WO2011069388A1

WO2011069388A1 - 一种协议识别的方法、装置和系统

Info

Publication number: WO2011069388A1
Application number: PCT/CN2010/077569
Authority: WO
Inventors: 刘华
Original assignee: 华为技术有限公司
Priority date: 2009-12-10
Filing date: 2010-10-05
Publication date: 2011-06-16
Also published as: US20120221590A1; ES2700245T3; EP2482517A1; EP2482517A4; US8782068B2; EP2482517B1; CN102098272A; CN102098272B

Description

一种协议识别的方法、装置和系统本申请要求于 2009年 12月 10日提交中国专利局，申请号为 200910225440.6, 发明名称为"一种协议识别的方法、装置和系统"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及通信技术领域，特别涉及一种协议识别的方法、装置和系统。

背景技术

如今网络上承载的应用越来越多，对带宽的要求也越来越高。运行商希望保证其运营网络能够很好的承载各种关键业务（如：网页（WEB )浏览），同时限制一些非关键业务 (如：互联网协议电话（ Voice over Internet Protocol ， VOIP )、点对点（ Peer to Peer, P2P ) )无节制的占用网络资源。基于此，运营商需要对网络承载的报文（或称为数据流）在应用层使用的协议类型进行识别。

现有的协议类型识别的方式是轮询所有可能匹配的识别特征条件或算法来进行识别。上述轮询的方式可以是采用顺序依次分批次轮询，具体实现方式一般为：根据网络上协议使用的频繁度，将系统内部的协议分成：高频度协议类，普通协议类，稀少协议类；当数据流到来时，先使用高频度协议类的所有规则或识别算法尝试对这个数据流进行识别，如果识别不出来，再使用普通协议类的所有规则或识别算法进行尝试，再识别不出来，就使用稀少协议类的所有规则或识别算法进行尝试。现有的协议类型识别的方式还可以是模式匹配，模式匹配的方式是一次扫描全部的协议，找出能够与报文匹配的的协议。以上两种都需要扫描全部的协议效率比较低。

为了提高协议识别效率出现了新的协议识别方法：提取报文的网络协议

( Internet Protocol ， IP )地址和端口对；在预置的关联表中查找包括该网络地址和端口对的表项，关联表存储有网络地址和端口对与以业务类型对应关系的表项（业务类型与其使用的协议是对应的，确定业务类型就可以确定报文使用的协议）；若在预置关联表中查找包括网络地址和端口对的表项，报文的业务类型即为该表项标示的业务类型。

发明人在实现本发明的过程中发现：由于在现网中存在大量的端口复用情况，即：一个网络地址和端口对，可以用于不同类型的业务。仅使用网络地址和端口对来确定数据流的业务类型，存在大量的误识别。因而该方法不适用于对报文识别精度要求较高的场景。

发明内容

本发明实施例提供一种协议识别的方法、装置和系统，以提高报文识别的精度。下技术方案实现：

提取 ^艮文的识别元组；，所述识别元组至少包含网络地址；

在识别表中查找所述识别元组对应的算法应用列表；

使用所述算法应用列表中的算法对报文进行内容识别，从而获取所述报文的协议类型。

一种协议识别的装置，包括：

提取单元，用于提取报文的识别元组；，所述识别元组至少包含网络地址；存储单元，用于存储识别表；

算法查找单元，在识别表中查找所述识别元组对应的算法应用列表；协议识别单元，用于使用所述算法应用列表中的算法对报文进行内容识另，从而获取所述报文的协议类型。

一种协议识别系统，包括报文接收装置和本发明实施例提供的任一协议识别的装置，所述协议识别的装置用于对所述报文接收装置接收到的报文进行协议识别。

上述技术方案具有如下有益效果：采用从报文中提取的至少包含 IP地址的识别元组来查找对应的算法，然后使用查找到的算法对报文进行内容识别，进行内容识别能够提高报文的识别精度、减少误识别。附图说明为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例一方法流程示意图；

图 2为本发明实施例一方法流程示意图；

图 3为本发明实施例二方法流程示意图；

图 4为本发明实施例三装置结构示意图；

图 5为本发明实施例三装置结构示意图；

图 6为本发明实施例三装置结构示意图；

图 7为本发明实施例四系统结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一，如图 1所示，本发明实施例提供了一种协议识别的方法，包括： 101 : 提取报文的识别元组；上述识别元组至少包含网络地址；

上述识别元组可以是 N元组例如：一元组：网络地址；或者，二元组：网络地址和端口；或者，三元组：网络地址、端口（port )、以及传输层协议。当然元组具体有几元可以根据协议识别的需要进行设定，本实施例对此不予限采用源端的 IP地址那么 port也使用源端的 port, 如果采用目的端的 IP地址那么 port也使用目的端的 port。

102: 在识别表中查找上述识别元组对应的算法应用列表；

具体地，上述在识别表中查找识别元组对应的算法应用列表包括：以识别元组作为键 ( key )值，采用哈希（hash ) 查找的方法从识别表中查找上述识别元组对应的算法应用列表。 hash查找的方法作为一个具体的查找方式具有其迅速查找的优势，可以理解的是 hash查找的方法并不是从表中查找表项的唯一实现方式，故 hash查找的方式作为一个举例不应理解为对本发明实施例的限定。上述查找的方式可以是用识别元组匹配识别表中的表项来查找与识别元组对应的算法应用列表。另外算法也可以理解为识别报文的规则。识别表可以是预先设置；另外本发明实施例将在后续的实施例说明中介绍通过动态的方式对识别表进行更新的方法。

103: 使用上述算法应用列表中的算法对报文进行内容识别，从而获取上述报文的协议类型。

上述步骤 102确定报文优先使用的用于识别的算法，然后在步骤 103使用上述算法对报文进行识别。从本发明的实施例提供的以上技术方案可以看出，由于本发明实施例在获取数据流的报文后，先使用报文的 IP、 Port, 传输层协议等信息选取优先使用识别的算法。此次匹配成功的几率会较高，避免了使用所有的算法采用轮询或模式匹配方式对该流进行识别，这样就实现了高速的协议识别。并且采用从 ^艮文中提取的至少包含 IP地址的识别元组来查找对应的算法，然后使用查找到的算法对报文进行内容识别，进行内容识别能够提高报文的识别精度、减少误识别。

如图 2所示，更进一步地，在图 1对应的实现方式的基础之上，还包括： 201 :若上述在识别表中查找上述识别元组对应的算法应用列表查找失败，或者使用上述算法应用列表中的算法对报文进行内容识别失败，则可以采用轮询或模式匹配的方式对上述报文进行识别。当然采用其他的方式来进行识别本发明实施例不予限定。上述轮询的方式可以是：固定的顺序依次分批次轮询，也可以理解为采用尝试的方式进行模式匹配所有的特征规则从而找出报文使用的协议的任意方式，本发明实施例对比不予限定。上述查找应用列表的结果以及对报文内容识别的是否失败都可以在查找和识别的结果中得到，当然采用判断的方式也是可行的，本发明实施例对此不予限定。

更进一步地，本发明实施例，还提供了通过动态的方式对识别表进行更新的方法，具体可以是在步骤 201之后：

203: 将上述报文的算法更新到：上述识别表中上述识别元组对应的算法应用列表。可以理解的是，如果识别表是预置的，那么可以不用更新，更新也是可以的；如果没有预置识别表，这可以采用执行步骤 202和 203的方式将识别元组对应的算法应用列表填入识别表。上述更新可以理解为对原有数据的增加，也可以是创建新的表项来存储识别元组以及其对应的算法应用列表。采用动态添加的实现方式其优点在于，能够自动的随着网络环境的变化更新识别表，避免识别表陈旧而不适用于新的网络环境，也可以避免需要人工来配置识别表的麻烦。实施例二，本实施例将以提取 N元组信息为例，采用匹配的方式查找识别表，已经通过判断的方式来确定是否查找和识别成功为例，对协议识别的方法进行说明，如图 3所示，包括：

301 : 提取报文的 N元组， N元组包括报文的网络地址、端口、传输层协议等。

上述 N元组，可以指一元组（只有网络地址）、二元组（包括网络地址、端口）和三元组（包括网络地址、端口、传输层协议（例如：传输控制协议 ( Transmission Control Protocol , TCP ) /用户数据才艮文十办议 ( User Datagram Protocol , UDP ) /流控制传输协议 ( Stream Control Transmission Protocol , SCTP ) )。

在现网中，很多数据流属于客户端 /服务器型的应用。其中，作为服务器的主机，一般只提供少数几种协议类型的服务；更进一步，服务器主机在固定端口上提供固定的服务，即在一定时间内，同一个端口一般只提供同一种协议类型的服务。考虑到端口复用，则主机的同一个端口可能提供其他协议类型的服务，并且无法把握同一台主机的同一端口是否改为提供另外的其他协议类型的服务。因而在识别出某台主机的特定端口提供某种协议类型的服务后，将该主机的 N元组信息（网络地址、端口、传输层协议的组合）记录下来，同时将识别该协议类型的规则 /算法和该 N元组对应起来。当后续流到来，如果该后续流的 N元组和先前保存的 N元组相同，则先进行保存的 N元组对应的协议识别规则 /算法进行识别。在大多数的情况下，使用对应的规则 /算法就能识别出该流使用的协议类型，不必要在进行其他规则 /算法的尝试，所以采用这种识别方式可以将同一个流的识别性能提高几倍，同时也不存在误识别。本发明实施例所提到的 N元组信息可以是以一个流的源端信息组成的 N元组，也可以是目的端信息组成的 N元组。由于报文中的 IP和 Port各有两个，分别为源端和目的端的，所以源端信息包括 ^艮文的源端 IP、源端 Port, 而目的端信息包括文的目的 IP、目的 Port。构建 N元组时，需要源端或目的端的信息，三元组时还需要加上传输层协议。

302: 在使用上述 N元组采用匹配的方式在识别表中查找该 N元组的表项，识别表存放有 N元组和应用列表对应关系对的表项。

识别表的表项的来源可以是：根据协议识别结果，确定提供服务的主机的

N元组信息，将 N元组信息保存，因为端口存在复用，并且不能确定该端口提供的服务类型什么时间变化，所以将其和使用的识别的规则 /算法等应用列表对应起来。在使用时，提取待识别报文的 N元组信息，然后到识别表中进行匹配。匹配识别表的表项时，只要待匹配报文源和目的端其中一个组成的 N元组信息匹配即可。查找识别表建议使用 hash查找，以 N元组作为 key值。

303: 判断是否匹配成功；若成功，则进入 304，若失败，则进入 306;

304: 使用查找到得表项的算法 /规则应用列表进行内容识别，从而获取上述报文的协议类型。

因为识别表中的 N元组有对应的识别规则 /算法应用列表，因而在识别表匹配到待识别报文的 N元组后，可以使用对应的规则 /算法应用列表对报文进行内容识别，从而获取该报文的协议类型。

305: 判断内容识别是否成功，若成功，流程就结束了，若失败，则进入

306;

306: 进行所有特征规则的模式匹配 /所有识别算法对报文进行识别；上述步骤 306可以是采用现有的任何方法来进行识别匹配，例如尝试轮询或模式匹配所有识别算法，对待识别报文进行内容识别。具体采用何种方式本发明实施例不予限定。

307:识别成功后，如果确定报文采用的协议是客户端 /服务器类型的协议，则将服务器端的主机的 N元组和使用的识别规则 /算法对应关系对更新到识别表。更新的具体实现方式可以是：根据识别的规则 /算法确定报文中作为服务器的主机的网络地址、端口、传输层协议等信息，将其提取出来，组成 N元组。然后在快速关联表中查找是否存在对应的 N元组，如果存在，将该 N元组对应的识别规则 /算法的应用替换为现使用的新规则 /算法的应用，或将新规则 /算法追加到已有的应用列表。如果识别元组采用的是只有网络地址的一元组，可以采用追加的方式进行更新处理；而如果是使用二元组或三元组，可以采用替换的方式进行更新处理。

在实际的网络中，使用客户端 /服务器型协议类型（主要是 P2P、超文本传输协议（ Hypertext Transfer Protocol, HTTP )、其它 WEB协议等）的数据流占整个网络流量的绝大部分。而本发明实施的方案使用的对象可以是这类协议，以数据流的识别成功为基础，提高后续流的识别性能，进而提高识别装置整体的性能：经测试，经过这样的处理，针对客户端 /服务器型的协议识别，后续流的识别性能和首流相比，有很大的提高，使整个协议识别装置的性能提高 50%以上。实施例三，如图 4所示，本发明实施例还提供了一种协议识别的装置，包括：

提取单元 401，用于提取报文的识别元组；上述识别元组至少包含网络地址；

存储单元 402，用于存储识别表；

算法查找单元 403，在识别表中查找上述识别元组对应的算法应用列表；协议识别单元 404，用于使用上述算法应用列表中的算法对报文进行内容识别，从而获取上述报文的协议类型。

具体地，提取单元 401，具体用于提取报文的网络地址；或者，网络地址和端口；或者，网络地址、端口、以及传输层协议。

如图 5所示，上述装置，还包括：

查找单元 501，用于若上述在识别表中查找上述识别元组对应的算法应用列表查找失败，或者使用上述算法应用列表中的算法对报文进行内容识别失败，则采用轮询或模式匹配的方式对上述报文进行识别。

如图 6所示，上述装置，还包括：

更新单元 601，用于在采用轮询或模式匹配的方式对上述报文进行识别之后，将上述报文的算法更新到：上述识别表中上述识别元组对应的算法应用列表。

具体地，上述算法查找单元 403，具体用于以识别元组作为键值，采用哈希查找的方法从识别表中查找上述识别元组对应的算法应用列表。

从本发明的实施例提供的以上技术方案可以看出，由于本发明实施例在获取数据流的报文后，先使用报文的 IP、 Port, 传输层协议等信息选取优先使用识别的算法。此次匹配成功的几率会较高，避免了使用所有的算法采用轮询或模式匹配方式对该流进行识别，这样就实现了高速的协议识别。并且采用从报文中提取的至少包含 IP地址的识别元组来查找对应的算法，然后使用查找到的算法对报文进行内容识别，进行内容识别能够提高报文的识别精度、减少误识别。

采用动态添加的实现方式其优点在于，能够自动的随着网络环境的变化更新识别表，避免识别表陈旧而不适用于新的网络环境，也可以避免需要人工来配置识别表的麻烦。

如图 7所示，本发明实施例还提供了一种协议识别系统，包括报文接收装置 701和本发明实施例提供的任一协议识别的装置 702，上述协议识别的装置 702用于对上述报文接收装置 701接收到的报文进行协议识别。具体对报文进行协议识别的实现可以参考方法实施例也可以参考协议识别的装置的实施例。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成，上述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上对本发明实施例所提供的一种协议识别的方法、装置和系统进行了详实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种协议识别的方法，其特征在于，包括：

提取 ^艮文的识别元组，所述识别元组至少包含网络地址；

在识别表中查找所述识别元组对应的算法应用列表；

2、根据权利要求 1所述方法，其特征在于，所述识别元组包括：网络地址；或者，

网络地址和端口；或者，

网络地址、端口、以及传输层协议。

3、根据权利要求 1或 2所述方法，其特征在于，若所述在识别表中查找所述识别元组对应的算法应用列表查找失败，或者使用所述算法应用列表中的算法对报文进行内容识别失败，则采用轮询或模式匹配的方式对所述报文进行识别。

4、根据权利要求 3所述方法，其特征在于，采用轮询或模式匹配的方式对所述报文进行识别之后还包括：

将所述报文的算法更新到所述识别表中所述识别元组对应的算法应用列表。

5、根据权利要求 1所述方法。其特征在于，所述在识别表中查找识别元组对应的算法应用列表包括：以识别元组作为键值，采用哈希查找的方法从识别表中查找所述识别元组对应的算法应用列表。

6、一种协议识别的装置，其特征在于，包括：

提取单元，用于提取报文的识别元组，所述识别元组至少包含网络地址；存储单元，用于存储识别表；

7、根据权利要求 6所述装置，其特征在于，提取单元，具体用于提取报文的网络地址；或者，网络地址和端口；或者，网络地址、端口、以及传输层协议。

8、根据权利要求 6所述装置，其特征在于，还包括：

查找单元，用于若所述在识别表中查找所述识别元组对应的算法应用列表查找失败，或者使用所述算法应用列表中的算法对报文进行内容识别失败，则采用轮询或模式匹配的方式对所述报文进行识别。

9、根据权利要求 8所述方法，其特征在于，还包括：

更新单元，用于在采用轮询或模式匹配的方式对所述报文进行识别之后，将所述报文的算法更新到所述识别表中所述识别元组对应的算法应用列表。

10、根据权利要求 6所述装置。其特征在于，所述算法查找单元，具体用于以识别元组作为键值，采用哈希查找的方法从识别表中查找所述识别元组对应的算法应用列表。

11、一种协议识别系统，其特征在于，包括报文接收装置和如权利要求 6 - 10任一项所述的协议识别的装置，所述协议识别的装置用于对所述报文接收装置接收到的报文进行协议识别。