| CN101360090A (zh) * | 2007-08-01 | 2009-02-04 | 中国科学院声学研究所 | 应用层协议识别方法 |
| CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
-
2009
- 2009-11-30 CN CN2009101884827A patent/CN102082762A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030149973A1 (en) * | 2000-12-20 | 2003-08-07 | Jan Kerlefsen | Information processing method and device, recording medium, and program |
| CN101035131A (zh) * | 2007-02-16 | 2007-09-12 | 杭州华为三康技术有限公司 | 协议识别方法及装置 |
| CN101360090A (zh) * | 2007-08-01 | 2009-02-04 | 中国科学院声学研究所 | 应用层协议识别方法 |
| CN101184089A (zh) * | 2007-12-14 | 2008-05-21 | 浙江工业大学 | 一种基于端口与内容混杂检测的协议识别方法 |
| CN101547207A (zh) * | 2009-05-07 | 2009-09-30 | 杭州迪普科技有限公司 | 一种基于应用行为模式的协议识别控制方法和设备 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102143151B (zh) * | 2010-12-22 | 2014-01-08 | 华为技术有限公司 | 一种基于深度包检测的协议跨包检测方法和装置 |
| CN102143151A (zh) * | 2010-12-22 | 2011-08-03 | 华为技术有限公司 | 一种基于深度包检测的协议跨包检测方法和装置 |
| CN102217281A (zh) * | 2011-06-13 | 2011-10-12 | 华为技术有限公司 | 协议解析方法及装置 |
| US9112915B2 (en) | 2011-06-13 | 2015-08-18 | Huawei Technologies Co., Ltd. | Method and apparatus for protocol parsing |
| CN102217281B (zh) * | 2011-06-13 | 2016-11-30 | 华为技术有限公司 | 协议解析方法及装置 |
| CN102347949A (zh) * | 2011-09-28 | 2012-02-08 | 上海西默通信技术有限公司 | 基于dpi的应用协议分析方法 |
| CN102347949B (zh) * | 2011-09-28 | 2014-07-02 | 上海西默通信技术有限公司 | 基于dpi的应用协议分析方法 |
| CN102413014A (zh) * | 2011-11-28 | 2012-04-11 | 华为技术有限公司 | 报文检测方法和装置 |
| CN102420833A (zh) * | 2011-12-27 | 2012-04-18 | 华为技术有限公司 | 一种网络协议识别的方法、装置及其系统 |
| CN102523139A (zh) * | 2012-01-06 | 2012-06-27 | 深圳市共进电子股份有限公司 | 高速网络协议深度检测装置及检测方法 |
| CN102523139B (zh) * | 2012-01-06 | 2015-01-14 | 深圳市共进电子股份有限公司 | 高速网络协议深度检测装置及检测方法 |
| CN102647414A (zh) * | 2012-03-30 | 2012-08-22 | 华为技术有限公司 | 协议解析方法、设备及系统 |
| CN102647414B (zh) * | 2012-03-30 | 2014-12-24 | 华为技术有限公司 | 协议解析方法、设备及系统 |
| CN103607313A (zh) * | 2013-12-09 | 2014-02-26 | 深圳市双赢伟业科技股份有限公司 | 基于正则表达式的tcp报文匹配方法 |
| CN105282123A (zh) * | 2014-07-24 | 2016-01-27 | 亿阳安全技术有限公司 | 一种网络协议识别方法和装置 |
| CN105282123B (zh) * | 2014-07-24 | 2018-11-16 | 亿阳安全技术有限公司 | 一种网络协议识别方法和装置 |
| CN104780080A (zh) * | 2015-04-13 | 2015-07-15 | 苏州迈科网络安全技术股份有限公司 | 深度报文检测方法及系统 |
| CN104780080B (zh) * | 2015-04-13 | 2018-09-25 | 苏州迈科网络安全技术股份有限公司 | 深度报文检测方法及系统 |
| CN105721250A (zh) * | 2016-03-03 | 2016-06-29 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
| CN105721250B (zh) * | 2016-03-03 | 2019-01-22 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 网络协议识别方法和系统 |
| CN105652858A (zh) * | 2016-03-31 | 2016-06-08 | 大连楼兰科技股份有限公司 | 基于数据请求间隔的obd设备识别方法及系统 |
| CN105652858B (zh) * | 2016-03-31 | 2018-08-17 | 大连楼兰科技股份有限公司 | 基于数据请求间隔的obd设备识别方法及系统 |
| CN108600107B (zh) * | 2017-11-07 | 2021-06-01 | 北京交通大学 | 一种可自定义内容字段的流匹配方法 |
| CN108600107A (zh) * | 2017-11-07 | 2018-09-28 | 北京交通大学 | 一种可自定义内容字段的流匹配方法 |
| CN109951430A (zh) * | 2017-12-21 | 2019-06-28 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN109951430B (zh) * | 2017-12-21 | 2021-04-30 | 中移(杭州)信息技术有限公司 | 一种数据处理方法及装置 |
| CN108255675A (zh) * | 2018-01-10 | 2018-07-06 | 北京知道创宇信息技术有限公司 | 一种端口特征提取方法、装置及计算设备 |
| CN110351157A (zh) * | 2018-04-04 | 2019-10-18 | 大唐移动通信设备有限公司 | 一种数据包检测方法及装置 |
| CN110430191A (zh) * | 2019-08-06 | 2019-11-08 | 合肥优尔电子科技有限公司 | 调度数据网中基于协议识别的安全预警方法及装置 |
| CN111756686A (zh) * | 2020-05-18 | 2020-10-09 | 武汉思普崚技术有限公司 | 防火墙设备正则匹配方法、装置及计算机可读存储介质 |
| CN112073272A (zh) * | 2020-11-11 | 2020-12-11 | 北京城市轨道交通咨询有限公司 | 一种基于指标匹配解析轨道交通数据的方法及装置 |
| CN112073272B (zh) * | 2020-11-11 | 2021-02-26 | 北京城市轨道交通咨询有限公司 | 一种基于指标匹配解析轨道交通数据的方法及装置 |
| CN112910838A (zh) * | 2021-01-11 | 2021-06-04 | 金卡智能集团股份有限公司 | 复合协议解析方法、装置、设备、系统和存储介质 |
| CN113572761A (zh) * | 2021-07-22 | 2021-10-29 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
| CN113572761B (zh) * | 2021-07-22 | 2023-06-30 | 四川英得赛克科技有限公司 | 一种设备识别方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102082762A (zh) | 一种协议识别方法、设备及系统 | |
| CN102857493B (zh) | 内容过滤方法和装置 | |
| CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
| CN100580644C (zh) | 通信控制装置及通信控制系统 | |
| CN107025239B (zh) | 敏感词过滤的方法和装置 | |
| US9558299B2 (en) | Submatch extraction | |
| CN101286988B (zh) | 一种并行多模式匹配的方法及系统 | |
| CN102647414B (zh) | 协议解析方法、设备及系统 | |
| CN102710504A (zh) | 应用识别方法和装置 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN102724317A (zh) | 一种网络数据流量分类方法和装置 | |
| CN103593440A (zh) | 日志文件的读写方法及装置 | |
| US20150161278A1 (en) | Method and apparatus for identifying webpage type | |
| CN104919458A (zh) | 文本挖掘设备、文本挖掘系统、文本挖掘方法和记录介质 | |
| CN102780681A (zh) | Url过滤系统及过滤url的方法 | |
| CN105635170A (zh) | 基于规则对网络数据包进行识别的方法和装置 | |
| CN106650610A (zh) | 一种人脸表情数据收集方法及装置 | |
| CN106933798B (zh) | 信息分析的方法及装置 | |
| CN101377816B (zh) | 匹配规则包含位移指示符的并行多模式匹配的方法及系统 | |
| CN103685280B (zh) | 报文匹配方法、状态机编译方法及设备 | |
| CN103336757A (zh) | 硬件协议栈 | |
| CN102111401B (zh) | 协议识别方法、协议识别装置及设备 | |
| CN101677318A (zh) | 匹配规则包含次数指示符的并行多模式匹配的方法及系统 | |
| CN112347272B (zh) | 一种基于音视频动态特征的流式匹配方法和装置 | |
| US20170060998A1 (en) | Method and apparatus for mining maximal repeated sequence |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110601 |