CN106789358A - 基于dpi的业务识别方法及系统 - Google Patents
基于dpi的业务识别方法及系统 Download PDFInfo
- Publication number
- CN106789358A CN106789358A CN201710080539.6A CN201710080539A CN106789358A CN 106789358 A CN106789358 A CN 106789358A CN 201710080539 A CN201710080539 A CN 201710080539A CN 106789358 A CN106789358 A CN 106789358A
- Authority
- CN
- China
- Prior art keywords
- message
- character
- string
- business
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Environmental & Geological Engineering (AREA)
- Machine Translation (AREA)
Abstract
本发明适用于DPI业务识别技术领域,提供了一种基于DPI的业务识别方法,所述方法包括:A、配置不同业务类型报文的特征字符或字符串;B、解析接收的业务数据报文;C、将所述特征字符或字符串与解析后的数据报文匹配处理。本发明还相应的提供一种基于DPI的业务识别系统。借此,本发明可以完成逐报文的业务识别,可以不需要升级设备,完成对设备特征的配置。
Description
技术领域
本发明涉及DPI业务识别技术领域,尤其涉及一种基于DPI的业务识别方法及系统。
背景技术
DPI(Deep Packet Inspection,深度包检测)。所谓“深度”是和普通的报文分析层次相比较而言,“普通报文检测”仅分析IP包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI除了对前面的层次分析外,还增加了应用层分析,识别各种应用以及内容。DPI的技术关键是高效的识别网络上的各种应用。通过对应用流中的数据报文内容进行检测,从而确定数据报文的真正应用。
目前,现有的DPI检测技术方案是对经过设备的某些特定报文进行业务匹配识别。现有技术解决方法为:增加可以灵活配置的寄存器,完成对经过设备的全部数据报文的匹配识别。缺点:不是逐个数据报文进行识别,调整匹配文件,需要对设备进行升级,会影响其他业务的识别。
综上可知,现有技术在实际使用上显然存在不便与缺陷,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种基于DPI的业务识别方法及系统,其可以成逐报文的业务识别,可以不需要升级设备,完成对设备特征的配置。
为了实现上述目的,本发明提供一种基于DPI的业务识别方法,所述方法包括:
A、配置不同业务类型报文的特征字符或字符串;
B、解析接收的业务数据报文;
C、将所述特征字符或字符串与解析后的数据报文匹配处理。
根据本发明的基于DPI的业务识别方法,所述步骤A包括:
A1、配置第一业务类型报文的第一特征字符串内容;
所述步骤B包括:
B1、将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串;
所述步骤C包括:
C1、将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
根据本发明的基于DPI的业务识别方法,所述步骤A包括:
A2、配置第二业务类型报文的第二特征字符串的内容和位置;
所述步骤C包括:
C2、查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
根据本发明的基于DPI的业务识别方法,所述步骤A包括:
A3、配置第三业务类型报文的第三特征字符;
所述步骤C包括:
C3、按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
根据本发明的基于DPI的业务识别方法,所述步骤A3具体为:
配置第三特征字符的长度、位置、以及与报文静荷长度的差值。
本发明还提供一种基于DPI的业务识别系统,包括:
配置模块,用于配置不同业务类型报文的特征字符或字符串;
报文解析模块,用于解析接收的业务数据报文;
匹配处理模块,用于将所述特征字符或字符串与解析后的数据报文匹配处理。
根据本发明的基于DPI的业务识别系统,所述配置模块包括第一配置单元,用于配置第一业务类型报文的第一特征字符串内容;
所述报文解析模块用于将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串;
所述匹配处理模块包括第一匹配单元,用于将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
根据本发明的基于DPI的业务识别系统,所述配置模块包括第二配置单元用于配置第二业务类型报文的第二特征字符串的内容和位置;
所述匹配处理模块包括第二匹配单元,用于查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
根据本发明的基于DPI的业务识别系统,所述配置模块包括第三配置单元,用于配置第三业务类型报文的第三特征字符;
所述匹配处理模块包括第三匹配单元,用于按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
根据本发明的基于DPI的业务识别系统,所述第三配置单元具体配置第三特征字符的长度、位置、以及与报文静荷长度的差值。
本发明提供一种基于DPI的业务识别方法,所述方法包括:A、配置不同业务类型报文的特征字符或字符串;B、解析接收的业务数据报文;C、将所述特征字符或字符串与解析后的数据报文匹配处理。本发明还相应的提供一种基于DPI的业务识别系统。借此,本发明可以完成逐报文的业务识别,可以不需要升级设备,完成对设备特征的配置。
附图说明
图1是本发明的基于DPI的业务识别系统结构示意图;
图2是本发明优选的基于DPI的业务识别系统结构示意图;
图3A是本发明一实施例的报文示意图;
图3B是本发明又一实施例的报文示意图;
图4是本发明的基于DPI的业务识别方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参见图1,本发明提供了一种基于DPI的业务识别系统,其包括配置模块10、报文解析模块20及匹配处理模块30,其中:
配置模块10用于配置不同业务类型报文的特征字符或字符串。
报文解析模块20用于解析接收的业务数据报文。
匹配处理模块30用于将所述特征字符或字符串与解析后的数据报文匹配处理。
不同业务类型通常具有对应的标识字段,本发明记为特征字符或特征字符串。通过预先配置业务数据报文的特征字符或字符串,将其置于缓存中,并标记为长期有效。系统100接收到报文时可以对其进行解析,并与对应的特征字符或字符串进行匹配,若匹配成功,则识别为所需业务。
在本发明的一具体实施例中,结合图2,所述配置模块10包括第一配置单元11,用于配置第一业务类型报文的第一特征字符串内容。
报文解析模块20用于将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串。
匹配处理模块30包括第一匹配单元31,用于将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
对于一些业务类型,其数据报文中包含相同的特征字符串,本实施例中记为第一特征字符串,本发明将第一特征字符串配置到缓存中,待系统100接收数据报文时,将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串,并进行匹配处理。
结合本实施例中的图3A和图3B,上述两个数据报文中特殊字符串(第一特征字符串)“1122334455”在不同报文中的位置不同。对于上述情况,将特殊字符串作为比较的内容进行配置到缓存中,保持长期有效,将互联网中的数据通过设备,设备对数据进行解析,将数据报文逐字节按着配置的特殊字符串的长度,组成一个一个的字符串,去与配置到缓存的内容进行比较,如果相同,就给此报文打上标记,判断此报文就是系统要识别的报文。
另外,本发明系统100,其配置模块10包括第二配置单元12,用于配置第二业务类型报文的第二特征字符串的内容和位置。
所述匹配处理模块30包括第二匹配单元32,用于查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
对于一些业务类型的数据报文,其固定位置具有相同的第二特征字符串,比如报头、报中或报尾位置,也可以为偏移报头预定长度的位置。上述判定模式是对于字符串固定位置的判断,需要配置字符串内容和固定偏移的长度,根据配置的长度去提取数据报文的内容,跟配置的字符比较,相同就打上标记,识别这个报文。
还有一些业务类型的数据报文中,其静荷数据某一位置的2个字节或者4个字节,与静荷长度存在特定算术关系,比如:静荷某固定位置中2字节或4字节数值+2=静荷长度。基于此,本发明的配置模块10还可以包括第三配置单元13,用于配置上述业务类型报文的第三特征字符,其具体配置第三特征字符的长度、位置、以及与报文静荷长度的差值。对应的,匹配处理模块30包括第三匹配单元33,用于按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
参见图4,本发明提供了一种基于DPI的业务识别方法,其可以通过如图1所示的系统100实现,该方法包括:
步骤S401,配置不同业务类型报文的特征字符或字符串。
对于该步骤,
步骤S402,解析接收的业务数据报文。
步骤S403,将所述特征字符或字符串与解析后的数据报文匹配处理。
不同业务类型通常具有对应的标识字段,本发明记为特征字符或特征字符串。通过预先配置业务数据报文的特征字符或字符串,将其置于缓存中,并标记为长期有效。系统100接收到报文时可以对其进行解析,并与对应的特征字符或字符串进行匹配,若匹配成功,则识别为所需业务。
具体应用中,上述方法可以通过如图2所示的系统100优化处理。比如,在本发明的一具体实施例中,本发明可以配置第一业务类型报文的第一特征字符串内容,然后将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串,再将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
对于一些业务类型,其数据报文中包含相同的特征字符串,本实施例中记为第一特征字符串,本发明将第一特征字符串配置到缓存中,待系统100接收数据报文时,将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串,并进行匹配处理。
结合本实施例中的图3A和图3B,上述两个数据报文中特殊字符串(第一特征字符串)“1122334455”在不同报文中的位置不同。对于上述情况,将特殊字符串作为比较的内容进行配置到缓存中,保持长期有效,将互联网中的数据通过设备,设备对数据进行解析,将数据报文逐字节按着配置的特殊字符串的长度,组成一个一个的字符串,去与配置到缓存的内容进行比较,如果相同,就给此报文打上标记,判断此报文就是系统要识别的报文。
另外,本发明系统100,还可以配置第二业务类型报文的第二特征字符串的内容和位置,在接收到报文时查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
对于一些业务类型的数据报文,其固定位置具有相同的第二特征字符串,比如报头、报中或报尾位置,也可以为偏移报头预定长度的位置。上述判定模式是对于字符串固定位置的判断,需要配置字符串内容和固定偏移的长度,根据配置的长度去提取数据报文的内容,跟配置的字符比较,相同就打上标记,识别这个报文。
还有一些业务类型的数据报文中,其静荷数据某一位置的2个字节或者4个字节,与静荷长度存在特定算术关系,比如:静荷某固定位置中2字节或4字节数值+2=静荷长度。基于此,本发明则可以配置上述业务类型报文的第三特征字符,其具体配置第三特征字符的长度、位置、以及与报文静荷长度的差值。并按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
综上所述,本发明提供一种基于DPI的业务识别方法,所述方法包括:A、配置不同业务类型报文的特征字符或字符串;B、解析接收的业务数据报文;C、将所述特征字符或字符串与解析后的数据报文匹配处理。本发明还相应的提供一种基于DPI的业务识别系统。借此,本发明可以完成逐报文的业务识别,可以不需要升级设备,完成对设备特征的配置。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种基于DPI的业务识别方法,其特征在于,所述方法包括:
A、配置不同业务类型报文的特征字符或字符串;
B、解析接收的业务数据报文;
C、将所述特征字符或字符串与解析后的数据报文匹配处理。
2.根据权利要求1所述的基于DPI的业务识别方法,其特征在于,所述步骤A包括:
A1、配置第一业务类型报文的第一特征字符串内容;
所述步骤B包括:
B1、将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串;
所述步骤C包括:
C1、将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
3.根据权利要求1所述的基于DPI的业务识别方法,其特征在于,所述步骤A包括:
A2、配置第二业务类型报文的第二特征字符串的内容和位置;
所述步骤C包括:
C2、查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
4.根据权利要求1所述的基于DPI的业务识别方法,其特征在于,所述步骤A包括:
A3、配置第三业务类型报文的第三特征字符;
所述步骤C包括:
C3、按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
5.根据权利要求4所述的基于DPI的业务识别方法,其特征在于,所述步骤A3具体为:
配置第三特征字符的长度、位置、以及与报文静荷长度的差值。
6.一种基于DPI的业务识别系统,其特征在于,包括:
配置模块,用于配置不同业务类型报文的特征字符或字符串;
报文解析模块,用于解析接收的业务数据报文;
匹配处理模块,用于将所述特征字符或字符串与解析后的数据报文匹配处理。
7.根据权利要求6所述的基于DPI的业务识别系统,其特征在于,所述配置模块包括第一配置单元,用于配置第一业务类型报文的第一特征字符串内容;
所述报文解析模块用于将报文解析为若干与所述第一特征字符串长度相同的第一解析字符串;
所述匹配处理模块包括第一匹配单元,用于将所述若干第一解析字符串与第一特征字符串匹配处理,若匹配成功,则判定所述报文为所需报文。
8.根据权利要求6所述的基于DPI的业务识别系统,其特征在于,所述配置模块包括第二配置单元用于配置第二业务类型报文的第二特征字符串的内容和位置;
所述匹配处理模块包括第二匹配单元,用于查找报文中相应位置的字符串是否与所述第二特征字符串内容匹配,若是,则判定所述报文为所需报文。
9.根据权利要求6所述的基于DPI的业务识别系统,其特征在于,所述配置模块包括第三配置单元,用于配置第三业务类型报文的第三特征字符;
所述匹配处理模块包括第三匹配单元,用于按预设算法,将所述第三特征字符与报文静荷长度计算匹配。
10.根据权利要求6所述的基于DPI的业务识别系统,其特征在于,所述第三配置单元具体配置第三特征字符的长度、位置、以及与报文静荷长度的差值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710080539.6A CN106789358A (zh) | 2017-02-15 | 2017-02-15 | 基于dpi的业务识别方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710080539.6A CN106789358A (zh) | 2017-02-15 | 2017-02-15 | 基于dpi的业务识别方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106789358A true CN106789358A (zh) | 2017-05-31 |
Family
ID=58957950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710080539.6A Pending CN106789358A (zh) | 2017-02-15 | 2017-02-15 | 基于dpi的业务识别方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789358A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474705A (zh) * | 2018-12-28 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种会话保持方法和装置 |
| CN111211995A (zh) * | 2019-12-19 | 2020-05-29 | 北京浩瀚深度信息技术股份有限公司 | 一种字符串匹配库获取网络流量业务分析方法及装置 |
| CN113569106A (zh) * | 2021-06-16 | 2021-10-29 | 东风汽车集团股份有限公司 | 一种can数据识别方法、装置和设备 |
| CN113643013A (zh) * | 2021-08-11 | 2021-11-12 | 中国工商银行股份有限公司 | 模型的建立方法、业务处理方法、装置、电子设备和介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442489A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | 基于特征库的流量识别方法 |
| CN102130956A (zh) * | 2011-03-18 | 2011-07-20 | 清华大学 | 应用层协议识别方法及系统 |
| CN102163221A (zh) * | 2011-04-02 | 2011-08-24 | 华为技术有限公司 | 模式匹配方法和装置 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| CN104333461A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
-
2017
- 2017-02-15 CN CN201710080539.6A patent/CN106789358A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101442489A (zh) * | 2008-12-30 | 2009-05-27 | 北京畅讯信通科技有限公司 | 基于特征库的流量识别方法 |
| CN102130956A (zh) * | 2011-03-18 | 2011-07-20 | 清华大学 | 应用层协议识别方法及系统 |
| CN102163221A (zh) * | 2011-04-02 | 2011-08-24 | 华为技术有限公司 | 模式匹配方法和装置 |
| CN104333483A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
| CN104333461A (zh) * | 2014-10-24 | 2015-02-04 | 深圳市傲天通信有限公司 | 互联网应用流量识别方法、系统及识别装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109474705A (zh) * | 2018-12-28 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种会话保持方法和装置 |
| CN109474705B (zh) * | 2018-12-28 | 2021-04-27 | 杭州迪普科技股份有限公司 | 一种会话保持方法和装置 |
| CN111211995A (zh) * | 2019-12-19 | 2020-05-29 | 北京浩瀚深度信息技术股份有限公司 | 一种字符串匹配库获取网络流量业务分析方法及装置 |
| CN111211995B (zh) * | 2019-12-19 | 2022-03-08 | 北京浩瀚深度信息技术股份有限公司 | 一种字符串匹配库获取网络流量业务分析方法及装置 |
| CN113569106A (zh) * | 2021-06-16 | 2021-10-29 | 东风汽车集团股份有限公司 | 一种can数据识别方法、装置和设备 |
| CN113569106B (zh) * | 2021-06-16 | 2023-10-13 | 东风汽车集团股份有限公司 | 一种can数据识别方法、装置和设备 |
| CN113643013A (zh) * | 2021-08-11 | 2021-11-12 | 中国工商银行股份有限公司 | 模型的建立方法、业务处理方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789358A (zh) | 基于dpi的业务识别方法及系统 | |
| US10091248B2 (en) | Context-aware pattern matching accelerator | |
| CN104702600B (zh) | 一种可配置的逐层报文解析方法和装置 | |
| US8522199B2 (en) | System, method, and computer program product for applying a regular expression to content based on required strings of the regular expression | |
| KR101005927B1 (ko) | 웹 어플리케이션 공격 탐지 방법 | |
| US20140189879A1 (en) | Method for identifying file type and apparatus for identifying file type | |
| WO2014180297A1 (zh) | 报文处理方法和装置 | |
| CN105337991A (zh) | 一种一体化的报文流查找与更新方法 | |
| CN106470214A (zh) | 攻击检测方法和装置 | |
| US20140223564A1 (en) | System and method for pattern matching in a network security device | |
| CN104333483A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
| CN104333461A (zh) | 互联网应用流量识别方法、系统及识别装置 | |
| CN103209170A (zh) | 文件类型识别方法及识别系统 | |
| US20080037440A1 (en) | Detecting voice over internet protocol traffic | |
| CN104318162A (zh) | 源代码泄露检测方法及装置 | |
| CN111935081A (zh) | 一种数据包脱敏方法和装置 | |
| CN104079450B (zh) | 特征模式集生成方法及装置 | |
| US9241048B2 (en) | Mechanism for processing network event protocol messages | |
| CN105939304B (zh) | 一种隧道报文解析方法及装置 | |
| CN106650451A (zh) | 一种检测方法和装置 | |
| CN108063986A (zh) | 多通道无源光网络的帧序号承载方法、装置及系统 | |
| CN106789416A (zh) | 工控系统专用协议识别方法与系统 | |
| CN101621504A (zh) | 深度报文检测方法和系统 | |
| CN105100246A (zh) | 一种基于下载资源名称的网络流量管控方法 | |
| CN111371649A (zh) | 一种深度包检测方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |